個人資料保護法修正對公務機關 之衝擊與影響 廖淑君 研究員 資訊工業策進會 科技法律研究所 jolieliao@iii.org.tw
大綱 無所不在的個人資料~個人資料保護,人人有責 個人資料保護法介紹-以公務機關為主 對於個人資料保護法通過之因應 個人資料的蒐集、處理與利用者 對非公務機關蒐集、處理、利用個人資料的管理與監督 對於個人資料保護法通過之因應
無所不在的個人資料 ~個人資料保護,人人有責 個人資料無所不在 個人資料外洩的影響 個人資料外洩的主要原因 個人資料保護,人人有責
個人資料無所不在
個人資料外洩的影響 英國史上最嚴重資料外洩 — 官員寄丟光碟,導致 2500萬筆資料遺失,分析公司Gartner預計,該事件引發的帳戶關閉及重建,以防止可能的詐騙行為,大約需要花費5億美元。 資料來源:趨勢科技 訴訟成本 損害賠償 個人資料主體 個人資料控制者 社會
資料來源:聯合報
資料來源:聯合報
資料來源:BBC中文網
資料來源: http://news.msn.com.tw/news2390792.aspx
資料來源: http://blog.udn.com/infolaw/1643161
資料來源:蘋果日報
資料來源:資安人, http://www. informationsecurity. com 資料來源:資安人, http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=6582
協力廠商(Subcontractors) 個人資料外洩的主要原因 協力廠商(Subcontractors) 人為疏失(human error) 駭客入侵(Hacking) 內賊(Insider theft) 個人資料
個人資料保護,人人有責!!!
個人資料保護法介紹 -以公務機關為主 隱私權與個人資料保護 個人資料保護法的修法緣由與歷程 個人資料保護法vs.電腦處理個人資料保護法 個人資料保護法架構 個人資料保護法vs.公務機關
隱私的概念 個人獨處的權利 對於他人接近自己的限制 祕密 個人資訊的控制 個人特質 親密關係
我國憲法對於隱私的保護 憲法§22 凡人民之其他自由及權利,不妨害社會秩序公共利益 者,均受憲法之保障 維護人性尊嚴與尊重人格自由發展,乃自由民主憲政秩序之核心價值 。隱私權雖非憲法明文列舉之權利,惟基於人性尊嚴與個人主體性之維護 及人格發展之完整,並為保障個人生活私密領域免於他人侵擾及個人資料 之自主控制,隱私權乃為不可或缺之基本權利,而受憲法第二十二條所保障(司法院釋字第五八五號解釋參照) 。其中就個人自主控制個人資料之資訊隱私權而言,乃保障人民決定是否揭露其個人資料、及在何種範圍內、於何時、以何種方式、向何人揭露之決定權,並保障人民對其個人資料之使用有知悉與控制權及資料記載錯誤之更正權 (釋字第603號)
我國法律對於隱私的保護 民法 刑法 個人資料保護法 刑法§306 (個人住宅免受他人侵入) 刑法§307 (住宅、身體免受執法人員侵擾) 刑法§310 第3項 (與公益無關之個人私事免於被揭露於眾) 刑法§315 (個人信件免於被刺探) 刑法§315-1 (非公開之活動、言論、談話或身體隱私部位者免於被監視……) 民法§18 (人格權) 民法§195 刑法§315-2 (非公開之活動、言論、談話或身體隱私部位者免於被散佈……) 刑法§318-1 (利用電腦取得之祕密免於被洩露) 刑法§358 (電腦或其相關設備免於被入侵) 刑法§359 (電磁紀錄罪免於被破壞)
個人資料保護法的修法緣由與歷程 適用主體與保護客體範圍有限,未能因應社會發展趨勢 與國際資訊隱私保護發展趨勢接軌 抑制詐騙事件 電腦處理個人資料保護法公布施行 1995年8月 個人資料保護法公布,但未正式施行 2010年5月 個人資料保護法施行細則修正草案公布,進行公眾諮詢 2010年10月
新版個資法對公務機關之衝擊 無論新法何時正式施行,公務機關必須正視個資保護,已成既定趨勢 民國99年新版「個人資料保護法」通過,施行日期由行政 院訂之 因應個資法對產業之衝擊,陳沖院長於今年初指派張善政 與羅瑩雪二位政委進行溝通,以協助法務部進行修法,未 來將對刑事責任、補行告知及特種資料部份進行修正 法務部次長表示,個資法將於今年10月正式施行 無論新法何時正式施行,公務機關必須正視個資保護,已成既定趨勢 須修正過往管理模式,建立符合新法要求之內部個人資料管理機制與管控流程
個人資料保護法架構(1/2) 個人資料生命週期 當事人 個人資料 資料擁有者 使用 傳送 編輯 輸入 儲存 蒐集 銷毀 委外
個人資料保護法架構(2/2) 第一章 總則 (第1條至第14條) 第一章 總則 (第1條至第14條) 目的 / 定義 / 當事人權利 / 委外/個人資料的蒐集、處理與利用原則 /特種個人資料/書面同意 /當事人告知 /答覆當事人查詢、提供閱覽或複製本/ 個人資料的正確性/個資違法事件通知/回覆當事人權利行使/費用收取 第二章 公務機關對個人資料之蒐集、處理與利用 (第15條至第18條) 特定目的內/特定目的外/個人資料持有資訊之公開/個人資料檔案之安全維護事項 第三章 非公務機關對個人資料之蒐集、處理與利用 (第19條至第27條) 特定目的內/特定目的外/國際傳輸/行政檢查/違反個資法之行政處分/行政檢查結果公布/個人資料檔案之安全維護事項 第四章 損害賠償及團體訴訟 (第28條至第40條) 第五章 罰則 (第41條至第50條) 第六章 附則 (第50條至第56條)
個人資料保護法vs.公務機關 個人資料的蒐集、處理與利用者 保護客體-個人資料 適用主體-公務機關 當事人權利保護及行使 個人資料之保存、維護與銷毀 個人資料持有資訊之公開 委外 損害賠償 罰則 對非公務機關蒐集、處理、利用個人資料的管理與監督 行政監督
政府機關: 個人資料的蒐集、處理與利用者 保護客體-個人資料 適用主體-公務機關 當事人權利保護及行使 個人資料的蒐集、處理與利用 個人資料之保存、維護與銷毀 個人資料持有資訊之公開 委外 損害賠償 罰則
保護客體:個人資料 自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因 、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料 (個資法§2) 本法第二條第一款所稱得以間接方式識別該個人之資料,指僅以該資料不能識別,須與其他資料對照、組合、連結等,始能識別該特定個人者。但查詢困難、需耗費過鉅或耗時過久始能特定者,不在此限。(個人資料保護法施行細則草案§3) 不適用個人資料保護法 (個資法§51) 1.自然人為單純個人或家庭活動目的,而蒐集、處理與利用個人資料 2.於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料
特種個人資料(個資法§6) 醫療:指病歷以外,其他以治療、矯正或預 防人體疾病、傷害、殘缺為目的,所為之診 察、診斷及治療;或基於診察、診斷結果, 以治療為目的,所為之處方、用藥、施術、 或處置等行為全部或一部所產生之個人資料 基因:由一段去氧核醣核酸構成,為生物體 控制特定功能之遺傳單位訊息 性生活:性取向或性慣行之個人資料 健康檢查:對於無明顯疾病症狀,非出於對 特定疾病診斷或治療之目的,以醫療行為所 為診察行為之全部或一部之總稱 犯罪前科:指經緩起訴、職權不起訴或法院 判決有罪確定之紀錄 (個資法施行細則草案§4) 個人資料 特種個人資料
適用主體:公務機關 公務機關:指依法行使公權力之中央或地方機關或行 政法人 (個資法§2) 受委託機關 受公務機關或非公務機關委託蒐集、處理或利用個人資料 者,於本法適用範圍內,視同委託機關 (個資法§4) 受委託蒐集、處理或利用個人資料之法人、團體或自然人, 依委託機關應適用之規定為之 (個資法施行細則草案§7) 行政法人:指國家及地方自治團體以外,由中央目的事業主管機關,為執行特定公共事務,依法律設立之公法人 (行政法人法§2) 全國第一個行政法人機構:國立中正文化中心
當事人權利保護及行使 不得預先拋棄或以特約限制 查詢或請求閱覽 請求製給複製本 請求補充或更正 請求停止蒐集、處理或利用 請求刪除 當事人通知 公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或 其他侵害者,應查明後以適當方式通知當事人 (個人資料保護法第12條) 不得預先拋棄或以特約限制 個人資料保護法第3條
以適當方式通知當事人 本法第十二條所稱適當方式通知,係指即時以書面、 電話、傳真、電子文件或其他足以使當事人知悉或可 得知悉之方式為之。但耗費過鉅者,得斟酌技術之可 行性及當事人隱私之保護,以網際網路、新聞媒體或 其他足以使公眾得知之方式為之(個資法施行細則草案 §18) 依本法第十二條通知當事人,其內容應包括個人資料 被侵害之事實及已採取之因應措施(個資法施行細則草 案§18) 重要通知
個人資料之查詢、閱覽與複本請求 公務機關或非公務機關依當事人請求,就其所蒐集之個人資料,答覆查詢、提供閱覽、或製給複製本(個人資料保護法第10條) 妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益 妨害公務機關執行法定職務 妨害該蒐集機關或第三人之重大利益 回覆期間 應於15日內,為准駁之決定;必要時,得予延長,延長之期間不得逾15日,並應將其原因以書面通知請求人(個人資料保護法第13條) 費用收取 查詢或請求閱覽個人資料或製給複製本者,公務機關或非公務機關得酌收 必要成本費用(個人資料保護法第14條)
個人資料之正確性&當事人請求更正與補充 個人資料之正確性 公務機關或非公務機關應維護個人資料之正確,並應主動或依當事人之請 求更正或補充之 個人資料正確性有爭議者,應主動或依當事人之請求停止處理或利用。但 因執行職務或業務所必須並註明其爭議或經當事人書面同意者,不在此限 因可歸責於公務機關或非公務機關之事由,未為更正或補充之個人資料, 應於更正或補充後,通知曾提供利用之對象 (個人資料保護法第11條) 個人資料之正確性 回覆期間 應於15日內,為准駁之決定;必要時,得予延長,延長之期間不得逾15日,並應將其原因以書面通知請求人 (個人資料保護法第13條)
個人資料之刪除、停止處理或利用 個人資料之刪除、停止處理或利用 個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求, 刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者,不在此限。 違反本法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求, 刪除、停止蒐集、處理或利用該個人資料。 (個人資料保護法第11條) 個人資料之刪除、停止處理或利用 回覆期間 應於15日內,為准駁之決定;必要時,得予延長,延長之期間不得逾15日,並應將其原因以書面通知請求人 (個人資料保護法第13條)
Case Study 丁小宇向電信公司索取她個人行動電話的通聯記錄是行使個資法第3條的那一個權利? 電信事業用戶查詢本人之通信紀錄,於電信事業之電信設備系統技術可行 ,並支付必要費用後,電信事業應提供之(電信法第7條)
個人資料之蒐集、處理與利用 原則不得蒐集、處理與利用 例外情形 當事人告知 特定目的內利用 特定目的外利用 尊重當事人權益 依誠實信用方法 於特定目的之必要範圍內 與蒐集目的間具有正當合理之關聯 一般個人資料 當事人告知 特定目的內利用 特定目的外利用 特種個人資料 原則不得蒐集、處理與利用 例外情形
個人資料之蒐集、處理與利用原則 尊重當事人之權益 特定目的之必要範圍內為之 依誠實及信用方法為之 與蒐集目的間具有正當合理 之關聯 蒐集 以任何方式取得個人資料 處理 為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、 編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送 利用 將蒐集之個人資料為處理以外之使用 資料來源:個人資料保護法第2條&第5條
一般個人資料之蒐集、處理與利用:對於當事人之告知 自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料 一般個人資料 於蒐集時,告知當事人 直接蒐集 間接蒐集 於處理或利用前,告知當事人;得於首次對當事人為利用時併同為之 告知之方式,得以書面、電話、傳真、電子文件或其他適當方式為之(個資法施行細則草案§13) 資料來源:個人資料保護法第8條&第9條
對於當事人之告知:直接蒐集 告知事項 公務機關機關名稱 蒐集之目的 個人資料之類別 個人資料利用之期間、 地區、對象及方式 當事人依第三條規定得 行使之權利及方式 當事人得自由選擇提供 個人資料時,不提供將 對其權益之影響 免告知之情況 依法律規定得免告知 個人資料之蒐集係公務機關執 行法定職務或非公務機關履行 法定義務所必要 告知將妨害公務機關執行法定 職務 告知將妨害第三人之重大利益 當事人明知應告知之內容
對於當事人之告知:間接蒐集 告知事項 個人資料來源 公務機關機關名稱 蒐集之目的 個人資料之類別 個人資料利用之期 間、地區、對象及 方式 當事人依第3條規 定得行使之權利及 方式 免告知之情況 依法律規定得免告知 個人資料之蒐集係公務機關執行法定職務或非 公務機關履行法定義務所必要 告知將妨害公務機關執行法定職務 告知將妨害第三人之重大利益 當事人明知應告知之內容 當事人自行公開或其他已合法公開之個人資料 不能向當事人或其法定代理人為告知 基於公共利益為統計或學術研究之目的而有必 要,且該資料須經提供者處理後或蒐集者依其 揭露方式,無從識別特定當事人者為限 大眾傳播業者基於新聞報導之公益目的而蒐集 個人資料 指個人資料以代碼、匿名或其他揭露方式,無從辨識該特定個人,或需費過鉅或耗時過久始能予以辨識者(個資法施行細則草案§14)
一般個人資料:特定目的內利用 個人資料的蒐集或處理(個資法§15) 公務機關對個人資料之利用,應於執行法定職務必要 範圍內為之,並與蒐集之特定目的相符(個資法§16) 執行法定職務必要範圍內,或 經當事人書面同意,或 對當事人權益無傷害 特定目的 例如:保險人為辦理本保險業務所需之必要資料,得請求相關機關提供之;各該機關不得拒絕。 保險人依前項規定所取得之資料,應盡善良管理人之注意義務;相關資料 之保存、利用等事項,應依個人資料保護法之規定為之(全民健康保險法§79)
一般個人資料:特定目的外利用 法律明文規定 為維護國家安全或增進公共利益 為免除當事人之生命、身體、自由或財產上之危險 為防止他人權益之重大危害 公務機關或學術研究機構基於公共利益為統計或學術 研究而有必要,且資料經過提供者處理後或蒐集者依 其揭露方式無從識別特定之當事人 有利於當事人權益 經當事人書面同意
書面同意-特定目的內 當事人經蒐集者告知本 法所定應告知事項後, 所為允許之書面意思表 示 (個資法§7) 直接蒐集 公務機關或非公務機關名稱 蒐集之目的 個人資料之類別 個人資料利用之期間、地區、對象及方式 當事人依個資法第3條規定得行使之權利及方式 當事人得自由選擇提供個人資料時,不提供將對其權益之影響 間接蒐集 個人資料來源 當事人依第3條規定得行使之權利及方式 當事人經蒐集者告知本 法所定應告知事項後, 所為允許之書面意思表 示 (個資法§7) 書面意思表示之方式, 如其內容可完整呈現, 並可於日後取出供查驗 者,經蒐集者及當事人 同意,得以電子文件為 之(個資法施行細則草 案§11)
書面同意-特定目的外 當事人經蒐集 者明確告知特定目的外之其他利用目的、範 圍及同意與否對其權益之影響 後,單獨所為之書面意思表 示(個資法§7) 單獨所為之書面意思表示,如係與其他意思表示於同一書 面為之者,應於適當位置使當事人得以知悉其內容後並確 認同意(個資法施行細則草案§12) 書面意思表示之方式,如其內容可完整呈現,並可於日後 取出供查驗者,經蒐集者及當事人同意,得以電子文件為 之(個資法施行細則草案§11)
Case study 提示: 調閱的資料是個人資料嗎? 適用主體? 主管機關提供資料是目的內或 目的外利用? 近來辦公室有接獲民眾爆料XXX水道公程採購不公,OOO市議員為了問政,向主管機關調閱公共工程採購案人事資料及請領工程款之簽報單,該主管機關可以提供嗎? 提示: 調閱的資料是個人資料嗎? 適用主體? 主管機關提供資料是目的內或 目的外利用? 案例設計參考 法務部法律字第1000008936號
蒐集 處理 利用 特種個人資料之蒐集、處理與利用 特種個人資料 有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料 法律明文規定 公務機關執行法定職務或非公務機關履行法定義務所必要,且有適當安全維護措施 當事人自行公開或其他已合法公開之個人資料 公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統 計或學術研究而有必要,且經一定程序所為蒐集、處理或利用之個人資 料 公務人員資格考式 公務人員訓練期滿合格 公務人員分發任用 公務人員考試得視需要實施體格檢查。體格檢查時間及標準, 由考試院定 之(公務人員考試法第6條) 實施體格檢查之考試類科,其體格檢查標準於各該考試規則 訂定。 前項體格檢查內容應包括應考人個人身分資料、自填 病史、檢查日期、檢 查項目、檢查結果、檢查機構、檢查醫 師等欄。體格檢查表由考選部定之 (公務人員考試體格檢查辦 法第3條) 例如:警察機關依兒童及少年福利法第47條規定,提供社政機關收養案件、監護案件當事人及保護案件兒童及 少年父母或監護人之素行(危害兒童及少年人身安全的前科)等資料 蒐集 處理 利用 資料來源:個人資料保護法第6條 44
公務機關機密文書vs.適當安全維護措施 特種個人資料是機密文書嗎? 機密文書 適當安全維護措施≠應視為一般公務機密並以密件辦理歸檔 視公務機關職務內容之性質、特種個人資料之種類、數量等其他具體情狀而定 (法律字第1000025319號) 機密文書 國家機密文書:分為「絕對機密」、「極機密」、「機密」 (文書處理手冊第50條) 一般公務機密文書:指本機關持有或保管之資訊,除國家機密 外,依法令或契約有保密義務者(文書處理手冊第51條) 各機關承辦人員處理一般文 書,應審核鑑定是否具保密 價值,如確有保密必要,應 即改作機密文書處理。如為 他機關來文,得依本手冊機 密等級變更或解密程序,建 議來文機關變更密等及解密 條件或保密期限。 特種個人資料是機密文書嗎?
適當安全維護措施 成立管理組織,配置相當資源 界定個人資料之範圍 個人資料之風險評估及管理機制 事故之預防、通報及應變機制 個人資料蒐集、處理及利用之內部管理程序 資料安全管理及人員管理 認知宣導及教育訓練 設備安全管理 資料安全稽核機制 必要之使用紀錄、軌跡資料及證據之保存 個人資料安全維護之整體持續改。 本法所稱適當安全維護措施、 安全維護事項或適當之安全 措施,指公務機關或非公務 機關為防止個人資料被竊取、 竄改、毀損、滅失或洩漏, 採取技術上及組織上之必要 措施 必要措施,以所須支出之費 用與所欲達成之個人資料保 護目的符合適當比例者為限 個資法施行細則草案§9
Case Study 林姓男教師於OOO市立小學担任老師,OOO市立小 學為了要保保護幼兒學童教養及基於安全需要,向林 姓男教師戶籍所在地的地方政府索取林姓男子人體複 檢之免役原因證明文件,該地方政府即提供之。請教 依個資法之規定市立小學和地方政府可以這樣做嗎? 個人資料的種類-特種或一般個資? 市立小學-資料蒐集行為 地方政府-資料利用行為,特定目 的內或特定目的外? 案例設計參考 法律決字第0999026180號
個人資料之保存、維護與銷毀 個人資料的保存與維護 公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏(個資法§18) 個人資料的刪除與銷毀 依當事人請求(個資法§3) 特定目的消失或期限屆滿(個資法§11) 違反個資法規定蒐集、處理或利用個人資料者 (個資法§11)
個人資料的保存與維護 成立管理組織,配置相當資源 界定個人資料之範圍 個人資料之風險評估及管理機制 事故之預防、通報及應變機制 個人資料蒐集、處理及利用之內部管理程序 資料安全管理及人員管理 認知宣導及教育訓練 設備安全管理 資料安全稽核機制 必要之使用紀錄、軌跡資料及證據之保存 個人資料安全維護之整體持續改善 公務機關保有個人資料檔案者, 應訂定個人資料安全維護規定, 其內容應包括第9條第2項所定 事項(個資法施行細則草案§20) 個資法第18條所稱專人,指具 有管理及維護個人資料檔案之 專業能力,且足以擔任機關檔 案資料安全維護經常性工作之 人員(個資法施行細則草案§21) 公務機關為使專人具有辦理安 全維護事項之能力,應辦理或 使專人接受相關專業之教育訓 練(個資法施行細則草案§21)
組織內部個人資料保護與管理制度/流程 作業流程/ 個資盤點 風險評估與確認 個人資料保護與管理制度推動單位 因應措施評估與確認 制度建立與實施 矯正/改善 檢討/查核
EX: 法務部個人資料保護管理要點(1/2)(尚未下達生效) 總則: 明定本要點及法務部個人資料保護管理執行小組設置之目的、執 行小組之任務、執行小組召集人、執行秘書及委員之組成及幕僚 工作之負責單位、執行小組會議召開之期間、主持人及得邀請出 列席之人員、指定專人及其辦理事項、設置個人資料保護聯絡窗 口及其辦理事項。(草案第一點至第六點) 個人資料範圍: 明定本部保有特種資料之個人資料檔案名稱、本部保有個人資料 特定目的之項目以本部依適當方式公開者為限,有變更者亦同。 (草案第七點及第八點) 個人資料之蒐集、處理及利用: 明定個人資料之蒐集、處理或利用之正當法律程序、告知義務之 程序、取得當事人書面同意之程序、個人資料補充或更正之程序、 資料正確性有爭議之處理程序、刪除、停止處理或利用個人資料 之程序、個人資料遭到竊取、洩漏、竄改或遭其他方式侵害之通 知處理程序。(草案第九點至第十八點) 資料來源:法務部 http://www.moj.gov.tw/ct.asp?xItem=215772&ctNode=28007&mp=001
