//
you're reading...
個資專區, 本月專欄

新版個人資料保護法及相關實務應用問題簡介

新版個人資料保護法及相關實務應用問題簡介

【吳筱涵律師、江欣玲律師】

新版個人資料保護法(下稱「個資法」)影響層面之廣及引起爭議之大,可自其於民國(下同)99年5月26日即經立法院三讀通過、總統公布,卻直至今年10月1日始正式施行,甚至尚未正式施行前,行政院院會即通過修正草案並送立法院審議,當可窺見一、二。而新版個資法不僅賦予企業較過往更多的義務,同時亦課予企業、代表人,甚至具有管理權限之人相當重的法律責任,實在不可不慎。因個資法所涉層面甚廣,本文謹略就個資法相關重要規定、常見實務問題,及企業之因應措施分別論述如下,以供各界先進卓參。

壹、個資法重要規定

相較於過往,新版個資法課予非公務機關許多義務,其中最為重要者,當屬法定事項之告知義務、當事人之書面同意,及個資當事人行使權利之機制,茲分述如下:

一、法定事項之告知義務

(一)直接蒐集

個資法以非公務機關取得個人資料之方式為直接或間接蒐集,而適用不同的規範,若為「直接蒐集」(意即直接自當事人本人取得其個資)者,依個資法第8條第1項規定,非公務機關應於「蒐集時」告知當事人非公務機關之名稱、蒐集個資之目的、蒐集個資之類別、個資利用之期間、地區、對象、方式,及當事人得行使之權利與方式、當事人得自由選擇是否提供其個資暨不提供之影響。惟同條第2項定有5款例外得免予告知之事由,其中較可能為非公務機關援用者,應屬「當事人明知應告知之內容」,意即當事人對於前述法定告知事項均已知悉,然此款規定於具體適用上,如何主張當事人已明知其於法律上得行使之權利及方式,較難提出合理之說明,且不確定性高,故不建議企業貿然依本款規定,即遽不告知法定事項。

至於告知之方式,個資法並未明文規定須以何種方式為之,而依個人資料保護法施行細則(下稱「施行細則」)第15條之規定,得以口頭、書面、電話、簡訊、電子郵件…等,可供當事人知悉或可得知悉之方式為之,因此,企業在時間與行政成本的考量下,建議可選擇以電子郵件的方式告知當事人相關法定事項。

此外,非公務機關就其於新法施行前直接蒐集之個資,於新法施行後,是否需要一一補行法定事項之告知呢?依施行細則第32條規定,非公務機關於「原蒐集之目的範圍內」,仍得繼續處理、利用該筆個資,而毋需告知個資法第8條第1項規定所列各款事項;惟若涉及「原蒐集目的範圍外之利用」時,則仍應依個資法第20條規定為之,亦即除有該條所列之特殊事由外,原則上均須取得當事人之書面同意後,始得為之,否則除有民事責任外,尚有高達新台幣(下同)5萬元至50萬元之行政罰鍰,甚至還會面臨5年以下有期徒刑、100萬元以下罰金之刑責。

(二)間接蒐集

若為「間接蒐集」(意即非自當事人本人取得其個資之情形,例如企業自員工取得其眷屬健保加保之資料)者,依個資法第9條第1項及第8條第1項規定,原則上,非公務機關應於「處理或利用前」告知當事人取得其個資之來源、非公務機關之名稱、蒐集個資之目的、蒐集個資之類別、個資利用之期間、地區、對象、方式,及當事人得行使之權利與方式,但依個資法第9條第3項規定,非公務機關亦得於「首次利用時併同為之」,意即對當事人首次利用其個資時,同時告知相關法定事項;而個資法第9條第2項同樣亦列有5款例外毋須踐行告知之事由,然一般企業在大多數情況下,仍難據以主張免除告知義務。再者,同前所述,非公務機關得以口頭、書面、電話、簡訊、電子郵件等一切可使當事人知悉或可得知悉之方式進行告知,並非以書面為之不可。

至於非公務機關就其於新法施行前間接蒐集之個資,於新法施行後,是否需要對當事人補行法定事項之告知呢?就此問題,個資法第54條規定要求非公務機關須於新法施行之日起一年內,對所有間接蒐集而來之個資之當事人完成告知,若未於期限內完成告知而處理或利用該個資時,非公務機關將被處以2萬元至20萬元之罰鍰,且可連續處罰。然此條規定對非公務機關影響甚大,金融機構更是首當其衝,不僅需要將過往蒐集所得之個資一一區分究為直接或間接蒐集,且須就數量龐大的當事人一一完成法定事項之告知,所需耗費之時間及行政成本,實在不可小覷;因此,個資法於今年10月1日施行時,第54條規定即是唯二被暫緩施行的其中一個條文,故目前非公務機關並不需要在102年10月1日前完成法定事項之告知,僅需於「處理或利用前」或「於首次利用時」告知即可。

