Download presentation
Presentation is loading. Please wait.
1
個人資料保護法解析 苗栗縣政府103年度個人資料保護法研習班 探討議題: 1. 個人資料保護法的法理與案例說明 2. 資訊通訊安全法規
3. 實務進行方式與建議
2
講員:廖緯民 老師 2014年05月14日 現職: 中興大學法律學系 科技法律碩士班 專任副教授 學歷: 台大法學士 德國特利爾大學法學碩士
講員:廖緯民 老師 年05月14日 現職: 中興大學法律學系 科技法律碩士班 專任副教授 學歷: 台大法學士 德國特利爾大學法學碩士 德國薩爾大學 法學博士 經歷: 行政院法務部個資法修法委員及專業講師 教育部、財政部個資法修法諮詢專家 經濟部、內政部、外交部、國安局個資法講師 衛福部、人事行政局個資法諮詢專家 司法院司法人員研習所個資法講座 國家文官學院資深個資法講座 立法院法制局個資法諮詢專家 監察院審計部個資法專業講師 台灣金融研訓院個資法專業講座 台中市/南投縣/彰化縣/雲林縣政府個資法講師 多家金融、醫療、傳播、國營企業個資法講師 電郵地址
3
本議題主要線上法律資源: 全國法規資料庫(http://law.moj.gov.tw)
法務部相關網頁 ( 個人資料保護專區 各主管機關之網站 搜尋引擎
4
台灣Nokia行銷網站被駭,150萬個資可能外洩
前言 個資法的最新時事 台灣Nokia行銷網站被駭,150萬個資可能外洩 文/蘇文彬 (記者) 台灣Nokia今天(2/22)對外發出聲明,表示該公司委託網路行銷公司Agenda經營的5個台灣行銷活動網站遭駭客入侵,駭客已公佈17萬筆資料,經過調查後,Nokia可能有150萬筆先前在台灣舉辦行銷活動的消費者個人資料外洩,Nokia已採取因應措施,關閉網站、修復伺服器漏洞,移除資料庫,同時以電子郵件、簡訊通知客戶。 對於駭客已公佈17萬筆資料,Nokia表示,因缺乏完整資訊,無法確認駭客是否只取得17萬筆資料,5個行銷網站過去累積的客戶資料約150萬筆可能被竊,可能被竊的客戶資料包括姓名、電話、電子郵件及相關活動所需資料,其中少於7000筆資料可能含有密碼,Nokia基於慎重以電子郵件、簡訊通知客戶因應。… 根據Hackread.com指出,外洩的資料包含了Nokia在台灣的產品銷售細節,使用者名稱、IP位址、性別、 、電話號碼。另外還有發票與Nokia Lumia、Nokia 610、Nokia 510等手機的IMEI號碼,臉書帳號資料。而臉書資料甚至還包含使用者基本資料與照片連節,還有圖表搜尋、按讚、貼文……等各種的詳細資料。
5
前言 國安局:駭客陸駭客攻擊我高科技 個資法的最新時事 工商時報【記者崔慈悌╱2013年3月21日台北報導】
中共網駭已朝向竊取台灣商業機密!國安局長蔡得勝昨(20)日提出警告,中共對台灣的網路攻擊「相當嚴重」,必要時可能危害台灣交通運輸及金融秩序,竊取的資料也從軍情,轉向蒐集高科技及商業機密,呼籲企業提高警覺、加以因應。… 國安局曾針對中共網路攻擊對我國政府和私人機構的危害程度進行評估,結果發現「相當嚴重」。蔡得勝引述美國情報總監談話表示,當前網路駭客的攻擊,已遠比恐怖活動更加威脅全球安全,美方日前多次點名警告中國的網路戰,「政府與民眾應該共同重視這樣的問題」。 國安局統計,光是國安局本身,去年受到來自大陸的網路攻擊,累計高達334萬餘次,換算每天逼近一萬次。蔡得勝說,中共對台灣的網路攻擊,已從過去單純竊取機密資料,轉而進行基礎建設的破壞,所竊取的資料也從以往軍事、政治為主,進一步轉向竊取商業機密資料「政府和民間高科技企業的商業機密,都成為中共情蒐的項目」。… 他說,前段時間國內曾有多項相關資料大量流失、及個資遭竊,如果這些資料讓對岸取得納入資料庫,藉由交叉比對,中共即能完全掌握台灣相關人員的素質和資訊。
6
前言 從史諾登爆料 看Metadata 【經濟日報╱陳冲】2013.06.20名家觀點
…Metadata不是新名詞,國內譯為「元資料」、「詮釋資料」都不易望文生義。國外普遍接受的解釋是「data about data」,例如某人打一通電話是資料,但發話的時間、地點、受話人或關鍵字等就是Metadata。NSA為執行反恐調查如結合Metadata的運用,一定更有效率。…前些日子有一擔任企業高階主管友人,建議與我以某L簡訊軟體通訊,我則反問使用者會被蒐集何種資訊,彼渾然不解。當場試行下載時,即發現一畫面係業者詢問是否同意蒐集某些資訊,多數用戶未注意其中包括位置、個人資訊、聯絡簿、簡訊、讀取手機狀態及識別碼、修改SD卡,乃至硬體控制等。 …Mayer-Schonberger及 Cukier合著的「Big Data」一書中即有一例述說「大數據」的妙用:Google 利用美國民眾經常使用的搜尋字眼與疾管局資料比對,歸納出流感散播時間、地點的相關性,再放進數學模型,可以比官方更早更準確預測流感疫情。(作者是前行政院長、總統府資政)
7
前言 爸爸救我! 快救我! 尹啟銘被騙120萬 2013-08-08中國時報【蕭承訓/台北報導】