EX: 法務部個人資料保護管理要點(2/2)(尚未下達生效) 當事人行使權利之處理: 明定當事人請求答覆查詢、提供閱覽、製給複製本、更正、補充、 停止蒐集、處理、利用或刪除之處理程序、請求查詢、閱覽或製給 個人資料複製本適用「法務部及所屬機關提供政府資訊收費標準」 之規定並依「法務部受理申請提供政府資訊及閱覽卷宗須知」辦理、 明定本部保有之個人資料檔案仍適用政府資訊公開法或相關法律規 定,限制公開或不予提供。(草案第十九點至第二十三點) 個人資料檔案安全維護: 明定專人應依本要點及相關法令規定辦理個人資料檔案安全維護事 項、建立個人資料檔案應建立管理制度及人員安全管理規範、明定 個人資料檔案安全稽核之組織及程序規定、個人資料檔案發生非法 入侵情事之緊急應變與通報程序、個人資料檔案安全維護工作應符 合本要點、行政院及本部訂定之相關資訊作業安全與機密維護規範。 (草案第二十四點至第二十八點) 附則: 明定本部委託蒐集、處理或利用個人資料者,亦適用本要點。(草 案第二十九點) 資料來源:法務部 http://www.moj.gov.tw/ct.asp?xItem=215772&ctNode=28007&mp=001
個人資料持有資訊之公開 公務機關應將下列事項公開於電腦網站,或以其他適 當方式供公眾查閱;其有變更者,亦同(個資法§17) 個人資料檔案名稱 保有機關名稱及聯絡方式 個人資料檔案保有之依據及特定目的 個人資料之類別 公務機關依本法第十七條規定為公開時,應於建立個人資料檔案後一個月內為之;變更時,亦同。公開方式應予以特定,並避免任意變更 本法第十七條所稱其他適當方式,指利用新聞紙、雜誌、政府公報、電子報或其他可供公眾查閱之方式為公開 (個資法施行細則草案§19)
Ex:法務部保有個人資料檔案公開項目彙整表 資料來源:法務部http://www.moj.gov.tw/ct.asp?xItem=257410&ctNode=28007&mp=001
個人資料蒐集、處理或利用之委外(1/2) 受公務機關或非公務機關委託蒐集、處理或利用個人 資料者,於本法適用 範圍內,視同委託機關 (個資法 §4) 受委託蒐集、處理或利用個人資料之法人、團體或自 然人,依委託機關應適用之規定為之 (個資法施行細 則草案§7)
個人資料蒐集、處理或利用之委外(2/2) 適當監督 受委託機關 公務機關 應對受託人為適當之監督 委託人應定期確認受託人執行之狀況,並將確認結果記錄之(個資法施行細則草案§8) 僅得於委託人指示之範圍內,蒐集、處理或利用個人資料 受託人認委託人之指示有違反本法或基於本法所發布之命令規定之情事,應立即通知委託人 預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間 受託人就施行細則第9條第2項應採取之必要措施 有複委託者,其約定之受託人 受託人或其受僱人違反個人資料保護法規或委託契約條款時,應向委託人通知之事項及採行之補救措施 委託人對受託人保留指示之事項 委託關係終止或解除時,個人資料載體之返還,及儲存於受託人持有個人資料之刪除
公務機關外洩個資之責任 受理聲請時,表單即有申請人之個人資料 ;有個資之處,即有風險與應採行之管理措施 程序不合法 公務機關於個資損害事件上必須負擔無過失責任,亦有國賠適用 機關未依法行政與違法缺失確認後,不但面臨糾舉,更易滋生民怨 欠缺管理程序 人員認知不足 第6、15條對於公務機關有刑事責任之規定 個人資料保護管理與程序事項要求,所涉事務龐雜,且多數承辦人員並不明暸其係「法定要求義務」
損害賠償(1/2) 公務機關違反本法規定,致個人資料遭不法蒐集、處 理、利用或其他侵害 當事人權利者,負損害賠償責任。 但損害因天災、事變或其他不可抗力所致者,不在此 限(個資法§28) 損害賠償請求權,自請求權人知有損害及賠償義務人 時起,因二年間不行使而消滅;自損害發生時起,逾 五年者,亦同(個資法§30) 損害賠償,除依本法規定外,公務機關適用國家賠償 法之規定 (個資法§31) 依本法規定對於公務機關提起損害賠償訴訟者,專屬 該機關所在地之地方法院管轄(個資法§33)
損害賠償(2/2) 如被害人不易或不能證明其實際損害額時,得請求法院依 侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算 財產損害賠償 非財產損害 回復名譽之適當處分 不易或不能證明其實際損害 如被害人不易或不能證明其實際損害額時,得請求法院依 侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算 對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害 賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益 超過新臺幣二億元者,以該所涉利益為限 同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受定每人每一事件最低賠償金額新臺幣五百元之限制 資料來源:個人資料保護法第28條
罰則(1/2) 違法蒐集、利用及處理個人資料, 足生損害於他人者,處二年以下有期徒刑、拘役或科或併科新臺幣二十萬 元以下罰金 意圖營利犯前項之罪者,處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金 (個人資料保護法§41) 意圖為自己或第三人不法之利益或損害他人之利益,而對於個人資料檔案為非法變更、刪除或以其他非法方法,致妨害個人資料檔案之正確而足生損害於他人者,處五年以下有期徒刑、拘役或科或併科新臺幣一百萬元以下罰金 (個人資料保護法§ 42)
罰則(2/2) 中華民國人民在中華民國領域外對中華民國人民犯前 二條之罪者,亦適用之(個資法§43) 公務員假借職務上之權力、機會或方法,犯本章(第5 章罰則)之罪者,加重其刑至二分之一(個資法§44) 本章(第5章罰則)之罪,須告訴乃論。但犯第四十一條 第二項之罪者,或對公務機關犯第四十二條之罪者, 不在此限(個資法§45) 犯本章(第5章罰則)之罪,其他法律有較重處罰規定者, 從其規定(個資法§46)
政府機關: 對非公務機關蒐集、處理、利用個人資料的管理與監督 行政檢查 行政處罰 採取必要處分,以保護當事人權益不被繼續侵害
對各行業個資保護之行政監督 採取必要處分,以保護當事人權益不被繼續侵害(個人資料保護法第25條) 依法裁處罰鍰 禁止蒐集、處理或利用個人資料 命令刪除經處理之個人資料檔案 沒入或命銷燬違法蒐集之個人資料 公布非公務機關之違法情形,及其姓名或名稱與負責人 依法裁處罰鍰 (個人資料保護法第47條與48條) 行政檢查(個人資料保護法第22條) 經非公務機關同意,得公布檢查結果(個人資料保護法第26條)
行政檢查&公布檢查結果 (1/2) 行政檢查(個資法§22) 中央目的事業主管機關或直轄市、縣(市)政府為執行資 料檔案安全維護 、業務終止資料處理方法、國際傳輸限制 或其他例行性業務檢查而認有必要或有違反本法規定之虞 時,得派員攜帶執行職務證明文件,進入檢查,並得命相 關人員為必要之說明、配合措施或提供相關證明資料。 中央目的事業主管機關或直轄市、縣(市)政府為前項檢 查時,對於得沒入或可為證據之個人資料或其檔案,得扣 留或複製之 對於應扣留或複製之物,得要求其所有人、持有人或保管 人提出或交付;無正當理由拒絕提出、交付或抗拒扣留或 複製者,得採取對該非公務機關權益損害最少之方法強制 為之
行政檢查&公布檢查結果(2/2) 公布檢查結果(個資法§26) 中央目的事業主管機關或直轄市、縣(市)政府為第一項 檢查時,得率同 資訊、電信或法律等專業人員共同為之 對於第1項及第2項之進入、檢查或處分,非公務機關及其 相關人員不得 規避、妨礙或拒絕 參與檢查之人員,因檢查而知悉他人資料者,負保密義務 公布檢查結果(個資法§26) 中央目的事業主管機關或直轄市、縣(市)政府依第22條 規定檢查後 ,未發現有違反本法規定之情事者,經該非公 務機關同意後,得公布檢查結果
