正確解讀個人資料保護法 ─學校如何面對新個資保護時代的來臨

Presentation on theme: "正確解讀個人資料保護法 ─學校如何面對新個資保護時代的來臨"— Presentation transcript:

1 正確解讀個人資料保護法 ─學校如何面對新個資保護時代的來臨
正確解讀個人資料保護法 ─學校如何面對新個資保護時代的來臨 台灣隱私權顧問協會 秘書長 劉佐國

2 簡 歷 劉佐國 東吳大學法律系畢業、美國杜克大學研究 現任台灣隱私權顧問協會秘書長 重要經歷
簡 歷 劉佐國 東吳大學法律系畢業、美國杜克大學研究 現任台灣隱私權顧問協會秘書長 重要經歷 法務部法律事務司科長、專門委員( ) 法務部「電腦處理個人資料保護法修正草案研修小組」 承辦人( ) APEC隱私權保護小組(APEC Privacy Subgroup) 中華台北代表暨小組工作成員( ) 台日電子商務法制協調會議代表成員( ) 著作：個人資料保護法釋義與實務

3 【個人資料保護法之立法目的】 ◎避免人格權受侵害 ◎促進個人資料合理利用 個資法第1條

4 個人資料自決權 其就個人自主控制個人資料之資訊隱私權而言，乃保障人民決定是否揭露其個人資料、及在何種範圍內、於何時、以何種方式、向何人揭露之決定權，並保障人民對其個人資料之使用有知悉與控制權及資料記載錯誤之更正權。惟憲法對資訊隱私權之保障並非絕對，國家得於符合憲法第二十三條規定意旨之範圍內，以法律明確規定對之予以適當之限制。 ～大法官會議釋字603號解釋文

5 個資法中最重要的概念 →個人資料自決權 任何人對於其相關之個人資料，如不涉及公益或法律規定，原則上均得自我決定是否公開或提供他人利用。

6 八達通出賣個資 200萬人隱私全都露 【 2010-07-29 旺報 】
八達通出賣個資 萬人隱私全都露 八達通公司承認，自2002年開始就將用戶資料轉售給六家公司，2006年起更向信諾等兩家保險公司出售近200萬名客戶的個人資訊，獲利4400萬港元，占八達通總收益31%，包含佣金（如果有客戶向信諾購買保險，八達通便可獲得佣金），堪稱香港有史以來最大宗個資販售事件。 【 旺報 】

7 網路書店個資外洩消費者被詐騙 聯合晚報 愛書人的購書習慣因網路而有所改變，網路書店如雨後春筍般成立，警政署最近意外發現，愛書人上網買書後，就接到騙徒電話，冒充書局客服人員，騙稱因「作業疏失」，要求購書人去提款機操作以「取消分期付款」，一位張姓女護士上網買了一本兩百七十元的書，就這樣被騙近十六萬元，好貴！ 。

8 銀行信用卡申請書被員工攜出盜賣 新版個資法才剛在10/1正式上路，就驚傳銀行洩漏民眾個人資料。台南市議員王定宇今(11/22)日召開記者會指出，XX銀行外洩大量客戶信用卡申請資料，要求金管會撤查。對此XX銀行立即發表聲明指出，全為離職員工個人不法行為，已決定追究該名員工法律責任。而金管會則已經介入調查，以瞭解銀行內控有無問題。

9 銀行員工私自調閱聯徵中心資料 TVBS 2013年1月29日新聞
…..銀行握有個資，依法必須負責防止竄改、洩漏，趙小姐強調自己從未同意辦理信用卡，如果屬實，黃先生私自向聯徵中心查詢趙小姐個資已經觸法，XX銀行未盡督導之責，也得負連帶賠償，雙方對簿公堂。

10 日本發生個人資料大量外洩案件賠償情形 資料來源：日本經產省商務情報政策局 時間 企業/組織 規模 備考 1998/01 人力派遣會社 9萬件
法院訴訟和解 1999/05 地方自治體 22萬件 1.5萬日圓/人 2002/05 醫院 5萬件 2002/08 食品公司 1200件 商品(2千日圓)240萬日圓 2003/06 便利商店 115萬件 禮券(500日圓)5.8億日圓 2004/02 網際網路公司 450萬件 現金券(500日圓)23億日圓 2004/03 鐵路公司 15萬件 入園券(5千日圓)7.5億日圓 2004/08 信用卡公司 48萬件 現金券(500日圓)5億日圓 資料來源：日本經產省商務情報政策局

11 擴大適用主體(公務機關及自然人、法人、團體)
你必須知道的新個資法重點 行為主體 保護客體 規範行為 處罰 新個資法 公布 施行 §6§54除外 擴大適用主體(公務機關及自然人、法人、團體) 擴大並加強保護對象 (紙本、特種) 加重民事、刑事、行政罰責任規定 增修規範行為 (告知、通知、行銷拒絕)

12 ※「個人資料」意涵之一 個人資料 一般資料 §2‧1 特種資料 §6
生存自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、聯絡方式、財務情況、社會活動 醫療（病歷）、基因、性生活、健康檢查、犯罪前科 及其他得以直接或間接方式識別該個人之資料 (概括條款) 人格發展 時速170 七堵 后里 個人資料 12

13 直接識別 間接識別 個人資料 之正確身分 經過比對、組合、連結等程序始能得知 (參考條文：施行細則§3.1)
依據資料性質，能立即得知資料當事人 之正確身分 間接識別 依據該資料不能立即得知當事人為何人，須另 經過比對、組合、連結等程序始能得知 (參考條文：施行細則§3.1)

14 ※「個人資料」意涵之二 保護之資料，其範圍係指下列： 不限於經電腦處理，包括人工處理之資訊在內。 以自然人為限，不包括法人資料。
限於現尚生存之自然人，不包括已死亡者之資料。 公務機關及非公務機關，在中華民國領域外對中華民國人民個人資料蒐集、處理或利用者，亦適用本法。 （ § 51(2)） 保護之資料，不包括下列：（ § 51(1)） 一、自然人為單純個人或家庭活動之目的，而蒐集、處理或利用個人資料。 二、於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料。 限電腦處理(數位攝影VS傳統底片 違規左轉VS雙排停車) 個人足資識別 自殺死亡 14

15 【個人資料保護法骨架】 個人資料 當事人 請求權§3 請求權§3 §2(1) 非公務機關 蒐集處理利用 蒐集處理利用 公務機關 民事賠償
§2(9) 請求權§3 請求權§3 §2(1) 個人資料 非公務機關 §2(8) 蒐集處理利用 §15§16 蒐集處理利用 §19§20 公務機關 §2(7) 民事賠償 刑事責任 非公務機關 行政處罰 15

16 個人資料蒐集與利用的四字箴言 目的 必要 基礎關係 (法律要件)

17 明確性、必要性與關聯性原則 重當事人之權益，依誠實及信用方法為之，不得逾越 特定目的之必要範圍，並應與蒐集之目的具有正當合 理之關聯。
個資法第5條：個人資料之蒐集、處理或利用，應尊 重當事人之權益，依誠實及信用方法為之，不得逾越 特定目的之必要範圍，並應與蒐集之目的具有正當合 理之關聯。 1.明確性原則：明確界定蒐集之特定目的及基礎關係為何？ 利用資料是否屬特定目的範圍內？ 2.必要性原則：不蒐集或提供該類資料，是否仍能完成 業務？ 3.關聯性或選擇性原則：不必要的個人資料之蒐集或利 用，由當事人自行決定。

18 個人資料 蒐集、處理及利用之特定目的 個人資料保護法之特定目的(182項) 蒐集 處理 利用 1. 002 人事管理
人事管理 契約、類似契約或其他法律關係事務 教育或訓練行政 學生（員）(含畢、結業生)資料管理 蒐集 任何方法取得 個人資料 處理 為建立或利用個人資料檔案所為之 紀錄、輸出、儲存 編輯 更正 複製、檢索、刪除、輸出、連結 或內部傳送將個人 利用 將蒐集之個人資料 為處理以外使用 個人資料 18 18

19 學校蒐集個資的特定目的 002 人事管理 063 非公務機關依法定義務所進行個人資 料之蒐集處理及利用
002 人事管理 063 非公務機關依法定義務所進行個人資 料之蒐集處理及利用 069 契約、類似契約或其他法律關係事務 109 教育或訓練行政 110 產學合作 146 圖書舘管理 157 調查、統計與研究分析 158 學生(員)資料管理(含畢、結業生) 159 學術研究 160 憑證業務管理

20 如何合法蒐集個人資料 明白界定蒐集個人資料之特定目的為何? 符合個資法第15條或第19條規定之要件之一 (基礎關係) 具有必要性
※法務部公告了182種特定目的，例如：002 -人事管理； 064-保健醫療服務；069- 契約、類似契約或其他法律關係事務 ；158- 學生(員)資料管理 符合個資法第15條或第19條規定之要件之一 (基礎關係) 具有必要性 ※非具必要性之資料，由當事人自由提供

21 一般個人資料蒐集、處理-公務機關 第十五條 公務機關對個人資料之蒐集或處理，除第 六條第一項所規定資料外，應有特定目的，
第十五條　公務機關對個人資料之蒐集或處理，除第 六條第一項所規定資料外，應有特定目的， 並符合下列情形之一者： 一、執行法定職務必要範圍內。 二、經當事人書面同意。 三、對當事人權益無侵害。 §7 ：第15條第2款所稱書面同意，指當事人經蒐集者 告知本法所定應告知事項後，所為允許之書面 意思表示。 21

22 一般個人資料蒐集、處理-非公務機關 第十九條　非公務機關對個人資料之蒐集或處理，除第六條第一項所規定資料外，應有特定目的，並符合下列情形之一者： 一、法律明文規定。 二、與當事人有契約或類似契約之關係。 三、當事人自行公開或其他已合法公開之個人資料。 四、學術研究機構基於公共利益為統計或學術研究而有必 要，且資料經過提供者處理後或蒐集者依其揭露方式 無從識別特定之當事人。 22

23 一般個人資料蒐集、處理-非公務機關（續）
五、經當事人書面同意。 六、與公共利益有關。 七、個人資料取自於一般可得之來源。 23

24 如何解讀私立學校蒐集學生個人資料 之法源依據
如何解讀私立學校蒐集學生個人資料 之法源依據 非由各級政府機關設置之私立學校，屬個資法之非公務機關→法務部101年11月1日法律字第 號函。 私立學校法第39條：私立學校經學校主管機關許可立 案後，始得招生。 大學法第28條：大學學生修讀本校……與學籍有關事 項，由大學列入學則，報教育部備查。

25 特種個人資料蒐集、處理及利用 第六條 有關醫療(病歷)、基因、性生活、健康檢查及犯罪前科之個人資料，不得蒐集、處理或利用。但有下列情形之一者，不在此限： 一、法律明文規定。 二、公務機關執行法定職務或非公務機關履行法定義務所 必要，且有適當安全維護措施。 三、當事人自行公開或其他已合法公開之個人資料。 四、公務機關或學術研究機構基於醫療、衛生或犯罪預防 之目的，為統計或學術研究而有必要，且經一定程序 所為蒐集、處理或利用之個人資料。 (將增加二要件：經當事人書面同意、為維護公共利益所必要) 25

26 Question? 學校可否蒐集校內學生健康檢查資料? 是否需當事人書面同意? A:學校衛生法§8,9規定，學校應建立學生健康
管理制度；健康檢查及疾病檢查結果，應載 入學籍資料。

27 合法蒐集個人資料後，產生的第一個義務 告知義務 直接蒐集→由當事人提供個人資料 §8 間接蒐集→由第三人處得到當事人之個人資料 §9

28 告知義務→直接蒐集之告知§8 公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時，應明確告知當事人下列事項：
一、公務機關或非公務機關名稱。 二、蒐集之目的。 三、個人資料之類別。 四、個人資料利用之期間、地區、對象及方式。 五、當事人依第三條規定得行使之權利及方式。 六、當事人得自由選擇提供個人資料時，不提供將對其權 益之影響。

29 告知方式 施行細則§16 依本法第八條、第九條及第五十四條所定告知之方式，得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。

30 許多公司企業為了怕違反告知義務，採用公告、張貼、立牌等方式，但效果如何及有無必要，似有待商榷。

31 直接蒐集之免告知§8.2 有下列情形之一者，得免為前項之告知： 一、依法律規定得免告知。 二、個人資料之蒐集係公務機關執行法定職務或
非公務機關履行法定義務所必要。 三、告知將妨害公務機關執行法定職務。 四、告知將妨害第三人之重大利益。 五、當事人明知應告知之內容。

32 間接蒐集→原則上於首次利用個人資料時 為告知行為 §9
間接蒐集→原則上於首次利用個人資料時 為告知行為 §9 個資法第9條第1項： 公務機關或非公務機關依第十五條或第十九條規定蒐集非由當事人提供之個人資料，應於處理或利用前，向當事人告知個人資料來源及前條第一項第一款至第五款所列事項。 個資法第9條第3項： 告知得於首次對當事人為利用時併同為之。 首次利用時告知當事人