個資法的最新時事 爸爸救我! 快救我! 尹啟銘被騙120萬 中國時報【蕭承訓/台北報導】 前經建會主委尹啟銘被電話詐騙集團看上,其子替人作保欠債遭押為由詐財。尹以為兒子真遭綁架,心急如焚,分2次到銀行及郵局共提領了120萬元,以丟包方式交付贖款。… 3名少年表示,不知道尹啟銘是何許人,完全聽命上手指揮行事。警方昨日通知尹,已逮到車手,他表示不願出面,但納悶家人個資為何外流。… 至於被騙細節,他僅低調說:「事情經過並非單純詐騙如此簡單,警方已著手調查處理,不方便再對外說明。」…起初尹啟銘察覺有異,還反譏歹徒:「你們不要騙人了!」但對方對其家世背景倒背如流,尹啟銘聽到後慌亂,還沒向兒子查證就到郵局領80萬元。 據報導,詐騙集團對尹個人及家人資訊有所掌握,其間顯有個資外洩的問題。詐騙案中,個資往往是歹徒誤導當事人利器,政府必須全力杜絕外洩,本案再度突出這一必要性。
8
前言 個資法與六大新興產業
9
前言 新法法規發展狀態: + 母法( 99.05.26 行政院修正公布; 101.10.01正式施行)
母法( 行政院修正公布; 正式施行) 施行細則 ( 法務部公告; 正式施行) 法務部「中央目的事業主管機關依個人資料保護法第二十七條第三項規定訂定辦法之參考事項」 法務部新版「個人資料保護法之特定目的及個人資料之類別」 法務部「個人資料保護法非公務機關之中央目的事業主管機關」個人資料保護業務公開作業範本說明 + 子法「個人資料保護法第六條第二項辦法」(尚未定案) 各部會針對所屬公務機關之管理辦法(逐步頒佈中) 各部會對「非公務機關」之管理法規 (第27條第3項)(逐步頒佈中) 「資訊服務業」之特別管理法規 (尚未定案)
10
前言 新法法規發展狀態: 各部會針對所屬非公務機關之管理辦法:例舉
票據交換所個人資料檔案安全維護計畫標準辦法 (中央銀行 101年11月30日) 多層次傳銷業訂定個人資料檔案安全維護計畫及業務終止後個人資料處理方法作業辦法 (公平交易委員會 102年4月30日) 人力仲介業個人資料檔案安全維護計畫及處理辦法 (勞委會 102年5月1日) 不動產經紀業個人資料檔案安全維護管理辦法 (內政部 102年7月10日) 金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法 (金管會 102年11月08日)
11
前言 新法法規發展狀態: 各部會針對所屬公務機關之管理辦法:例舉 法務部個人資料保護管理要點(2012/12/19)
內政部營建署個人資料保護管理要點(內政部營建署 營署資字第 號函發布,自即日生效) 農民健康保險被保險人戶籍異動清查業務使用戶役政資料作業管理規定(中華民國99年1月15日內政部台內社字第 號函訂定)
12
在前夫住處公告欄張貼家暴令 婦人違反個資法起訴
前言 新法法規發展狀態:案例 在前夫住處公告欄張貼家暴令 婦人違反個資法起訴 中廣 彭清仁 2013年07月11日 個人資料保護法實施之後,讓許多公家單位都變得十分謹慎,唯恐一不小心就觸法。苗栗一名陳姓婦人與丈夫離婚後,兩人因為女兒的探視權發生過多次爭執。而前夫也多次以電話、簡訊對前妻進行騷擾,甚至在前妻上班途中,惡意擋車而發生擦撞,前妻因不堪丈夫騷擾而提出妨害自由告訴,並聲請保護令。 陳姓婦人對前夫騷擾心有不滿,今年四月間將刑事判決和民事保護令,張貼在前夫住處附近的公告欄內,甚至拍照再上傳到個人臉書,還貼文「今天做了一件有意義的事,就是宣佈壞人的行為」。由於判決書和民事裁定書,清楚記載雙方姓名、生日、身分證號碼、住址等個人資料,前夫在得知後報警,並控告前妻洩漏個資。儘管前妻陳姓婦人在偵查庭訊時向檢方供稱,張貼文件目的「只是要讓鄰居知道前夫的惡行惡狀」。不過全案檢方偵查終結,檢察官認定被告行為已涉及侵犯個人資料保護法罪嫌,將被告提起公訴,這也是個資法實施以來,苗栗地區首宗被起訴案件。
13
前言 個資法首宗刑事判例出爐 文/張景皓 2013-09-27
…發生在臺南的個案,起因是被告不滿社區地下停車場使用的爭議,遂在自己的Facebook專頁上,公開告訴人的姓名、照片等資料,除了公布他人個資之外,文字中並帶有誹謗字眼。臺南地方法院依違反個資法第20條第1項、第41條第1項,處拘役40天,若是繳交易科罰金,每日以新臺幣1千元計算,總額4萬元。被告除了違反個資法之外,還必須面臨誹謗罪的刑事處分。 律師張紹斌表示,從法條解析角度來看,根據個資法第51條的規定,家庭活動所蒐集、處理或利用的個資並不適用個資法的規定,這起案件,起因是社區活動爭議,…法務部對於家庭活動的認定勢必要有更清楚的定義。張紹彬表示,在沒有個資法的時代,類似的案件是以誹謗罪來裁決,如今民眾因為不了解個資法,誤觸法律規範時,就得面臨加重刑期的情況,這點是否和立法的目的有達到共識,非常值得再三省思。 除了此案件之外,還有4起依個資法判決的民事判例。
14
個資法新法解析 14
15
一、個資法之國際面向 OECD Guidelines on the Protection of Privacy
and Transborder Flows of Personal Data PART TWO. BASIC PRINCIPLES OF NATIONAL APPLICATION Collection Limitation Principle Data Quality Principle Purpose Specification Principle Use Limitation Principle Security Safeguards Principle Openness Principle Individual Participation Principle Accountability Principle
16
二、個資法之內國面向 是依法行政/法令遵循的重要項目 !! 「資訊隱私權」 / 「資訊自主權」 是21世紀的基本人權 !! (法律與人文面)
也是知識經濟/資訊社會的核心元素!! (經濟與社會面) 更是ICT產業的最終平台!! (技術與國際面) 是依法行政/法令遵循的重要項目 !!
17
三、我國個資法之發展 隱私權的內涵 「隱私權」原係美國法上之用語,「The Right to Privacy」濫觴於1890 年Samuel L. Warren 與Louis D. Brandeis 共同發表的「論隱私權」(The Right to Privacy)一文,強調「生活的權利」(right to life)與「不受干擾的權利」(right to be let alone)。 其後此一概念在美國法之發展,不論是在聯邦憲法之位階亦或是侵權法之領域,均有趨於多元而複雜的面向。以美國聯邦最高法院的發展為例,大抵上可分為兩大部分:「禁止不合理搜索、扣押」及「個人重要事務自主權」。
18
三、我國個資法之發展 隱私權的內涵 1960年代William L. Prosser 教授提出了四個隱私權分類的觀點。其謂隱私權的四種侵害態樣分別為: 一、對個人之獨居、獨自性或個人性事務之入侵。(窺探) 二、對使個人難堪的私人事務之公開揭露。(揭露) 三、將被害人置於錯誤之公眾理解下。(誤導) 四、為被告利益而未經同意使用被害人之姓名或其他特徵。(濫用) (Intrusion upon the plaintiff’s seclusion or solitude, or into his private affairs) (Public disclosure of embarrassing facts about the plaintiff) (Publicity which places the plaintiff in a false light in the public eye) (Appropriation, for the defendant’s advantage, of the plaintiff’s name or likeness)
19
三、我國個資法之發展 我國迄今的隱私權內涵 一、隱私權已經在我國許多法律中定著。但其所保障之核心價值有待釐清。
二、原則上,隱私權在保障個人享有一適度阻隔、合理遮蔽的狀態;此狀態不論價值判斷、甚至法律評價,均受保障。 三、釋字603號確認「資訊隱私權」,為個資法的憲法依據。 四、法院採用「感官阻隔作用」作為公權力前/搜索的隱私保護界定標準,有異於美國的「科技工具使用普及率」標準。 五、「公眾得出入之場所」有無隱私權:爭議中。 六、「結果論或手段論」以決定隱私之侵害:爭議中。 七、「形象隱私」的觀點:成形中。
20
三、我國個資法之發展 婚姻中的自我矛盾 2013-02-22 中時電子報 作者:鄧惠文
婚姻中該保有自我嗎?「自我」是一種內在、真實、統合的需求與感覺,我要什麼、感覺什麼、喜歡什麼、認為什麼是對錯是非,這個有主觀意識的東西就叫做自我。自我是一個人活得有意義的根本,在婚姻裡要有自我;當了父母也要有自我;不管做什麼都要有自我。 問題是,很多人堅持的東西並不是自我,反而是搞不清楚自我所以才那樣堅持。一個人想要掌握自我,需要經過很多的自我開發、修練、調整、探索。我們在做內在分析、精神分析,做自我的整合,有時是二、三十年的工作。一般人沒有去開啟這種心靈之旅,以為你想的東西就是自我,以為你要什麼就是自我,卻常常是一些扭曲和防衛。 舉例來說,有個太太堅持要看先生的電子郵件,要知道他所有跟人談話的內容。先生非常不開心的說:「我不能保有一點自我嗎?」太太說:「如果你沒有要外遇,為什麼不能給我看?」先生說:「我沒有要外遇,也不想給你看。這就是一個自我的感覺。」
21
三、我國個資法之發展 隱私權的內涵 擅入丈夫臉書找證據 少婦還未離婚先判刑 2013-04-16 新聞速報 【中廣新聞/彭清仁】
擅入丈夫臉書找證據 少婦還未離婚先判刑 新聞速報 【中廣新聞/彭清仁】 侵犯個人隱私可能觸法,就連枕邊人也不例外!據了解,新竹一名年近卅的少婦,與丈夫結婚多年並育有一子。但夫妻二人婚後經常因為細故起爭執,妻子也懷疑丈夫有外遇,因而向法院訴請離婚。而妻子為了取得丈夫與其它女性過從甚密的對話,在未經丈夫的同意下,擅自登入丈夫的臉書帳號,並瀏覽丈夫與女性友人親密的對話訊息。法官審理離婚官司時,妻子居然將臉書親密對話內容列印下來,交給律師當成是離婚訴訟的有利證據。 丈夫在開庭時才驚覺臉書帳號被妻子入侵,也對妻子提出告訴。妻子在庭訊時,則是向法官坦承確實有登入丈夫的臉書,但目的只是單純的想打離婚官司,並未將臉書的內容公開散佈。法官考量被告年輕氣盛,一時衝動觸法,經過偵、審程序的教訓,被告應該已經知所警惕,無再犯之虞,法官雖然依妨害電腦使用罪名,判處被告拘役五十天,但也給被告緩刑兩年的自新機會。
22
The Big Brother is watching you!?
-- 馬總統「政府資料庫,不得恣意聯結, 濫用個人資料、侵害人民隱私」之人權政策 引自: euro-police.noblogs.org
23
Numerati as hero in the 21. Century…
引自:
24
三、我國個資法之發展 Data Analysis
Data Mining在1994年後逐漸被採用,對企業而言可視為是一種新開發的技術與方法論。SAS Institute定義Data Mining是一種篩選、探勘的過程,以在龐大的資料庫中尋找出有價值但未知的資料;並藉由統計及人工智慧的科學技術,將資料做深入分析,找出其中的知識,並根據企業的問題建立不同的模型,以提供企業進行決策時的依據。舉例來說,電信產業可藉其將其龐大的顧客資料做篩選、分析、推演及預測,找出哪些是最具貢獻的顧客,哪些是高流失率族群,或是預測一個新的產品或促銷活動可能帶來的回應率,以使企業能夠在適當的時間推出適合的產品及服務。透過Data Mining,企業得以更了解其客戶的需求,以滿足他們的最大需要。
25
三、我國個資法之發展 個資法先、或者電子商務先??
企業界實際發展Data Warehouse與Data Mining時,效能常不如預期,資料的不完整性、無時效性均會影響各類模型建立的準確度;而分析的結果也需企業內部其他相關部門配合執行,才能將效能真正發揮。面對新知識經濟時代,商業情報是提高企業競爭力的最終解決方案。其中, 資料倉儲是系統的基礎,而資料採礦則是情報的核心。 我國個資法 / 資訊安全,在電子商務 / 資料分析尚未成熟之前,即以雷霆萬鈞之勢施行,是否得當???
26
三、我國個資法之發展 「隱私權」做為法律概念之發展,就我國司法實務而言:
法務部民國71年7月26日法律字第9168號函釋即曾出現隱私權之用語,將之等同秘密,而屬民法上的人格權。 司法院大法官民國81年3月13日釋字第293號解釋,肯定隱私權屬憲法第22條人民之其他自由及權利,應受憲法之保障。但同時指出隱私權的保護並非絕對,為防止妨礙他人自由、避免緊急危難、維持社會秩序或增進公共利益之必要,得以法律限制之(參照憲法第23條)。另司法院第一廳曾有研究意見認為,隱私遭受侵犯者,被害人得依民法第184條第1項後段規定請求賠償其非財產上損失。
27
三、我國個資法之發展 釋字第293 號解釋(涉及金融隱私權之闡釋): 議會得要求銀行提供放款資料?
…銀行法第四十八條第二項規定「銀行對於顧客之存款、放款或匯款等有關資料,除其他法律或中央主管機關另有規定者外,應保守秘密」,旨在保障銀行之一般客戶財產上之秘密及防止客戶與銀行往來資料之任意公開,以維護人民之隱私權。惟公營銀行之預算、決算依法應受議會之審議,議會因審議上之必要,就公營銀行依規定已屬逾期放款中,除收回無望或已報呆帳部分,仍依現行規定處理外,其餘部分,有相當理由足認其放款顯有不當者,經議會之決議,在銀行不透露個別客戶姓名及議會不公開有關資料之條件下,要求銀行提供該項資料時,為兼顧議會對公營銀行之監督,仍應予以提供。
28
三、我國個資法之發展 4. 司法院大法官民國94年9月28日釋字第603 號解釋:
維護人性尊嚴與尊重人格自由發展,乃自由民主憲政秩序之核心價值。隱私權雖非憲 法明文列舉之權利,惟基於人性尊嚴與個人主體性之維護及人格發展之完整,並為保障個 人生活私密領域免於他人侵擾及個人資料之自主控制,隱私權乃為不可或缺之基本權利, 而受憲法第二十二條所保障(本院釋字第五八五號解釋參照)。其中就個人自主控制個人 資料之資訊隱私權而言,乃保障人民決定是否揭露其個人資料、及在何種範圍內、於何時 、以何種方式、向何人揭露之決定權,並保障人民對其個人資料之使用有知悉與控制權及 資料記載錯誤之更正權。惟憲法對資訊隱私權之保障並非絕對,國家得於符合憲法第二十 三條規定意旨之範圍內,以法律明確規定對之予以適當之限制。
29
三、我國個資法之發展 5. 司法院大法官民國100年7月29日釋字第689 號解釋:
聲請人為蘋果日報記者,因跟追某知名人士經勸阻無效,警方依社會秩序維護法第89條第2款裁罰。聲請人不服而聲明異議,經法院裁定無理由駁回。聲請人因而提起法律違憲之釋憲。 解釋文:「社會秩序維護法第八十九條第二款規定,旨在保護個人之行動自由、免於身心傷害之身體權、及於公共場域中得合理期待不受侵擾之自由與個人資料自主權,而處罰無正當理由,且經勸阻後仍繼續跟追之行為,與法律明確性原則尚無牴觸。新聞採訪者於有事實足認特定事件屬大眾所關切並具一定公益性之事務,而具有新聞價值,如須以跟追方式進行採訪,其跟追倘依社會通念認非不能容忍者,即具正當理由,而不在首開規定處罰之列。於此範圍內,首開規定縱有限制新聞採訪行為,其限制並未過當而符合比例原則,與憲法第十一條保障新聞採訪自由及第十五條保障人民工作權之意旨尚無牴觸。又系爭規定以警察機關為裁罰機關,亦難謂與正當法律程序原則有違。 」 本號解釋令涉及新聞自由與隱私。其中「於公共場域中得合理期待不受侵擾之自由與個人資料自主權」,揭櫫「privacy in public」或 「 public privacy 」之旨趣。
30
三、我國個資法之發展 隱私權保護之其他法律相關規定,分散於為數眾多甚且領域各異的 個別法典中,兼跨民法、刑法、行政法、訴訟法等不同面向。
(一) 民法 88年4月2日通過、89年5月實施的債編修正前,並未明確以隱私作為保護客體。如參酌前開司法實務見解,將隱私等同祕密,認其屬人格權之一種,則被害人僅得依民法第18條第1項規定,「人格權受侵害時,得請求法院除去其侵害;有受侵害之虞時,得請求防止之」,主張侵害除去及侵害防止請求權,不問加害人有無故意過失。而就即慰撫金部分,受限於民法第18條第2項規定,「前項情形,以法律有特別規定者為限,得請求損害賠償或慰撫金」,似乏依據;惟實務曾有見解援引民法第184條第1項後段,認為隱私受侵害者精神上蒙受痛苦,得依該條項請求賠償非財產上損害。修正後,於第195條第1項明文納入隱私,為慰撫金提供明確的請求權基礎。
31
三、我國個資法之發展 (二) 刑法 刑法第28章妨害祕密之規定,處罰各種妨害祕密之行為,保護通信祕密、因業務或職務知悉或持有他人祕密、工商祕密,並藉此維護憲法第12條保障之祕密通訊自由。86年之修正,除修正第315條,擴張其可罰性之範圍而成為妨害文件祕密罪外,並增訂第318條之1洩漏電腦祕密罪、第318條之2利用電腦或其相關設備而犯洩密罪之加重刑罰事由;88年之修正復增訂第315條之1窺視竊聽竊錄罪、第315條之2第1項便利窺視竊聽竊錄罪、第315條之2第2項製造散布販賣竊錄內容罪、第315條之3沒收竊錄內容之附著物及物品。 88年之修正將保護客體擴及個人「非公開之活動、言論或談話」,趨近歐美「隱私權」保護個人「私領域」的觀念,其刑度也大幅提高到三年或五年以下有期徒刑。
32
三、我國個資法之發展 (三) 個人資料保護法(下稱「個資法」)
為規範電腦處理個人資料,以避免人格權受侵害,並促進個人資料之合理使用,我國於84年8月11日公布施行電腦處理個人資料保護法(舊法;已廢止) ,除界定個人資料之意義以及資料本人所得行使之權利外,並就資料蒐集、資料處理與利用、相關責任及救濟等設有規定。 「個資法」之制定施行,可謂立法者業已意識到隱私之概念從傳統消極不受他人干擾,擴張及於積極掌握有關自身資訊;其將公務機關與非公務機關之個人資料處理冶於一爐,並且同時規範民、刑事罰則以及行政程序。 法務部民國85年08月07日發布「電腦處理個人資料保護法之特定目的及個人資料之類別」
33
三、我國個資法之發展 (四) 特別法與個資法之交錯領域:如銀行法之守密義務 第45條之1第1項 第48條第2項 第129條
銀行應建立內部控制及稽核制度;其目的、原則、政策、作業程序、 內部稽核人員應具備之資格條件、委託會計師辦理內部控制查核之 範圍及其他應遵行事項之辦法,由主管機關定之。 第48條第2項 銀行對於客戶之存款、放款或匯款等有關資料, 除有下列情形之一者外,應保守秘密:一、… 第129條 有下列情事之一者,處新臺幣二百萬元以上一千萬元以下罰鍰: 七、未依第四十五條之一或未依第一百二十三條準用第四十五條之一規定建立內部控制與稽核制度、內部處理制度與程序、內部作業制度與程序或未確實執行。 十一、違反第四十八條規定。
34
三、我國個資法之發展 (五) 結論:個資法涵蓋四個層次與內涵 隱私 秘密 資訊 安全
基本上,新法是一個「框架立法」,而有待研析、整理、規劃與推行: 各部會或縣市政府 重要資料庫之擁有單位
35
四、個資法新法解析 本法計6章,共有56條條文,架構上分為: 第一章 總則 第二章 公務機關對個人資料之蒐集、處理及利用
第三章 非公務機關對個人資料之蒐集、處理及利用 第四章 損害賠償及團體訴訟 第五章 罰則 第六章 附則
36
四、個資法新法解析 本法在宏觀上的四階結構: 個資母法:立法院審酌國際發展與國內實況修訂政策。
施行細則:法務部訂明行為義務中之法制與組織規範。 管理辦法:各部會訂明行為義務中之管理與技術實務。 法院判決:依個案決定是否違反義務、追究責任。
37
四、個資法新法解析 本法重要基本原則: 必要性原則(限制蒐集) 目的拘束原則(利用比例) 透明化原則(當事人參與) 去人格化原則(消極避險)
資料品質原則(個資正確) 合理利用原則(資訊效率)
38
四、個資法新法解析 本法重要基本原則:公務機關 法定職務/目的拘束原則 權責法定/利用比例原則 個資請求/個人參與原則
資安專業/限制聯結原則 資料品質/資訊效率原則
39
四、個資法新法解析 本法三個重點: 「個人資料自主決定權」 「安全維護義務」 「合理利用」 本法互動溝通、求取共識的推動本質
-- 法律之個人參與及權利保障 「安全維護義務」 -- 資安之技術應用及產業發展 「合理利用」 -- 資訊揭露/公開、資訊加值與先端應用 本法互動溝通、求取共識的推動本質
40
四、個資法新法解析 本法代表「資訊化」之時代主軸!! 本法深遠之影響:三元並進、動態平衡 法律人、資訊人與管理人之合作與整合 HPCC:
High Performance Computing and Communications 消極面:提升安全管控效能(資安及資管) 積極面:發達自動化處理之精神(人工智慧)。 本法深遠之影響:三元並進、動態平衡 法律人、資訊人與管理人之合作與整合
41
四、個資法新法解析 資訊自主權之意義-- 誰針對我, 知道什麼, 何時知道, 因何事而知道…
42
四、個資法新法解析 隱私保護資料保護資源保護: 第一條 (本法採「二元並立」之立法模式) 為規範個人資料之蒐集、處理及利用,
第一條 (本法採「二元並立」之立法模式) 為規範個人資料之蒐集、處理及利用, 以避免人格權受侵害, 並促進個人資料之合理利用,特制定本法。 本法立法意旨: 回歸「資訊自主」 與「電腦處理」…
43
四、個資法新法解析 本法的基本法理問題:比例原則
比例原則是一種違法審查模型;當某項行為可能違反法律時,可以用比例原則來檢驗。比例原則的衍生子原則: 適當性原則:所採取者必須是有助於達成目的的措施,又稱「合目的性原則」。 必要性原則:如果有多種措施均可達成目的,應採取對侵害最小者,又稱「侵害最小原則」或「最小侵害原則」。 過度禁止原則:所採取的手段所造成的侵害和所欲達成之目的間應該有相當的平衡(兩者不能顯失均衡),亦即不能為了達成很小的目的而使蒙受過大的損失,又稱「衡量性原則」。 目的正當性原則:所欲達到的目的須正當。 參照憲法第23條:「以上各條(按:指言論自由、秘密通訊自由等)列舉之自由權利,除為防止妨礙他人自由,避免緊急危難,維持社會秩序,或增進公共利益所必要者外,不得以法律限制之。」
44
四、個資法新法解析 本法的基本法理問題:誠信原則
誠信原則規定於民法第148條。「所謂誠信原則,係指一切法律關係,應各就其具體的情形,依正義衡平之理念加以調整,而求其妥適正當。」 誠實信用原則的規範功能包括: (一)誠信原則適用於一切法律關係 (二)誠信原則的正義性、衡平性及倫理性 (三)誠信原則為概括條款 (四)訴訟法上問題 誠信原則之適用可分為下列四種類型: (一)具體性功能 (二)補充性功能(法創設機能) (三)限制性功能(權利濫用禁止原則) (四)修正性功能(情事變更原則)
45
四、個資法新法解析 本法法制定位:是獨立新法制 本法法制原理解釋 -- 1.本法為侵權行為法: 以私權保護為主旨(資訊自主權/隱私權) 。
為保護他人之法律(民法第184條2項)。 以蒐集、電腦處理與利用為重點。 侵權行為法之公共政策性質。 別於契約法制;醫事契約法。
46
四、個資法新法解析 本法法制原理解釋: 2.本法為行政法:以行為義務與預防管控為主旨。
3.本法為刑事特別法:以行為義務為主旨(危險犯之概念) 。
47
四、個資法新法解析 4. 特別法與個資法之交錯領域: 「特別法優於普通法」 --
「本法之性質應為普通法,其他特別法有關個人資料蒐集或利用之規定,不論較本法規定更為嚴格或寬鬆者,依特別法優於普通法之法理,自應優先適用各該特別規定。 …且本法修正草案亦有相關例外條款包含「法律明文規定」,足資適用,例如:第六條第一款、第十六條第一款、第十九條第一款或第二十條第一項第一款規定。」 (新法修法草案說明)
48
四、個資法新法解析 4. 特別法與個資法之交錯領域: 「民政/戶政特別法」 -- 最高行法院裁定 97年度裁字第00490號
本件上訴人之父OOO先生與OOO女士於民國(下同)70年1月15日結婚,復於80年6月6日申請結婚登記,上訴人於95年1月25日以該結婚登記之申請文件有明顯且重大瑕疵為由,函請台北市中山區戶政事務所撤銷前開結婚登記。經中山區戶政事務所審認本件結婚登記合於戶籍法第48條及內政部40年5月26日台內戶字第1642號代電之規定,遂以95年2月7日北市中戶一字第 號函駁回上訴人之申請。 上訴人主張其請求權之法律基礎為憲法第22條、政府資訊公開法第14條第1項及電腦處理個人資料保護法第13條第1項規定,請求被上訴人「銷毀登載有OOO先生與OOO小姐結婚之任何形式之任何檔案資料」。 …駁回其訴。
49
四、個資法新法解析 4. 特別法與個資法之交錯領域:「民/戶政特別法」
102年科技部(舊研考會) 「強化戶役政資訊系統與應用推廣計畫」對內政部戶政司之建議: 為期個人資料之跨機關查詢功能符合個人資料保護法規定並兼顧簡政便民之需求,建議內政部可評估採用"檢視戶籍法及電子簽章法等相關法規是否須研修"、"檢討內政部主管戶籍資料蒐集處理利用特定目的之定義與範圍"、"依主管權責以函釋方式訂定需求機關查詢他機關蒐集資料之程序"、"訂定符合個人資料保護法之跨機關查詢個人資料行政措施"等方法,擇定適法及便民之途徑並據以執行,以達簡化民眾授權與需求機關合法利用戶籍資料之目標。
50
四、個資法新法解析 4. 特別法與個資法之交錯領域: 「地政特別法」 -- 「地政電子閘門安全準則」 地政士倫理規範
第 12 條 地政士對於受託業務案件內容,除法令另有規定外,應切實嚴守秘密。 第 21 條 地政士不得有違法之廣告及違反公序良俗或有損地政士社會形象之行為。 地政士不得為獲取業務,不當蒐集、利用地籍或地價電子資料,侵擾權利關係人。 主管機關之人員依據「公務員廉政倫理規範」,亦不得透漏相關地籍或地價電子資料。
51
四、個資法新法解析 4. 特別法與個資法之交錯領域: 「地政特別法」 -- 依據「公務員廉政倫理規範」--
依據「公務員廉政倫理規範」-- 「公務員廉政倫理規範」所稱「與其職務有利害關係」意義為何? (一)與其職務有利害關係:指個人、法人、團體或其他單位與本機關/構或其所屬機關/構間,具有下列情形之一者(本規範第2點第2款): 業務往來、指揮監督或費用補(獎)助等關係 正在尋求、進行或已訂立承攬、買賣或其他契約關係 其他因本機關(構)業務之決定、執行或不執行,將遭受有利或不利之影響。 (二)舉例說明: 業務往來:特定行業或團體存在目的係居間、代理或協助自然人、法人等與政府機關有互動往來者。如…地政士(代書)與國有土地管理機關或地政機關…等。
52
五、新法在實務上之問題 本法迄今尚未具體成形, 其法規透明度有待提升… 本法為推動性質之普通法! 各機關應自訂規範實務操作之特別法!!
不確定法律概念、概括條款、除外條款眾多 民間提出許多異議;各種學說尚待主張與提出討論 法律面已近先進國家,但實務面存在巨大的形成空間 本法管理面及稽核面尚待眾多配套措施 本法為推動性質之普通法! 各機關應自訂規範實務操作之特別法!!
53
五、新法在實務上之問題 本法的規範行為:蒐集、電腦處理、利用 蒐集(Erheben) : 類型:直接蒐集(第8條)與間接蒐集(第9條)
目的拘束:特定目的與資料類別間之關聯 比例原則:我國特定目的與資料類別之法定格式 (行政規制) 最少蒐集原則!! 告知: 告知之行使:內容(第8條)與方式之自由 免為告知: (第8條之直接蒐集)與(第9條之間接蒐集) 同意: 同意之行使:書面(第7條)或電子方式 免為同意:公務機關(第15條)與非公務機關(第19條)
54
五、新法在實務上之問題 處理(Verarbeiten) : 指為建立或利用個人資料檔案所為資料之行為, 其包括以下五大項:
儲存(Speichern):儲存、複製 更改(Verändern):編輯、更正 傳輸(Übermitteln):輸入、內部傳送、連結、檢索、輸出 / (國際傳輸) 封存(Sperren):記錄(停止蒐集、處理、利用) 銷毀(Löschen):刪除 尚少討論…
55
五、新法在實務上之問題 利用(Nutzung):蒐集與處理以外之所有個資使用行為。 現階段高度關注之議題!! 第五條
個人資料之蒐集、處理或利用,應尊重當事人之權益, 依誠實及信用方法為之,不得逾越特定目的之必要範圍, 並應與蒐集之目的具有正當合理之關聯。 利益衡量原則!!