二、當事人之書面同意

(一)直接或間接蒐集個資時

依個資法第19條第1項規定,非公務機關蒐集個人資料時,除須有特定目的外,並須具備該項所列各款事由之一,始為合法,而其中非公務機關較常援用之事由,除「與當事人有契約或類似契約之關係」外,即為「經當事人書面同意」。所謂與當事人有「契約關係」,依施行細則第27條規定,係指包括本約,及非公務機關與當事人間為履行該契約,所涉及必要第三人之接觸、磋商或聯繫行為及給付或向其為給付之行為,例如雙方訂有僱傭契約、買賣契約或其他服務契約;而與當事人有「類似契約之關係」,則係指非公務機關與當事人間於契約成立前,為準備或商議訂立契約或為交易之目的,所進行之接觸或磋商行為,及契約因無效、撤銷、解除、終止而消滅或履行完成時,非公務機關與當事人為行使權利、履行義務,或確保個人資料完整性之目的所為之連繫行為,例如雙方基於業務合作之目的,於拜訪或會談場合交換名片時,並不需要另外取得相對人之書面同意。

非公務機關若無前述之事由時,原則上便須得到當事人之書面同意,始可蒐集其個資,否則除有民事責任外,非公務機關、代表人、管理人及其他有代表權人更會被處以5萬元至50萬元之罰鍰,若未得當事人書面同意之行為已足生損害於他人時,相關行為人甚至還有2年以下有期徒刑、20萬元以下罰金(無營利之意圖),或5年以下有期徒刑、100萬元以下罰金(具有營利之意圖)之刑責!

而前述所稱之當事人「書面同意」,依個資法7條第1項規定,係指當事人經蒐集之主體告知個資法第8條或第9條所列之法定事項後,所為允許之書面意思表示。因此,企業於當事人同意之書面上,應列上相關法定告知事項,以免事後發生爭議。

(二)為特定目的外之利用時

依前所述,非公務機關在蒐集當事人之個資時,必須告知其蒐集之目的,而若非公務機關嗣後欲就所蒐集之個資作該目的範圍外之利用時,除有個資法第20條第1項規定所列1至5款之事由外,均須經當事人書面同意後始可為之,否則亦有如前所述之民事、行政及刑事責任。

再者,此處所稱之當事人「書面同意」,依個資法7條第2項規定,係指當事人經蒐集之主體告知「特定目的外之其他利用目的、範圍及同意與否對其權益之影響」後,單獨所為之書面意思表示;若此係與其他意思表示於同一書面為之者,依施行細則第15條規定,蒐集者應於適當位置使當事人得以知悉該內容並確認同意。故企業在具體個案上,如未能使當事人以單獨的書面表示同意,至少亦應以明顯之標示(如:框線加粗、使用不同的字體或顏色)使當事人得以注意前述之告知內容,如此所取得之「當事人書面同意」,始屬合法。

三、個資當事人之權利

依個資法第3條規定,當事人就其個人資料得主張查詢或請求閱覽、請求製給複製本、請求補充或更正、請求停止蒐集、處理或利用、請求刪除等權利,且不得預先拋棄或以特約限制之,故非公務機關不得與當事人事先約定排除其行使上述權利,否則該約定依民法第71條規定,係屬無效。

而非公務機關依個資法第10條及第11條規定,須依當事人之請求,答覆查詢、提供閱覽、製給複製本,或加以更正、補充之;如蒐集個資之特定目的消失或期限屆滿時,則應主動或依當事人之請求,刪除或停止蒐集、處理、利用其個人資料。再者,非公務機關受理當事人前述請求時,原則上應於15日內(查詢、請求閱覽、請求製給複製本)或30日內(請求補充或更正、請求停止蒐集、處理或利用、請求刪除)為准駁之決定,否則除有民事責任外,更會被處以2萬元至20萬元之罰鍰。

貳、常見實務問題

一、如何踐行法定事項之告知義務及取得當事人之書面同意?

雖個資法並未要求蒐集當事人之個資時,須以一定方式告知相關法定事項,然基於留存證據以免去事後爭議的考量,仍建議企業以書面、電子郵件、簡訊等可留存紀錄之方式進行告知,並就直接蒐集與間接蒐集個資之情形,分別擬定公版告知條款,以省去個案處理之時間與行政成本,並避免違法之風險。

二、一般民眾瀏覽企業的官方網站時,會透過存取cookies以蒐集瀏覽者之瀏覽紀錄,並藉以分析其愛好、瀏覽習慣等資訊,此是否受個資法之規範?若為肯定,企業應如何踐行法定事項之告知並取得瀏覽者之書面同意?

