益思科技法律事務所 賴文智律師 中華民國旅行商業同業公會全國聯合會 個人資料保護法說明 益思科技法律事務所 賴文智律師 中華民國旅行商業同業公會全國聯合會
立法目的 現行法(電腦處理個人資料保護法)第1條: 「為規範電腦處理個人資料,以避免人格 權受侵害,並促進個人資料之合理 利用, 特制定本法。」 新法(個人資料保護法)第1條:「為規範 個人資料之蒐集、處理及利用,以避免人 格權受侵害,並促進個人資料之合理利用, 特制定本法。」 不再限於電腦處理,包含所有個人資料的 蒐集、處理及利用行為
適用主體 現行法立法當時考量到適用之衝擊,故限 於蒐集、處理較多個人資料之業者 公務機關 非公務機關 徵信業及以蒐集或電腦處理個人資料為主要業 務之團體或個人 醫院、學校、電信業、金融業、證券業、保險 業及大眾傳播業 其他經法務部會同中央目的事業主管機關指定 之事業、團體或個人
適用主體 新法則於非公務機關無適用主體之限制, 原則上為全面適用 台北市產物、人壽保險商業同業公會、中華民國 產物保險商業同業公會及中華民國人壽保險商業 同業公會、財團法人台灣更生保護會」、財團法 人犯罪被害人保護協會、定利用電腦網路開放個 人資料登錄之就業服務業、定登記資本額為新臺 幣一千萬元(含)以上之股份有限公司之組織型 態,且有採會員制為行銷方式之百貨公司業及零 售式量販業、不動產仲介經紀業、文理類補習班 除語文類科外、無店面零售業(以網際網路及型 錄方式零售商品之公司行號)、錄影節目帶出租 業、電視購物頻道供應者 新法則於非公務機關無適用主體之限制, 原則上為全面適用
99年度「執行電腦處理個人資料保護事項協調聯繫」 第1次會議決議事項整理表 請交通部觀光局、行政院體育委員會儘速 會同本部完成公告指定旅行業、觀光旅館 業、旅館業、運動場館業適用個資法之法 制程序;其他產業部分,因個資法修正條 文業經總統公布,各目的事業主管機關認 為目前暫無繼續指定其他產業適用之必要, 且會同公告適用個資法之指定程序需耗費 一定時日始能完成,爰暫不繼續會同指定 其他產業適用個資法,惟仍請各機關加強 管理各事業,以預防其發生個人資料違法 外洩事件。
個人資料 現行法:個人資料指自然人之姓名、出生年月 日、身分證統一編號、特徵、指紋、婚姻、家 庭、教育、職業、健康、病歷、財務情況、社 會活動及其他足資識別該個人之資料。 新法:個人資料:指自然人之姓名、出生年月 日、國民身分證統一編號、護照號碼、特徵、 指紋、婚姻、家庭、教育、職業、病歷、醫療、 基因 、性生活、健康檢查、犯罪前科、聯絡 方式、財務情況、社會活動及 其他得以直接 或間接方式識別該個人之資料。
當事人的權利 新法第3條:「當事人就其個人資料依本法 規定行使之下列權利,不得預先拋棄或以 特約 限制之: 一、查詢或請求閱覽。 二、請求製給複製本。 三、請求補充或更正。 四、請求停止蒐集、處理或利用。 五、請求刪除。」
蒐集、處理、利用之比例原則 新法第5條:「個人資料之蒐集、處理或利 用,應尊重當事人之權益,依誠實及信用 方法為之,不得逾越特定目的之必要範圍, 並應與蒐集之目的具有正當合理之關聯。」 即令有契約關係、取得當事人書面同意等, 未必代表可任意蒐集當事人個人資料,應 符合比例原則,違反本條仍應對當事人負 損害賠償責任 個資的蒐集並非多多益善
敏感性個人資料禁止蒐集原則 新法第6條第1項:「有關醫療、基因、性生活、 健康檢查及犯罪前科之個人資料,不得蒐集、 處理或利用。但有下列情形之一者,不在此限: 一、法律明文規定。 二、公務機關執行法定職務或非公務機關履行法 定義務所必要,且有適當安全維護措施。 三、當事人自行公開或其他已合法公開之個人資 料。 四、公務機關或學術研究機構基於醫療、衛生或 犯罪預防之目的,為統計 或學術研究而有必要, 且經一定程序所為蒐集、處理或利用之個人資 料。」
