個人資料保護法說明及因應 開講了 劉嘉裕 律師
簡 歷 學歷:政戰學校法律系74年班;高雄大學法律學碩士 經歷: ◎國防部高等軍事法院高雄分院上校審判官 ◎國防部海軍司令部部聘律師 簡 歷 學歷:政戰學校法律系74年班;高雄大學法律學碩士 經歷: ◎國防部高等軍事法院高雄分院上校審判官 ◎國防部海軍司令部部聘律師 ◎國防部空軍司令部部聘律師 ◎高雄市三民區公所法律諮詢律師 ◎空中大學高雄中心兼任講師 ◎高雄應用科技大學兼任講師 現職: 劉嘉裕律師事務所律師
講授大綱 前言 個人資料保護法之立、修法沿革: 何謂個人資料? 個資法保護之法益: 個資法之行為態樣: 個資法之規範對象: 講授大綱 前言 個人資料保護法之立、修法沿革: 何謂個人資料? 個資法保護之法益: 個資法之行為態樣: 個資法之規範對象: 個人資料之蒐集、處理、利用之原則:
講授大綱 公務機關對於個人資料之權利與義務 : 非公務機關對於個人資料之權利與義務 : 中央目的事業主管機關及直轄市、縣市政府 權限與責任: 講授大綱 公務機關對於個人資料之權利與義務 : 非公務機關對於個人資料之權利與義務 : 中央目的事業主管機關及直轄市、縣市政府 權限與責任: 個資受侵害之損害賠償請求權時效: 違反個資法涉及刑責部分: 因應個資法施行應有之認知與作法: 結論
前言 隨著經濟高度發展及網際網路的便捷的使用,人際關係日益密切頻繁 ,個人資料被不當蒐集與利用的機會升高,故個人資料之保護,成受 關注的焦點。 由於「資訊」有價,所以資訊使用者重視自己個人隱私,行政機關與 企業者亦思考如何保護擁有資訊的權利與應負擔之責任與義務。 個人資料保護法之制定,代表國家對於個人資料及個人隱私的重視; 欲建立安全、保密及可信賴的資訊化社會及優質的資訊法律生活化環 境。 於日常生活中,我們可能是個人資料的「蒐集者」,亦可能為「被蒐 集者」 ,因此我們都是個人資料保護法(以下簡稱個資法)規範之 對象,所以必須瞭解內所載有關權利義務之規範內容,以保護個人權益 ,正確使用個資,以免誤違個資法。
個人資料保護法之立、修法沿革 1990.9.3日:法務部著手研擬個人資料保護之相關法律 1993.1月:行政院送立法審議 1995.8.11日:電腦處理個人資料保護法(以下稱舊法) 1.參考「經濟合作暨發展組織」 (OECD)所揭保護個資 八大原則:限制蒐集、資料內容正確、目的明確化、限 制利用、安全保護、公開、個人參加、責任等原則。 2.僅以經「電腦處理」之個人資料為限。 3.規範主體:僅限公務機關及八類非公務機關(徵信業; 醫院、學校、電信業、金融業、證券業、保 險業及大眾傳播業;其他經法務部會同中央 目的事業主管機關指定之事業、團體或個人 )。
個人資料保護法之立、修法沿革 2004.9.8日:行政院向立法院提出修正草案。 2010.4.27日:立法院三讀通過,並將名稱更改為「個人資 料保護法」,經總統同年5月16日公布,施 行日期由行政院定之, 2012.10.1日施行:行政院2012.9.21日以院臺法字第 1010056845號令公告
何謂個人資料? 自然人(不含法人) 列舉部分:姓名、出生年月日、國民身分證統一編號、護 照號碼;特徵、指紋、婚姻、家庭、教育、職 業、病歷;醫療、基因、性生活、健康檢查、 犯罪前科(此部分為特種資料,個資法有特別 規範);聯絡方式、財務情況、社會活動。 概括部分:其他得以直接或間接方式識別該個人之資料, 如生物辨識之掌形、聲紋等(§2(1))。 個人資料檔案:指依系統建立而得以自動化機器或其他非 自動化方式檢索、整理之個人資料之集合 (§2(2)) 。
個資法保護之法益 人格權: 隱私權:應屬憲法之基本權利;理由是基於人性尊嚴、個人 主體性的維護、人格發展之完整、保障個人生活 私密領域免於他人侵擾及個人資料之自主控制。 資訊隱私權:人民決定是否揭露其個人資料及在何種範圍 內、於何時、以何種方式、向何人揭露之決 定權,並保障人民對其個人資料之使用有知 悉與控制權及資料記載錯誤之更正權。 人格權﹥隱私權﹥資訊隱私權
個資法之行為態樣 蒐 集:指以任何方式取得個人資料。 處 理:為建立或利用個人資料檔案所為資料之記 錄、輸入、儲存、編輯、更正、複製、 蒐 集:指以任何方式取得個人資料。 處 理:為建立或利用個人資料檔案所為資料之記 錄、輸入、儲存、編輯、更正、複製、 檢索、刪除、輸出、連結或內部傳送。 利 用:指將蒐集之個人資料為處理以外之使用。
個資法之規範對象 公務機關:指依法行使公權力之中央或地方機關或行政法 人(2011.4.27日公布施行之行政法人法,指 人(2011.4.27日公布施行之行政法人法,指 國家或地方自治團體以外由中央目的事業主管 機關,為執行特定公共任務,依法設立之公法 人,如國立中正文化中心,主管機關是教育部 ,依國立中正文化中心設置條例)。 視同公務機關:非公務機關「依法」(如私立學校)「受 委託」(如海基會)行使公權力而蒐集、 處理或利用個人資料者。 非公務機關:公務機關以外之自然人、法人或其他團體。
個人資料之蒐集、處理、利用之原則 原則: (一)個人就其個資之行使權利,不得預先拋棄或特約限制 (二)應尊重當事人之權益,依誠實及信用方法為之,不得 逾越特定目的之必要範圍,並應與蒐集之目的具有正 當合理之關聯。 (三)特殊個資不得蒐集、處理或利用:即有關醫療、基因 、性生活、健康檢查及犯罪前科等五項個人 資料。 (四)本法所載之「書面同意」係指:
個人資料之蒐集、處理、利用之原則 1.有特定目的:指當事人經蒐集者告知本法所定應告知事 項後,所為允許之書面意思表示。 1.有特定目的:指當事人經蒐集者告知本法所定應告知事 項後,所為允許之書面意思表示。 2.特定目的外之利用:指當事人經蒐集者明確告知特定目 的外之其他利用目的、範圍及同意與否對 其權益之影響後,單獨所為之書面意思表 示。
個人資料之蒐集、處理、利用之原則 公務機關與非公務機關: 一、蒐集個資時,應告知之事項: 1.向當事人蒐集:蒐集者名稱、蒐集目的、個資之類別、 個資利用之期間、地區、對象及方式、 依第三條規定得行使之權利及方式、當 事人得自由選擇提供個人資料時,不提 供將對其權益之影響。(第8條第1項) 得免告知之情形:法定得免告知、個資蒐集係履行法定 義務所必要、告知將妨害公務機關執 行法定職務、告知將妨害第三人之重 大利益、當事人明知應告知之內容( 第8條第2項)。
個人資料之蒐集、處理、利用之原則 個資來源及前條第一項第一款至第 五款所列事項;另本法第9條第2項 亦有免告知之情形。 2.向非當事人蒐集時:於處理或利用前,應向當事人告知 個資來源及前條第一項第一款至第 五款所列事項;另本法第9條第2項 亦有免告知之情形。 二、答覆查詢、提供閱覽或製給複製本: (一)依當事人之請求,就其蒐集之個人資料,於15日內為 准駁,必要時得予延長(不得逾15日,將原因以書面 通知請求人)。 (二)本法第10條但書,有免除此義務之規定(有妨害:國 家安全、外交及軍事機密、整體經濟利益或其他國家
個人資料之蒐集、處理、利用之原則 重大利益、公務機關執行法定職務、該蒐集機關或第 三人之重大利益者)。 (三)得酌收必要成本費用。 重大利益、公務機關執行法定職務、該蒐集機關或第 三人之重大利益者)。 (三)得酌收必要成本費用。 三、維護個資之正確: (一)應主動或依當事人請求更正或補充之。 (二)正確性有爭議時,應主動或依請求停止處理與利用。 (三)刪除、停止個資之處理與利用:於蒐集個資之特定目 的消失、期限屆滿、違反本法規定蒐集處理利用個資 (四)因可歸責而未更正或補正之個資,於更、補後,通知 曾提供利用之對象。
個人資料之蒐集、處理、利用之原則 (五)應於受請求30日內為准駁,必要時得予延長(不得逾 30日,將原因以書面通知請求人) 30日,將原因以書面通知請求人) 四、查明通知當事人:因違反本法規定,致個資被竊取、洩 漏、竄改或其他侵害者。
公務機關對於個人資料之權利與義務 對個資之蒐集或處理:(除第6條第1項特種個資外) 一、應有特定目的。 二、並符合下列情形之一(執行法定職務必要範圍內、當事 人書面同意、對當事人權益無侵害)者。 對個資之利用: 一、應於執行法定職務必要範圍內為之。 二、並與蒐集之特定目的相符。 三、例外下列情形之一,得為特定目的外之利用: 1.法律明文規定。
公務機關對於個人資料之權利與義務 2.為維護國家安全或增進公共利益。 3.為免除當事人之生命、身體、自由或財產上之危險。 2.為維護國家安全或增進公共利益。 3.為免除當事人之生命、身體、自由或財產上之危險。 4.為防止他人權益之重大危害。 5.公務機關或學術研究機構基於公共利益為統計或學術研 究而有必要,且資料經過提供者處理後或蒐集者依其揭 露方式無從識別特定之當事人。 6.有利於當事人權益。 7.經當事人書面同意。 應指定專人辦理:安全維護事項,以防個資被竊取、洩 漏、竄改、毀損、滅失。
公務機關對於個人資料之權利與義務 負損害賠償責任: 一、違反本法致個資遭不法蒐集、處理、利用或其他侵害當 事人權利者。 事人權利者。 二、被害人雖非財產上之損害,亦得請求賠償相當之金額; 其名譽被侵害者,並得請求為回復名譽之適當處分;此 請求權,不得讓與或繼承。但以金額賠償之請求權已依 契約承諾或已起訴者,不在此限。 。 三、免責條件:損害因天災、事變、其他不可抗力所致者。 四、賠償範圍: (一)被害人所受損害或所失利益。
公務機關對於個人資料之權利與義務 (二)得請求法院每人每一事件新臺幣(以下同) 五百元以上二萬元以下計算:被害人不易或 五百元以上二萬元以下計算:被害人不易或 不能證明其實際損害額時。 (三)以2億元為限:對於同一原因事實造成多數當事人權 利受侵害之事件,經當事人請求損害 賠償者,其合計最高總額以新臺幣二 億元為限;但因該原因事實所涉利益 超過新臺幣二億元者,以該所涉利益 為限。
公務機關對於個人資料之權利與義務 (四)受賠償金額不受最低五百元之限制:即同一原因事實 造成之損害總額逾前項2億元金額時,不 受前項每人每一事件最低賠償金額五百元 之限制 。 五、損害賠償,除本法規定外,適用國家賠償法之規定。
非公務機關對於個人資料之權利與義務 對個資之蒐集或處理:(除第6條第1項特種個資外) 一、應有特定目的。 二、並符合下列情形之一 (一)法律明文規定。 (二)與當事人有契約或類似契約之關係 (三)當事人自行公開或其他已合法公開之個人資料。 (四)學術研究機構基於公共利益為統計或學術研究而有必 要,且資料經過提供者處理後或蒐集者依其揭露方式 無從識別特定之當事人。
非公務機關對於個人資料之權利與義務 對個資之利用: 一、應於蒐集之特定目的必要範圍內為之。 (五)經當事人書面同意。 (六)與公共利益有關。(如為查出真凶之人肉搜索) (七)個人資料取自於一般可得之來源。但當事人對該資料 之禁止處理或利用,顯有更值得保護之重大利益者, 不在此限;蒐集或處理者知悉或經當事人通知禁止對 該資料之處理或利用時,應主動或依當事人之請求, 刪除、停止處理或利用該個人資料。 。 對個資之利用: 一、應於蒐集之特定目的必要範圍內為之。
非公務機關對於個人資料之權利與義務 二、下列情形之一,得為特定目的外之利用: (一)法律明文規定。 (二)為增進公共利益。 (三)為免除當事人之生命、身體、自由或財產上之危險。 (四)為防止他人權益之重大危害。 (五)公務機關或學術研究機構基於公共利益為統計或學術 研究而有必要,且資料經過提供者處理後或蒐集者依 其揭露方式無從識別特定之當事人。 (六)經當事人書面同意。
非公務機關對於個人資料之權利與義務 利用個資行銷者: 一、首次行銷時: (一)應提供當事人表示拒絕接受行銷之方式。 (二)並支付所需費用。 二、當事人表示拒絕接受行銷時:應即停止利用。 為國際傳輸個人資料: 而有下列情形之一者,中央目的事業主管機關得限制之: (一)涉及國家重大利益。 (二)國際條約或協定有特別規定。 (三)接受國對於個人資料之保護未有完善之法規,致有損
非公務機關對於個人資料之權利與義務 當事人權益之虞者。 (四)以迂迴方法向第三國(地區)傳輸個人資料規避本法 保有個資檔案者:(第27條) 當事人權益之虞者。 (四)以迂迴方法向第三國(地區)傳輸個人資料規避本法 保有個資檔案者:(第27條) 一、應採行適當之安全措施,防止個人資料被竊取、竄改、 毀損、滅失或洩漏。 二、訂定個人資料檔案安全維護計畫或業務終止後個人資料 處理方法:此中央目的事業主管機關得指定非公務機關 訂定之。 ()
非公務機關對於個人資料之權利與義務 負損害賠償責任:(第29條) 一、違反本法致個資遭不法蒐集、處理、利用或其他侵害當 事人權利者。 事人權利者。 二、被害人雖非財產上之損害,亦得請求賠償相當之金額; 其名譽被侵害者,並得請求為回復名譽之適當處分;此 請求權,不得讓與或繼承。但以金額賠償之請求權已依 契約承諾或已起訴者,不在此限。 。 三、免責條件:但能證明其無故意或過失者,不在此限。 四、賠償範圍: 同上所述公務機關所負賠償責任之賠償範圍。 五、損害賠償,除本法規定外,適用民法之規定。
法務部、中央目的事業主管機關、直轄市、縣市政府權限與責任 法 務 部: 一、訂定施行細則(2012.9.26日公告,2012.10.1日施 行,本法第55條) 二、會同中央目的事業主管機關訂定相關實施辦法。 三、對本法條文及適用之解釋。 中央目的事業主管機關與直轄市、縣市政府: : 一、除本法第21條(於某些條件下,以命令或處分限制非 公務機關為國際傳輸個人資料)專屬中央目的事業主 管機關執行外,渠等權責均為相同。
法務部、中央目的事業主管機關、直轄市、縣市政府權限與責任 二、均有執行本法第22、23、24、24、25、26、47、48、49 條之權責: (一)實施行政檢查:命相關人員說明、配合措施、提供證 明文件;相關人員不得不得規避、妨 礙或拒絕。 (二)扣留或複製之:對於得沒入或可為證據之個人資料或 其檔案;後續處理,應加封緘或其他 標識,並為適當之處置、得命人看守 或交由所有人或其他適當之人保管或 發還之 。
法務部、中央目的事業主管機關、直轄市、縣市政府權限與責任 (三)強制為之:對應扣或複製之物,經要求提出或交付, 而無正當理由拒絕或抗拒扣、複者,則依 比例原則之方法強制為之。 (四)立即停止或變更其行為:當事人不服聲明異議,認有 理由時。 (五)得公布檢查結果:檢查後,未發現違反本法,經受檢 人同意時。 (六)得率同資訊、電信或法律等專業人員共同為之:為行 政檢查時 。 (七)參檢人員應負保密義務。
法務部、中央目的事業主管機關、直轄市、縣市政府權限與責任 (八)裁罰並為下列處分:禁止蒐集、處理或利用個資、命 令刪除個資檔案、沒入或命銷燬 違法蒐集之個資 、公布非違法 情形,及其姓名或名稱與負責人 ;處分應依比例原則為之。 (九)處罰鍰,並令限期改正,屆期未改正者,按次處罰之 :本法第47條 (十)限期改正,屆期未改正者,按次處罰鍰:本法第48條 (九)處罰鍰 :本法第49條
個資受侵害之損害賠償請求權時效 損害賠償請求權時效: (一)二年:自請求權人知有損害及賠償義務人時起,因二 年間不行使而消滅。 個資受侵害之損害賠償請求權時效 損害賠償請求權時效: (一)二年:自請求權人知有損害及賠償義務人時起,因二 年間不行使而消滅。 (二)五年:自損害發生時起,逾五年者,亦同。
違反個資法涉及刑責部分 違反第6條第1項(特種個資)、第15條、第16條、第19條 、第20條第1項規定(此4條係違法蒐集、處理、利用), 或中央目的事業主管機關依第21條限制國際傳輸之命令或 處分,足生損害於他人者:處二年以下有期徒刑、拘役或 科或併科新臺幣二十萬元以下 罰金。 意圖營利犯前項之罪者:處五年以下有期徒刑,得併科新 臺幣一百萬元以下罰金。
違反個資法涉及刑責部分 意圖為自己或第三人不法之利益或損害他人之利益,而對 於個人資料檔案為非法變更、刪除或以其他非法方法,致 妨害個人資料檔案之正確而足生損害於他人者: 處五年以下有期徒刑、拘役或科或併科新臺幣一百萬 元以下罰金。 中華民國人民在中華民國領域外對中華民國人民犯上述之 罪者,亦適用之。 公務員假借職務上之權力、機會或方法,犯本章之罪者, 加重其刑至二分之一。
因應個資法之施行應有之認知與作法 透過「個資盤點」程序,辨識、整理之前所蒐集之個資來 源與特定目的,以建立後續利用之合法性;律定個資刪存 因應個資法之施行應有之認知與作法 透過「個資盤點」程序,辨識、整理之前所蒐集之個資來 源與特定目的,以建立後續利用之合法性;律定個資刪存 之政策及作業流程。 如有委外辦理,應善盡監督之責,於契約內明定安全維護 事項。 不蒐集完整客戶出生年月日,如僅蒐集年月,亦可寄送客 戶生日卡片,達維繫客戶關係之目的。 請提供良民證,以免蒐集員工是否有犯罪前科之資料。 離職員工之個資,應予刪除;或取得員工書面同意,約定 離職後保存個資之期限。
因應個資法施行應有之認知與作法 為避免違法蒐集、處理、利用個資,企業應先瞭解本身作 業流程,以清楚蒐用個資之目的。 業流程,以清楚蒐用個資之目的。 在設計當事人同意書,不得採用「推定同意條款」(如沒 有反對即為同意),以免同意書效力滋生爭議。 蒐用個資時,應告知客戶之內容,宜事先整理撰打「個資 蒐集、處理、利用宣告條款告知」之書面資料,交當事人 簽章審閱,並進行告知,以盡本法要求之告知義務。 蒐集個資時,可在文件記載是否同意利用個人資料進行行 銷。 有個資檔案者,應於「成本」與「效益」間及「具體措施 」與「保護個資目的」間,律定適當之安全措施。
因應個資法施行應有之認知與作法 事前擬定「個資外洩處理要點」,倘不幸洩漏事發,方不 致慌亂無章。
結論