依法裁處罰鍰(1/3) 非公務機關有下列情事之一者,由中央目的事業主管 機關或直轄市、縣( 市)政府處新臺幣五萬元以上五 十萬元以下罰鍰,並令限期改正,屆期未改正者,按 次處罰之(個資法§47) 違反第六條第一項規定(特種個人資料之蒐集、處理與利用) 違反第十九條規定(非公務機關對一般個人資料之蒐集、處 理與利用) 違反第二十條第一項規定(非公務機關對一般個人資料之特 定目的外利用) 違反中央目的事業主管機關依第二十一條規定限制國際傳 輸之命令或處分(國際傳輸)
依法裁處罰鍰(2/3) 非公務機關有下列情事之一者,由中央目的事業主管 機關或直轄市、縣( 市)政府限期改正,屆期未改正 者,按次處新臺幣二萬元以上二十萬元以下罰鍰(個資 法§48) 違反第八條或第九條規定 (當事人告知) 違反第十條、第十一條、第十二條或第十三條規定 (當事人 權利行使) 違反第二十條第二項或第三項規定(非公務機關利用個人資 料行銷者) 違反第二十七條第一項或未依第二項訂定個人資料檔案安 全維護計畫或業務終止後個人資料處理方法
依法裁處罰鍰(3/3) 非公務機關無正當理由違反第二十二條第四項規定者, 由中央目的事業主管機關或直轄市、縣(市)政府處 新臺幣二萬元以上二十萬元以下罰鍰(個資法§49)(進 入非公務機關進行檢查) 非公務機關之代表人、管理人或其他有代表權人,因 該非公務機關依前三條規定(第48條至49條)受罰鍰處 罰時,除能證明已盡防止義務者外,應並受同一額度 罰鍰之處罰(個資法§50)
採取必要處分,以保護當事人權益不被繼續侵害 非公務機關有違反本法規定之情事者,中央目的事業 主管機關或直轄市、 縣(市)政府除依本法規定裁處 罰鍰外,並得為下列處分(個資法§25) 禁止蒐集、處理或利用個人資料 命令刪除經處理之個人資料檔案 沒入或命銷燬違法蒐集之個人資料 公布非公務機關之違法情形,及其姓名或名稱與負責人。 中央目的事業主管機關或直轄市、縣(市)政府為前 項處分時,應於防制違反本法規定情事之必要範圍內, 採取對該非公務機關權益損害最少之方法為之(個資法 §25)
對於個人資料保護法通過之因應
新聞媒體窮追猛打 民眾隱私權利意識高漲 團體訴訟與高額賠償金額 政府個資外洩事件頻傳 政府不設防 報稅資料也曾外洩 外交部員工電子郵件驚傳外洩,其實政府資安出現漏洞並非頭一遭。二○○八年五月所得稅申報期間,就曾爆發報稅資料外洩事件,事後財政部財稅資料中心亡羊補牢,緊急發布新版報稅軟體(99.8.28自由日報) 水保計劃洩民眾個資 水利署水災保全計畫資料下載區可下載各縣市政府的水災保全計畫,民進黨台北市議員徐佳青和立委黃淑英指出,有民眾下載資料後發現,北市府竟把民眾的個人隱私登載在可公開下載的資料內(100.1.20自由日報) 教部洩個資 判國賠創首例 教育部把趙男的陳情書連名帶姓地公布在官網的常見問題中。趙男認為隱私權遭侵害,請求國賠20萬元,台北地院日前判趙可獲國賠5000元,創下公務機關侵害隱私判賠的罕見案例(100.5.30蘋果日報) 新聞媒體窮追猛打 民眾隱私權利意識高漲 團體訴訟與高額賠償金額 2011/06/14 華視新聞【國稅局抽獎 民眾個資竟全外洩】 2008/06/15中央社【國中基測考生個資外洩】 71
新法實施後…公務機關面臨之難題 對於保護客體與規範主體之範圍認識不清 不確定資料主體之權利及行使程序 欠缺行政檢查工作之實施及項目之概念 如何整合個資管理制度與現行機關內之管理程序 如何確認公務機關同仁對於個資保護已具備基礎概念
對於個人資料保護法通過之因應(1/2) 確認個人資料種類 建立個人資料安全維護規定 1.個人資料持有資訊之公開 2.指定專人辦理個資檔案安全維護事項 建立個人資料安全維護規定
對於個人資料保護法通過之因應(2/2) 個人資料持有資訊之公開 各公務機關應指定「專人」辦理個人資料檔案安全維 護事項 應將特定事項公開於電腦網站供公眾查詢,例如法務部公 告“法務部保有個人資料檔案公開項目彙整表” 各公務機關應指定「專人」辦理個人資料檔案安全維 護事項 例如: 法務部設置個人資料保護管理執行小組 公務機關保有個人資料檔案者,訂定個人資料安全維 護規定 例如:法務部草擬“法務部個人資料保護管理要點” 公務人員個資保護認知及法治概念之增進 個資法第17條之要求
感謝聆聽,敬請指教 75