書面同意之特別規定 第7條:書面同意之特別規定 舊法原以施行細則處理,但目前透過網路 從事個資蒐集時,同樣面臨書面實施困難 第十五條第二款及第十九條第五款所稱書面同 意,指當事人經蒐集者告知本法所定應告知事 項後,所為允許之書面意思表示。 第十六條第七款、第二十條第一項第六款所稱 書面同意,指當事人經蒐集者明確告知特定目 的外之其他利用目的、範圍及同意與否對其權 益之影響後,單獨所為之書面意思表示。 舊法原以施行細則處理,但目前透過網路 從事個資蒐集時,同樣面臨書面實施困難
直接蒐集之告知義務 新法第8條 公務機關或非公務機關依第十五條或第十九條 規定向當事人蒐集個人資料時,應明確告知當 事人下列事項: 一、公務機關或非公務機關名稱。 二、蒐集之目的。 三、個人資料之類別。 四、個人資料利用之期間、地區、對象及方式。 五、當事人依第三條規定得行使之權利及方式。 六、當事人得自由選擇提供個人資料時,不提供將 對其權益之影響。
間接蒐集之告知義務 新法第9條:「Ⅰ公務機關或非公務機關依第十五條或第十 九條規定蒐集非由當事人提供之 個人資料,應於處理或利 用前,向當事人告知個人資料來源及前條第一項 第一款至 第五款所列事項。 Ⅱ有下列情形之一者,得免為前項之告知: 一、有前條第二項所列各款情形之一。 二、當事人自行公開或其他已合法公開之個人資料。 三、不能向當事人或其法定代理人為告知。 四、基於公共利益為統計或學術研究之目的而有必要,且該資料 須經提供 者處理後或蒐集者依其揭露方式,無從識別特定當事人 者為限。 五、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。 Ⅲ第一項之告知,得於首次對當事人為利用時併同為之。」
請求閱覽或給予複本 新法第10條:「公務機關或非公務機關應 依當事人之請求,就其蒐集之個人資料, 答覆查 詢、提供閱覽或製給複製本。但有 下列情形之一者,不在此限: 一、妨害國家安全、外交及軍事機密、整體經 濟利益或其他國家重大利益 。 二、妨害公務機關執行法定職務。 三、妨害該蒐集機關或第三人之重大利益。」
更正、補充及刪除 新法第11條:「Ⅰ公務機關或非公務機關應維護個人資料之 正確,並應主動或依當事人之請求更正或補充之。 Ⅱ個人資料正確性有爭議者,應主動或依當事人之請求停止 處理或利用。但因執行職務或業務所必須並註明其爭議或經 當事人書面同意者,不在此限 。 Ⅲ個人資料蒐集之特定目的消失或期限屆滿時,應主動或依 當事人之請求, 刪除、停止處理或利用該個人資料。但因執 行職務或業務所必須或經當事 人書面同意者,不在此限。 Ⅳ違反本法規定蒐集、處理或利用個人資料者,應主動或依 當事人之請求, 刪除、停止蒐集、處理或利用該個人資料。 Ⅴ因可歸責於公務機關或非公務機關之事由,未為更正或補 充之個人資料, 應於更正或補充後,通知曾提供利用之對 象。」
個資洩漏時之通知義務 新法第12條:「公務機關或非公務機關違 反本法規定,致個人資料被竊取、洩漏、 竄改或 其他侵害者,應查明後以適當方式 通知當事人。」 本條對於公務及非公務機關影響都非常大, 因為應如何通知當事人始符合本條規定仍 有討論空間,有待施行細則之規範
處理期間及費用 新法第13條:「Ⅰ公務機關或非公務機關受理 當事人依第十條規定之請求,應於十五日內, 為准駁之決定;必要時,得予延長,延長之期 間不得逾十五日,並應將其原因以書面通知請 求人。 Ⅱ公務機關或非公務機關受理當事人依第十一 條規定之請求,應於三十日內,為准駁之決定; 必要時,得予延長,延長之期間不得逾三十日, 並應將 其原因以書面通知請求人。」 新法第14條:「查詢或請求閱覽個人資料或製 給複製本者,公務機關或非公務機關得酌收 必要成本費用。」
蒐集個人資料之要件 新法第19條 Ⅰ非公務機關對個人資料之蒐集或處理,除第 六條第一項所規定資料外,應 有特定目的, 並符合下列情形之一者: 一、法律明文規定。 二、與當事人有契約或類似契約之關係。 三、當事人自行公開或其他已合法公開之個人資料。 四、學術研究機構基於公共利益為統計或學術研究 而有必要,且資料經過 提供者處理後或蒐集者依 其揭露方式無從識別特定之當事人。
蒐集個人資料之要件 五、經當事人書面同意。 六、與公共利益有關。 七、個人資料取自於一般可得之來源。但當事 人對該資料之禁止處理或利用,顯有更值得保 護之重大利益者,不在此限。 Ⅱ蒐集或處理者知悉或經當事人通知依前 項第七款但書規定禁止對該資料之 處理或 利用時,應主動或依當事人之請求,刪除、 停止處理或利用該個人資料。
法務部所公告之特定目的
特定目的外之利用要件 新法第20條 Ⅰ非公務機關對個人資料之利用,除第六 條第一項所規定資料外,應於蒐集 之特定 目的必要範圍內為之。但有下列情形之一 者,得為特定目的外之利用: 一、法律明文規定。 二、為增進公共利益。 三、為免除當事人之生命、身體、自由或財產 上之危險。 四、為防止他人權益之重大危害。
特定目的外之利用要件 Ⅱ非公務機關依前項規定利用個人資料行 銷者,當事人表示拒絕接受行銷時,應即 停止利用其個人資料行銷。 五、公務機關或學術研究機構基於公共利益為 統計或學術研究而有必要,且資料經過提供者 處理後或蒐集者依其揭露方式無從識別特定之 當事人。 六、經當事人書面同意。 Ⅱ非公務機關依前項規定利用個人資料行 銷者,當事人表示拒絕接受行銷時,應即 停止利用其個人資料行銷。 Ⅲ非公務機關於首次行銷時,應提供當事 人表示拒絕接受行銷之方式,並支付所需 費用。
跨國傳輸的問題 新法第21條 非公務機關為國際傳輸個人資料,而有下 列情形之一者,中央目的事業主管機關得 限制之: 一、涉及國家重大利益。 二、國際條約或協定有特別規定。 三、接受國對於個人資料之保護未有完善之法 規,致有損當事人權益之虞 。 四、以迂迴方法向第三國(地區)傳輸個人資 料規避本法。
主管機關檢查 新法第22條 Ⅰ中央目的事業主管機關或直轄市、縣(市) 政府為執行資料檔案安全維護 、業務終止資 料處理方法、國際傳輸限制或其他例行性業務 檢查而認有必 要或有違反本法規定之虞時, 得派員攜帶執行職務證明文件,進入檢查, 並得命相關人員為必要之說明、配合措施或提 供相關證明資料。 Ⅱ中央目的事業主管機關或直轄市、縣(市) 政府為前項檢查時,對於得沒 入或可為證據 之個人資料或其檔案,得扣留或複製之。
主管機關檢查 對於應扣留或複製 之物,得要求其所有人、 持有人或保管人提出或交付;無正當理由拒絕 提 出、交付或抗拒扣留或複製者,得採取對 該非公務機關權益損害最少之方 法強制為之。 Ⅲ中央目的事業主管機關或直轄市、縣(市) 政府為第一項檢查時,得率同 資訊、電信或 法律等專業人員共同為之。 Ⅳ對於第一項及第二項之進入、檢查或處分, 非公務機關及其相關人員不得 規避、妨礙或 拒絕。 Ⅴ參與檢查之人員,因檢查而知悉他人資料者, 負保密義務。
主管機關行政管制 第22條:主管機關檢查 第25條:行政處罰 派員進入檢查、命相關人員為必要之說明、配 合措施或提供資料、扣留或複製、得率同資訊、 電信或法律等專業人員共同為之 第25條:行政處罰 一、禁止蒐集、處理或利用個人資料。 二、命令刪除經處理之個人資料檔案。 三、沒入或命銷燬違法蒐集之個人資料。 四、公布非公務機關之違法情形,及其姓名或 名稱與負責人。
行政處分 新法第25條 Ⅰ非公務機關有違反本法規定之情事者,中央 目的事業主管機關或直轄市、縣(市)政府除 依本法規定裁處罰鍰外,並得為下列處分: 一、禁止蒐集、處理或利用個人資料。 二、命令刪除經處理之個人資料檔案。 三、沒入或命銷燬違法蒐集之個人資料。 四、公布非公務機關之違法情形,及其姓名或名稱 與負責人。 Ⅱ中央目的事業主管機關或直轄市、縣(市) 政府為前項處分時,應於防制違反本法規定情 事之必要範圍內,採取對該非公務機關權益損 害最少之方 法為之。