依個資法第2條第1款規定,所謂「個人資料」係指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。依此規定,瀏覽個別網站之紀錄、習慣等資訊,屬於當事人之「社會活動」,亦為個資法所規範之「個人資料」,故企業仍須於「蒐集時」對瀏覽者踐行法定事項之告知,如無特殊事由,並應取得其書面同意。

至於告知法定事項,依前所述,個資法並未要求須以一定方式為之,而取得書面同意之方式,依電子簽章法第4條第2項規定,如其內容可完整呈現,且可於日後取出供查驗,並經相對人同意者,則得以電子文件為之。故建議企業於網站上設計強迫式彈跳視窗,並以「隱私權政策」詳列個資法規定應告知之事項,且要求瀏覽者須勾選「我已閱讀此隱私權政策,並同意○○○○公司蒐集、處理、利用我的個人資料。」後,始可瀏覽網站相關資訊。

三、委託外部廠商處理企業內與個資相關之業務時,若外部廠商洩漏個資,是否與委託機關無關?

依個資法第27條第1項規定,企業保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏;再者,依施行細則第12條規定,企業就前述所稱之適當安全措施,應採取技術上及組織上之措施,意即須建立下列相關機制:配置管理之人員及相當資源、界定個人資料之範圍、個人資料之風險評估及管理機制、事故之預防、通報及應變機制、個人資料蒐集、處理及利用之內部管理程序、資料安全管理及人員管理、認知宣導及教育訓練、設備安全管理、資料安全稽核機制、使用紀錄、軌跡資料及證據保存、個人資料安全維護之整體持續改善。因此,企業並不因其將個人資料相關業務委託外部廠商辦理,即可免去所有責任,甚且,企業對受託廠商尚負有選任、監督之注意義務,否則企業本身將負有嚴苛之民事責任,亦即於個資外洩之個案中,即便當事人無法具體主張其損害額,每人每一事件仍可請求500元至2萬元之賠償,且企業須自行舉證其無故意或過失,始可免責。

因此,企業除須於選商時建立一套控管標準,建議企業就與委外廠商間之合作契約或委外契約上,應加註、設計相關個資保護條款,以降低法律風險,甚至於合作期間內,對受託廠商建立監督、稽核之標準機制。

四、對於個人資料之保護應做到什麼程度,才能於個資外洩之具體個案中免責?

依前所述,企業因在訴訟中被推定具有過失,故企業須自行舉證無故意或過失始可免責,而舉證無過失之最好方式,便是提出企業已符合個資法所有要求之證據,尤其是前述個資法第27條及施行細則第12條所規定各款事項之紀錄。

五、企業就於101101日前蒐集之個資,欲於101101日起加以處理、利用時,應注意哪些事項始能避免當事人之合法性質疑?

雖新法施行前直接蒐集之個資,於新法施行後,仍得於原蒐集之目的範圍內繼續處理、利用,而無須踐行法定事項之告知或取得當事人之書面同意,僅間接蒐集之個資須於第一次處理、利用前告知當事人相關法定事項,惟考量企業過往蒐集之個資為數不少,逐一區分究為直接或間接蒐集實屬不易,且所需耗費之時間與行政成本亦相當高,況且即便是直接蒐集,亦難以確定當時蒐集個資目的之範圍,故仍建議企業一律以間接蒐集個資之標準,進行法定事項之告知,以免違法。

參、企業之因應措施

由上述可知,新版個資法對於企業的影響著實相當廣泛,且各中央目的事業主管機關均已著手草擬非公務機關之個人資料檔案安全維護計畫及業務終止後個人資料處理之方法,企業為免觸法,應盡早進行各部門內的個資盤點,以了解各筆個資的流向並改善相關缺失;再者,企業亦應設立個資保護小組、建立標準流程規範、擬訂隱私權政策、修改各類個資蒐集表單及法律文件(尤應於委外契約及員工聘僱契約中設計相關個資保護條款,以保障企業之權益),以全面檢視法遵狀況,及確保符合法令之要求。

本所對於個人資料保護相關法令之遵循專案導入流程已有相當經驗,可提供企業個資盤點、個資組織與個資分類分級原則之建議,及使用者條款、隱私權政策、各類個資蒐集表單、法律文件及契約之擬訂及審閱,如有相關需求歡迎聯繫 charlotte.wu@zhongyinlawyer.com.tw。

※聲明與宣告:以上內容僅為法律知識之分享,請勿援引作為法律意見之依據,相關內容亦將因後續法令之增修而有所變動,細節請來信諮詢。歡迎於通知並取得作者同意後轉載,謝謝。

討論

仍無迴響。

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com Logo

您的留言將使用 WordPress.com 帳號。 登出 / 變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 / 變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 / 變更 )

Google+ photo

您的留言將使用 Google+ 帳號。 登出 / 變更 )

連結到 %s

%d 位部落客按了讚: