個人資料保護法摘要 (非資訊中心業務報告)
個人資料保護法 99年5月26日經總統公布 尚待訂定施行細則 預計101年1月1日實施
公務機關 vs. 非公務機關 教育部98年度提升校園資訊安全服務計畫 公務機關 非公務機關 電腦處理個人資料保護法 指依法行使公權力之中央或地方機關 指前款以外之左列事業、團體或個人: (一)徵信業及以蒐集或電腦處理個人資料為主要業務之團體或個人。 (二)醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業。 (三)其他經法務部會同中央目的事業主管機關指定之事業、團體或個人。 個人資料保護法 指依法行使公權力之中央或地方機關或行政法人。 指前款以外之自然人、法人或其他團體。 以教育體系為例 公立學校 私立學校 教育部98年度提升校園資訊安全服務計畫
新版個資法之重要異動 擴大適用對象 由原本的八大行業擴展至各行各業 資料之蒐集、取得,不論直接、間接皆須盡到告知的義務,並取得當事人的同意 子公司間之資料交換亦須取得同意 於個資法實施前取得之資料,必須在新法實施後一年內告知當事人,否則不能使用 增加罰則,除提高罰金上限外,不具營利意圖者,亦構成犯罪 意圖營利部分,由告訴乃論調整為公訴 舉證責任由民眾(當事人)改為機關(被告) 教育部98年度提升校園資訊安全服務計畫
新版個資法之重要條文 教育部98年度提升校園資訊安全服務計畫 新版個資法條文項次 條文 第五條 第六條 第八條 個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。 第六條 有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用有排除項目 第八條 公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時,應明確告知當事人下列事項: 一、公務機關或非公務機關名稱。 二、蒐集之目的。 三、個人資料之類別。 四、個人資料利用之期間、地區、對象及方式。 五、當事人依第三條規定得行使之權利及方式 1.查詢或請求閱覽;2. 請求製給複製本;3. 請求補充或更正;4. 請求停止蒐集、處理或利用;5. 請求刪除。 六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。 教育部98年度提升校園資訊安全服務計畫
新版個資法之重要條文(續) 教育部98年度提升校園資訊安全服務計畫 新版個資法條文項次 條文 第十一條 第十二條 第十五條∕ 第十九條 公務機關或非公務機關應維護個人資料之正確,並應主動或依當事人之請求更正或補充之。個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者, 不在此限。 第十二條 公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。 第十五條∕ 第十九條 公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的∕ 非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的 第十八條 公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。 教育部98年度提升校園資訊安全服務計畫
新版個資法之重要條文(續) 教育部98年度提升校園資訊安全服務計畫 新版個資法條文項次 條文 第二十七條 非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。 第二十八條 公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限。 被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。 依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣二億元為限。 教育部98年度提升校園資訊安全服務計畫
新版個資法之重要條文(續) 教育部98年度提升校園資訊安全服務計畫 新版個資法條文項次 條文 第二十九條 非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。 第四十五條 本章之罪,須告訴乃論。但犯第四十一條第二項之罪者,或對公務機關犯第四十二條之罪者,不在此限。 – 第四十一條第二項:意圖營利犯前項之罪者 – 第四十二條:意圖為自己或第三人不法之利益或損害他人之利益,而對於個人資料檔案為非法變更、刪除或以其他非法方法,致妨害個人資料檔案之正確而足生損害於他人者 教育部98年度提升校園資訊安全服務計畫
對教育體系之影響 教育部98年度提升校園資訊安全服務計畫 項次 新版個資法之要求 影響 1 中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法 教育部目前正研擬個人資料保護之相關辦法,未來將要求機關學校(含公私立學校)配合遵守,亦或是由各機關學校修改或引用適當之項目 2 公務機關∕非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏 需鑑別所保有之個人資料項目(含教職員生),並採取相關控制措施以保護之 3 非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限 需妥善保存相關控制措施證據(如:表單紀錄),以證明單位已盡良善管理之責任 4 意圖營利或損害他人利益為公訴罪 教育部98年度提升校園資訊安全服務計畫
個人資料保護管理制度 資訊中心無建置經驗,謹提供ISMS導入經驗分享 目的 導入方式 保護個人資料(紙本、數位)機密性 避免訴訟 聘一專責人員個資法第18條(可配置於任何一級單位) 可採公開招標徵求輔導團隊 藉由輔導過程完成人員訓練、程序文件之建立、資料清查、風險評鑑、實施控制措施、內部稽核、管理審查等程序 專責人員負責後續確保管理制度的有效施行
個人資料保護管理制度
資訊中心導入ISMS原因
資訊中心導入ISMS準備 各組指派人員參加ISO27001:2005主導稽核員訓練,每人上課36小時並通過測驗取得及格證書 採全中心導入,部分範圍認證
資訊中心導入ISMS過程 教育部另行訂立「教育體系資通安全管理規範」 97年6月向教育部申請專案輔導 97年12月獲教育部遴選為種子學校 要輔導3所C、D級學校導入 自97年12月到98年12月接受NII的輔導建置 驗證範圍「資訊機房維運與學籍系統」 於98年11月16日通過教育機構資安驗證中心驗證 每年持續要複驗 每三年重新驗證
資訊中心導入ISMS過程
導入ISMS產出文件 一階政策1份 二階程序書14份 三階作業說明書5份 四階表單47份 以99年為例 處理表單總數847份 資安小組會議4次,管理審查會1次,內部稽核1次,外部稽核1次 與其他細部工作
維持ISMS有效施行 工作項目 實施頻率 資產盤點 每年 風險評鑑 BCP演練 每半年 弱點掃瞄 帳號清查 內部稽核 管理審查會議 正式稽核 軟體清查
導入ISMS投入資源 全中心人員皆受規範,並全力配合 主要人力5人,參加聯合輔導會議10次,到點輔導10次 為配合驗證進度,在家工作時間無法詳列 資訊機房整線、冷氣機更新、擴充不斷電系統 新增備份主機、資料庫升級、異地備份、人員訓練 資訊業務持續營運演練
個資保護專責人員工作 計劃(Plan) 改善 (Act) 執行 (Do) 檢核(Check) PDCA Model .個人資料清單 .風險評估報告 .個人資料保護政策 .目標 計劃(Plan) .矯正與預防 .追蹤改善情形 改善 (Act) 執行 (Do) .依據體系文件執行 .留下執行紀錄 個人資料保護 管理小組會議 檢核(Check) .自行查核規劃.自行查核發現 .改善計劃(Treatment Plan) 參考 BS 10012:2009 個人資訊管理系統
個資保護專責人員工作概要(一) 未來依據教育部公告個人資料保護政策、法令依據及特定目的。規劃本校之個人資料保護標準指針(Guidelines ),陳請管理高層核定 遵循政策的整體責任、確保政策落實、陳請管理階層審查政策 規劃內部個人資料保護認知訓練 個人資訊處理程序之監督,例如:隱私權聲明的管理和傳達、訴願處理等 與負責風險管理和安全問題的人聯繫
個資保護專責人員工作概要(二) 提供「個人資料保護法」的專家建議和指引:確保學校取得相關更新法令及適當指引,並持續檢視並反映法律、實務和技術的變更 提供與資料分享專案有關的建議(包括資料攜出的安全問題) 協助各單位鑑別所保有之個人資料項目,應包含個資生命週期涵蓋之所有部門,並建議採取相關控制措施以保護 建立風險評估方法,並管理風險陳報給管理高層作審查
個資保護專責人員工作概要(三) 需妥善保存相關控制措施證據(如:表單紀錄),以證明單位已盡良善管理之責任(各單位) 定期執行稽核作業,以確保相關管理措施之有效性負責稽核工作,不做保管個資業務 單位間個資業務協調聯繫之對口。 單位個資安全事件通報之對口。 重大個資外洩事件之民眾聯繫單一窗口(便利民眾提出申訴與救濟之管道)。 統籌各單位專責人員之資料更新及製作名錄
法務部網站個資法部分資料
(五)加重民事及刑事責任:設法降低個資外洩之賠償責任及避免人員因執行職務或業務而擔負民、刑事責任(第28條、第41條、第42條、第43條) 新法影響 配套措施 (五)加重民事及刑事責任:設法降低個資外洩之賠償責任及避免人員因執行職務或業務而擔負民、刑事責任(第28條、第41條、第42條、第43條) 1訂定個資外洩、滅失或毀損等緊急情勢之應變措施及避免損害擴大之程序。 2公務機關應依法指定專責人員並規劃個人資料保護管理制度。非公務機關應採行適當之安全措施。 3建立公務機關個人資料保護執行程序暨考核作業手冊,以及相關線上系統建置,以利有效管考。
(六)施行日期之指定(第56條第1項) 新法影響 配套措施 1為利各機關修正相關法令及建置制度,及本法宣導與民間業者之調整及準備因應措施,評估準備期間客觀上至少需要1年6個月。 2建議於本法施行細則修正草案陳報行政院核定時,併同建議指定施行之日期。
一、新法之基本觀念 (三) 電腦處理個人資料保護法(舊法) 為規範電腦處理個人資料,以避免人格權受侵害,並促進個人資料之合理使用,我國於84年8月11日公布施行電腦處理個人資料保護法(下稱「個資法」),除界定個人資料之意義以及資料本人所得行使之權利外,並就資料蒐集、資料處理與利用、相關責任及救濟等設有規定。 「個資法」之制定施行,可謂立法者業已意識到隱私之概念從傳統消極不受他人干擾,擴張及於積極掌握有關自身資訊;其將公務機關與非公務機關之個人資料處理冶於一爐,並且同時規範民、刑事罰則以及行政程序。 法務部民國85年08月07日發布「電腦處理個人資料保護法之特定目的及個人資料之類別」
一、新法之基本觀念 個人資料保護的基本原則: 規範行為:蒐集、電腦處理、利用 規範對象: 為規範個人資料之蒐集、處理及利用, 以避免人格權受侵害, 並促進個人資料之合理利用,特制定本法。 規範行為:蒐集、電腦處理、利用 規範對象: 公務機關 非公務機關
一、新法之基本觀念 本法三個重點: 「個人資料自主決定權」(資訊自主權) 「安全維護義務」 「合理利用」
一、新法之基本觀念 「個人資料自主決定權」之權利內容 第3條 當事人就其個人資料依本法規定行使之左列權利, 不得預先拋棄或以特約限制之: 一 查詢及請求閱覽。 二 請求製給複製本。 三 請求補充或更正。 四 請求停止電腦處理及利用。 五 請求刪除。
「個人資料自主決定權」之整體行為義務為: 一、新法之基本觀念 「個人資料自主決定權」之整體行為義務為: 給予個資請求權(第3條) 被告知/同意(第8條) 合比例性之個資運用(第5條) 正確使用(第11條) 安全維護義務(第18條)
二、新法引發之迴響 新 法 太 嚴 格 ! ?
三、新法爭議釋疑 本法採「二元並立」之立法模式: 第1條 為規範個人資料之蒐集、處理及利用, 以避免人格權受侵害, 並促進個人資料之合理利用,特制定本法。 不確定法律概念、概括條款、除外條款眾多 本法賦予相當寬鬆的法制形成空間!!
三、新法爭議釋疑 資訊自主權之意義-- 「誰對我知道什麼、何時知道、因何事而知道…」 第5條 個人資料之蒐集、處理或利用,應尊重當事人之權益, 依誠實及信用方法為之,不得逾越特定目的之必要範圍, 並應與蒐集之目的具有正當合理之關聯。
三、新法爭議釋疑 資訊自主權的功能演化: 限制蒐集原則/個資迴避原則 目的明確原則/目的公開原則/限制利用原則 安全保護原則/責任追究原則 個人參與原則/內容完正原則/資料品質原則
三、新法爭議釋疑 民間的反應資訊自主權之折衷: 法定要式行為涉及大眾時,在我國常演變成為 定型化契約條款之介入。 告知/同意義務之免除或減輕 免予個資請求權(後敘) 特定目的外之利用(後敘) 法定要式行為涉及大眾時,在我國常演變成為 定型化契約條款之介入。 此一需求可以有限度接受,因驟然施行恐生成本。 未來應著重宣導與資訊服務。
三、新法爭議釋疑 特定目的外之利用: 第16條 公務機關對個人資料之利用,除第六條第一項所規定資料外, 應於執行法定職務必要範圍內為之,並與蒐集之特定目的相符。 但有下列情形之一者,得為特定目的外之利用: 一、法律明文規定。 二、為維護國家安全或增進公共利益。 三、為免除當事人之生命、身體、自由或財產上之危險。 四、為防止他人權益之重大危害。 五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。 六、有利於當事人權益。 七、經當事人書面同意。
三、新法爭議釋疑 第20條 非公務機關對個人資料之利用,除第六條第一項所規定資料 外,應於蒐集之特定目的必要範圍內為之。但有下列情形 之一者,得為特定目的外之利用: 一、法律明文規定。 二、為增進公共利益。 三、為免除當事人之生命、身體、自由或財產上之危險。 四、為防止他人權益之重大危害。 五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。 六、經當事人書面同意。
三、新法爭議釋疑 不確定法律概念“公共利益”之爭議, 顯示我國對合理利用之強烈需求。 國際發展(德國、OECD/APEC): 一、法律明文規定。 二、經當事人書面同意。 學術研究獨立規範。 各機構現階段可利用現行不確定概念嘗試建立理論,並推動修法。 各特別法之推動修法(目的事業主管機關)。
三、新法爭議釋疑 本法的四階結構: 個資母法: 立法院審酌國際發展與國內實況修訂。 施行細則: 法務部訂明行為義務中之技術與組織規範。 實施辦法: 各部會訂明行為義務中之評鑑或檢查等實務。 法院判決: 依個案決定是否違反義務。
三、新法爭議釋疑 本法之罰則 本法並不嚴格!! 乃行為規範之違反,為保護他人之法律(民184II);故未明顯加重責任。 要件: 違反本法規定(即不法蒐集、處理、利用個人資料) + 當事人權利(或利益)受有侵害 舉證責任(當事人受有侵害之因果關係;表見證據?) 限定賠償額 法制重點在於行為義務之設計
三、新法爭議釋疑 罰則--民事責任 第28條 公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用 或其他侵害當事人權利者,負損害賠償責任。 但損害因天災、事變或其他不可抗力所致者,不在此限。 第29條 非公務機關違反本法規定,致個人資料遭不法蒐集、 處理、利用或其他侵害當事人權利者,負損害賠償責任。 但能證明其無故意或過失者,不在此限。 應改為: 公務機關(非公務機關)違反本法規定而不法蒐集、處理、利用 個人資料,致侵害當事人權利或利益者,負損害賠償責任。
三、新法爭議釋疑 不法: 以不受准許之方式或不正確地蒐集、處理、利用個人資料 Unzulässigen oder unrichtigen Erhebung, Verarbeitung oder Nutzung personenbezogener Daten -- unzulässigen (以不受准許之方式) -- unrichtigen (不正確地) 給予個資請求權(第3條) 被告知/同意(第8條) 合比例性之個資運用(第5條) 安全維護義務(第18條)… 正確使用(第11條) ? -- 個人資料自主決定權」之整體行為義務
三、新法爭議釋疑 § 7 Schadensersatz BDSG Fügt eine verantwortliche Stelle dem Betroffenen durch eine nach diesem Gesetz oder nach anderen Vorschriften über den Datenschutz unzulässige oder unrichtige Erhebung, Verarbeitung oder Nutzung seiner personenbezogenen Daten einen Schaden zu, ist sie oder ihr Träger dem Betroffenen zum Schadensersatz verpflichtet. Die Ersatzpflicht entfällt, soweit die verantwortliche Stelle die nach den Umständen des Falles gebotene Sorgfalt beachtet hat.
三、新法爭議釋疑 洩漏/被駭未必有責!! 要件: 違反本法規定(即不法) + 當事人權利(或利益)受有侵害 已守安維計劃+對方未能證明損害,似可免責… 匿名化處理可主張當事人權利(或利益)未受有侵害? 加密化處理可主張當事人權利(或利益)未受有侵害?
三、新法爭議釋疑 罰則--刑事責任 第41條 違反第六條第一項、第十五條、第十六條、第十九條、第二十條 第一項規定,或中央目的事業主管機關依第二十一條限制國際傳輸 之命令或處分,足生損害於他人者,處二年以下有期徒刑、拘役 或科或併科新臺幣二十萬元以下罰金。 意圖營利犯前項之罪者,處五年以下有期徒刑,得併科新臺幣 一百萬元以下罰金。 分析: 足生損害於他人者,為義務之客觀化/危險犯之概念。 違反行為義務,不法性高。資訊自主權是資訊時代的基本人權! 可以匿名化或加密防免。
三、新法爭議釋疑 罰則--刑事責任 第42條 意圖為自己或第三人不法之利益或損害他人之利益, 而對於個人資料檔案為非法變更、刪除或以其他非法方法, 致妨害個人資料檔案之正確而足生損害於他人者, 處五年以下有期徒刑、拘役 或科或併科新臺幣一百萬元以下罰金。 比較:刑法第359條(92.6.3 之最新修正) 無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄, 致生損害於公眾或他人者,處五年以下有期徒刑、拘役 或科或併科二十萬元以下罰金。
三、新法爭議釋疑 法律處罰非重點 建立「個資有價」之觀念!! 個資受侵害是資安工作的失敗!! 我國「個人資料保護法」法律面已近先進國家, 惟在管理面及稽核面缺乏足夠的配套措施。 兩難處境: 技術中立 / 契約自由 / 市場導向 (如電子簽章的立法原則) 但保護個資又需積極介入安全維護之有效規範: 技術/產品 程序/組織 人員/操作
三、新法爭議釋疑 技術與組織規範 德國方案:程序化之管理模式 產品稽核 強制輔導 輔導企業建立內部管理程序及使用流程
三、新法爭議釋疑 德國企業資保官之職責: 督導遵守本法之行為規範 公司自訂資安方案之審核 針對工作人員之本法相關問題釋疑 向主管提醒報備義務 訓練講習課程 …
資安素養與個資之互相尊重 引自:brotherpeacemaker.wordpress.com/2008/01/
結語:個資保護教育與宣導之重要!! 讓我們共同努力! 謝謝!!