33 錯誤的範例 1.醫院與病患間有醫療契約 法律關係，勿需當事人同 意即可合法蒐集個人資料。 2.此表格名稱使用同意書， 易使當事人產生誤解，如 果當事人不同意，該如何 處理？ 3.通知衛教、健檢、門診表、 關懷或滿意度調查等，應 屬特定目的內利用，亦不 需要當事人同意。 4.如果其目的只是在告知當 事人醫院基於醫療目的蒐 集其個人資料，亦勿庸以 此方式告知(告知沒有同意 之概念)。

34 有必要作這份文件嗎?是同意書還是告知書? 1

35 多此一舉，沒有意義 我的解讀 1.社團法人蒐集會員之個人資料 ，其特定目的為組織章程所 定業務(181)及會員名冊管理(52)。
2.社團法人與會員間具有契約關係，符合個資法第19條2款 規定，蒐集資料勿需當事人同意。 3.會員明知提供那類資料給社團及其用途為何，即無需告知。。 4.此份文件並無要求會員同意可以將資料用於與組織章程無 關事項(特定目的外利用)，與個資法第7條規定無涉。 多此一舉，沒有意義

36 違反個資法第8、9條規定之告知義務，可能面臨的→法律責任
1.沒有民事損害賠償責任─§29 2.沒有刑事責任─§41 3.最輕微的行政責任─§48

37 如何合法利用個人資料 明確瞭解利用個人資料之特定目的為何?
※利用個人資料之目的與蒐集之目的相同→特定目的內利用 利用個人資料之目的與蒐集之目的不同→特定目的外利用 原則只能作特定目的內利用，符合個資法第16條或第20條規定之要件之一者，才能作特定目的外利用。(基礎關係) 不得逾越必要範圍(必要性之考量)

38 一般個人資料利用-公務機關 【特定目的內利用】個資法第16條本文 公務機關對個人資料之利用，除第六條第一項所規定
資料外，應於執行法定職務必要範圍內為之，並與蒐 集之特定目的相符。 【特定目的外利用】個資法第16條但書 一、法律明文規定。 二、為維護國家安全或增進公共利益。 三、為免除當事人之生命、身體、自由或財產上之危 險。 四、為防止他人權益之重大危害。 38

39 一般個人資料利用-公務機關 【特定目的外利用】（續） 五、公務機關或學術研究機構基於公共利益為統計或學
術研究而有必要，且資料經過提供者處理後或蒐集 者依其揭露方式無從識別特定之當事人。 六、有利於當事人權益。 七、經當事人書面同意。 39

40 利用個人資料之實例介紹 1.公告屬於個資法所稱的利用行為。 2.公告學生參加比賽得獎名單，應屬特定目的內(教育)之利用，
且在必要範圍內。(激勵學生與鼓勵得獎同學) 3.基於尊重當事人的個人資料自決權，如其要求不予公告，宜 本於平衡比較後，為適當之處置。

41 一般個人資料利用-非公務機關 【特定目的內利用】個資法第20條本文
非公務機關對個人資料之利用，除第六條第一項所規定資料外，應於蒐集之特定目的必要範圍內為之。 【特定目的外利用】個資法第20條但書 一、法律明文規定。 二、為增進公共利益。 三、為免除當事人之生命、身體、自由或財產上之危險。 四、為防止他人權益之重大危害。 41

42 一般個人資料利用-非公務機關 【特定目的外利用】（續） 五、公務機關或學術研究機構基於公共利益為統計或學
術研究而有必要，且資料經過提供者處理後或蒐集 者依其揭露方式無從識別特定之當事人。 六、經當事人書面同意。 非公務機關依前項規定利用個人資料行銷者，當事人 表示拒絕接受行銷時，應即停止利用其個人資料行銷。 非公務機關於首次行銷時，應提供當事人表示拒絕接 受行銷之方式，並支付所需費用。 42

43 是否過度解讀個資法之規定

44 1.畢業證書是學校發給之畢業文憑，提供確認應認係特定目的內利用
2.學校蒐集處理利用學生之個人資料，應有代號160憑證業務管理之目的 3.依個資法第14條意旨，應可收取必要成本費用 4.宜訂定提供確認之程序，以保護學生之個人資料

45 當事人書面同意特定目的外利用個人資料之重要規定→明確告知後單獨為之
概括式之同意特定目的外利用個資之簽名不具法律效力

46 公務機關個資安全維護 個資法§18：公務機關保有個人資料檔案者，應指定 專人辦理安全維護事項，防止個人資料被竊取、竄 改、毀損、滅失或洩漏。
施行細則§12：規定了十一項具體的安全維護措施內 容。 施行細則§25：規定「專人」必須具有維護能力，並應 接受相關專業之教育訓練。 46