個人資料安全 新法第27條 Ⅰ非公務機關保有個人資料檔案者,應採 行適當之安全措施,防止個人資料被竊取、 竄改、毀損、滅失或洩漏。 Ⅱ中央目的事業主管機關得指定非公務機 關訂定個人資料檔案安全維護計畫或業務 終止後個人資料處理方法。 Ⅲ前項計畫及處理方法之標準等相關事項 之辦法,由中央目的事業主管機關定之。
損害賠償 新法第29條 Ⅰ非公務機關違反本法規定,致個人資料 遭不法蒐集、處理、利用或其他侵 害當事 人權利者,負損害賠償責任。但能證明其 無故意或過失者,不在此 限。 Ⅱ依前項規定請求賠償者,適用前條第二 項至第六項規定。
損害賠償 新法第28條 Ⅱ被害人雖非財產上之損害,亦得請求賠 償相當之金額;其名譽被侵害者,並得請 求為回復名譽之適當處分。 Ⅲ依前二項情形,如被害人不易或不能證 明其實際損害額時,得請求法院依侵害情 節,以每人每一事件新臺幣五百元以上二 萬元以下計算。
損害賠償 Ⅳ對於同一原因事實造成多數當事人權利受侵 害之事件,經當事人請求損害賠償者,其合計 最高總額以新臺幣二億元為限。但因該原因事 實所涉利益超過新臺幣二億元者,以該所涉利 益為限。 Ⅴ同一原因事實造成之損害總額逾前項金額時, 被害人所受賠償金額,不受第三項所定每人每 一事件最低賠償金額新臺幣五百元之限制。 Ⅵ第二項請求權,不得讓與或繼承。但以金額 賠償之請求權已依契約承諾或已起訴者,不在 此限。
團體訴訟 新法第32條:「依本章規定提起訴訟之財 團法人或公益社團法人,應符合下列要件: 一、財團法人之登記財產總額達新臺幣一千萬 元或社團法人之社員人數達 一百人。 二、保護個人資料事項於其章程所定目的範圍 內。 三、許可設立三年以上。」
刑事責任 第41條:「Ⅰ違反第六條第一項、第十五 條、第十六條、第十九條、第二十條第一 項規定,或中央目的事業主管機關依第二 十一條限制國際傳輸之命令或處分,足生 損害於他人者,處二年以下有期徒刑、拘 役或科或併科新臺幣二十萬元以下罰金。 Ⅱ意圖營利犯前項之罪者,處五年以下有 期徒刑,得併科新臺幣一百萬元以下罰 金。」
刑事責任 新法第42條:「意圖為自己或第三人不法之利益或 損害他人之利益,而對於個人資料檔案為非法變更、 刪除或以其他非法方法,致妨害個人資料檔案之正 確而足生損害於他人者,處五年以下有期徒刑、拘 役或科或併科新臺幣一百萬元以下罰金。」 新法第43條:「中華民國人民在中華民國領域外對 中華民國人民犯前二條之罪者,亦適用之。」 新法第44條:「公務員假借職務上之權力、機會或 方法,犯本章之罪者,加重其刑至二分 之一。」 新法第45條:「本章之罪,須告訴乃論。但犯第四 十一條第二項之罪者,或對公務機關犯第四十二條 之罪者,不在此限。」
排除適用及域外效力 新法第51條:「Ⅰ有下列情形之一者,不 適用本法規定: 一、自然人為單純個人或家庭活動之目的,而 蒐集、處理或利用個人資料 。 二、於公開場所或公開活動中所蒐集、處理或 利用之未與其他個人資料結 合之影音資料。 Ⅱ公務機關及非公務機關,在中華民國領 域外對中華民國人民個人資料蒐集、處理 或利用者,亦適用本法。」
間接蒐集告知義務之回溯規定 第54條:「本法修正施行前非由當事人提 供之個人資料,依第九條規定應於處理或 利 用前向當事人為告知者,應自本法修正 施行之日起一年內完成告知,逾期 未告知 而處理或利用者,以違反第九條規定論 處。」
益思科技法律事務所 台北市忠孝東路四段290號8樓 02-27723152 高雄所 高雄市四維三路6號17樓A2 07-335-7331 THE END 益思科技法律事務所 台北市忠孝東路四段290號8樓 02-27723152 高雄所 高雄市四維三路6號17樓A2 07-335-7331