47 個資法§27 非公務機關個資安全維護 非公務機關保有個人資料檔案者，應採行適當之安全措 施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。
中央目的事業主管機關得指定非公務機關訂定個人資料 檔案安全維護計畫或業務終止後個人資料處理方法。 前項計畫及處理方法之標準等相關事項之辦法，由中央 目的事業主管機關定之。 (細則§12 §25 參考) 47

48 法律責任-民事(公務或非公務機關) 對公務機關請求權依據─ §28(1)
(一)要件：公務機關違反本法規定，致個人資料遭 不法蒐集、處理、利用或其他侵害當事人權利者。 (二)責任：負損害賠償責任，但損害因天災、事變或 其他不可抗力所致者，不在此限。【無故意過失責任】 (三)非財產上之損害： §28(2)、(5) 1.亦得請求賠償相當之金額；其名譽被侵害者，並 得請求為回復名譽之適當處分。 2.不得讓與或繼承。但以金額賠償之請求權已依契 約承諾或已起訴者，不在此限。 對非公務機關請求權依據─ §29(1) 非公務機關所負民事責任為「舉證責任倒置」-能證明其 無故意或過失者，始能免除賠償責任。

49 ◎公司企業個資安全維護計畫之訂定與 安全措施之執行→非常重要，可以證 明無故意或過失。 ◎建構公司企業的保護傘，避免負鉅額
非公務機關保護傘之概念 ◎公司企業個資安全維護計畫之訂定與 安全措施之執行→非常重要，可以證 明無故意或過失。 ◎建構公司企業的保護傘，避免負鉅額 的民事賠償責任，並保護企業負責人 面臨行政處罰。

50 個資法規定之損害賠償請求金額 賠償額度限制(§29(2)準用28(3)、(4)) (1)個人請求：每人每一事件NT500元〜 2萬元計算
例外：證明損害額較高，不在此限 (2)責任限制：基於同一原因事實：合計最高總額 NT2億元 例外：所涉利益超過者，以該所涉 利益為限。

51 法律責任-刑事(行為人) §41（違反蒐集、處理、利用及國際傳遞要件） 非意圖營利 足生損害 於他人 意圖營利
違反第6條、第15條、第16條、第19條、第20條第1項規定，或中央目的事業主管機關依第21條限制國際傳輸之命令或處分 非意圖營利 處2年以下有期徒刑、 拘役或科或併科新臺幣 20萬元以下罰金 (告訴乃論) 足生損害 於他人 意圖營利 處5年以下有期徒刑， 得併科新臺幣100萬元 以下罰金 (公訴罪) 51

52 法律責任- 行政(非公務機關及負責人) §47、§50（違反蒐集、處理、利用及國際傳遞要件） 違反第6條第1項 、 處新臺幣5萬元
第19條、第20條第1項 或中央目的事業主管 機關依第21條規定限 制國際傳輸之命令或 處分 處新臺幣5萬元 以上50萬元以 下罰鍰，並令 限期改正 中央目的事 業主管機關 或直轄市、 縣(市)政府 非公務機關之代表人 、管理人或其他有代 表權人，不能證明已 盡防止義務者 屆期未改正者 ，按次處罰之 52

53 實務常見問題 員工 駭客入侵 一、個人資料蒐集、處理、利用行為 （一）蒐集、利用違反法律規定，逾越必要範圍 （二）特定目的外利用
（三）委外處理風險 （四）書面同意條款合法性 二、個人資料外洩、竄改 將個人資料賣給別人 免費幫親朋好友查資料 竄改別人資料 故意 員工 (含委外處理 團體之員工) 駭客入侵 不慎將含有個人資料 之業務用電腦遺失在 火車上 過失 53

54 如何面臨新個資法時代的應有作為 一、全面檢視所持有之個人資料檔案，對個人資料依 其性質、用途予以分類整理，並作必要處置。 二、建置完整合法之資料蒐集、處理及利用之標準程 序。 三、依個資法第27條規定，採行適當安全措施，訂定 個人資料檔案安全維護計畫及業務終止後個人資 料處理方法，並指定專人辦理負責。(細則§12§25) 四、定期辦理個資法教育訓練與宣導，提高員工個資 保護意識。

55 敬請指教