56
五、新法在實務上之問題 本法規範之客體:個人資料 母法第二條第ㄧ款:個人資料指
自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。 細則第三條: 本法第二條第一款所稱得以間接方式識別,指保有該資料之公務或非公務機關僅以該資料不能直接識別,須與其他資料對照、組合、連結等,始能識別該特定之個人。
57
五、新法在實務上之問題 本法規範之客體:個人資料檔案 母法第二條第二款:個人資料檔案指
依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。 細則第五條: 本法第二條第二款所定個人資料檔案,包括備份檔案。
58
五、新法在實務上之問題 第六條:特種個人資料指 有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料,
不得蒐集、處理或利用。但有下列情形之一者,不在此限: 一、法律明文規定。 二、… 三、… 四、… 前項第四款個人資料蒐集、處理或利用之範圍、程序及其他應 遵行事項之辦法,由中央目的事業主管機關會同法務部定之。 子法「個人資料保護法第六條第二項辦法」 (尚未定案) 本條暫未實施
59
五、新法在實務上之問題 本法規範之客體:特種個人資料 母法第二條/第六條 細則第四條:
母法第二條/第六條 細則第四條: 本法第二條第一款所稱病歷之個人資料,指醫療法第六十七條第二項所列之各款資料。 本法第二條第一款所稱醫療之個人資料,指病歷及其他由醫師或其他之醫事人員,以治療、矯正、預防人體疾病、傷害、殘缺為目的,或其他醫學上之正當理由,所為之診察及治療;或基於以上之診察結果,所為處方、用藥、施術或處置所產生之個人資料。 本法第二條第一款所稱基因之個人資料,指由人體一段去氧核醣核酸構成,為人體控制特定功能之遺傳單位訊息。 本法第二條第一款所稱性生活之個人資料,指性取向或性慣行之個人資料。 本法第二條第一款所稱健康檢查之個人資料,指非針對特定疾病進行診斷或治療之目的,而以醫療行為施以檢查所產生之資料。 本法第二條第一款所稱犯罪前科之個人資料,指經緩起訴、職權不起訴或法院判決有罪確定、執行之紀錄。
60
五、新法在實務上之問題 個資法母法三條文修正案送立法院審議中
第6條,有關醫療、基因、性生活、健康檢查及犯罪前科等特種個人資料,除4種情況例外,不得蒐集、處理或利用。修正案增列為增進公共利益所必要;取得當事人書面同意2種情形,也可例外蒐集、處理或利用敏感性個人資料,公務機關或學術研究機構蒐集、處理或利用,必須去識別化。否則處5萬元以上50萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰。 第41條之1項,規定非意圖營利可處2年以下有期徒刑、拘役或科或併科20萬元以下罰金,外界反映刑事責任過重,修正草案刪除此條文,讓非意圖營利除罪化,回歸民法侵權行為規範,處民事賠償即可。 第54條,規定本法修正施行前非由當事人提供的個人資料,應在個資法施行日起1年內完成告知當事人。修正案刪除1年內完成告知當事人期限,未來應在處理或利用個資前事先告知當事人。否則限期改正,屆期未改正者,按次處2萬元以上20萬元以下罰鍰。
61
五、新法在實務上之問題 個人資料形成中的特別概念: 特種個資:醫療、基因、性生活、健康檢查及犯罪前科(第6條)
重要個資:金融資料、種族背景、內在思想 社交個資:名片、住所 行銷個資:名單 細則第十三條 本法第六條第一項第三款、第九條第二項第二款、第十九條第一項第三款所稱當事人 自行公開之個人資料,指當事人自行對不特定人或特定多數人揭露其個人資料。 本法第六條第一項第三款、第九條第二項第二款、第十九條第一項第三款所稱已合法 公開之個人資料,指依法律或法律具體明確授權之法規命令所公示、公告或以其他 合法方式公開之個人資料。 細則第二十八條 本法第十九條第一項第七款所稱一般可得之來源,指透過大眾傳播、網際網路、新聞、 雜誌、政府公報及其他一般人可得知悉或接觸而取得個人資料之管道。
62
五、新法在實務上之問題 本法規範之正當程序:個資請求權 第3條 當事人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約限制之:
一、查詢或請求閱覽。 二、請求製給複製本。 三、請求補充或更正。 四、請求停止蒐集、處理或利用。 五、請求刪除。
63
五、新法在實務上之問題 本法規範之正當程序:委託 第4條 受公務機關或非公務機關委託蒐集、處理或利用個人資料者,
於本法適用範圍內,視同委託機關。 細則第8條 委託他人蒐集、處理或利用個人資料時,委託機關應對受託者為適當之監督。 前項監督至少應包含下列事項: 一、 預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。 二、 受託者就第十二條第二項採取之措施。 三、 有複委託者,其約定之受託者。 四、 受託者或其受僱人違反本法、其他個人資料保護法律或其法規命令時,應向委託機關通知之事項及採行之補救措施。 五、 委託機關如對受託者有保留指示者,其保留指示之事項。 六、 委託關係終止或解除時,個人資料載體之返還,及受託者履行委託契約以儲存方式而持有之個人資料之刪除。 第一項之監督,委託機關應定期確認受託者執行之狀況,並將確認結果記錄之。 受託者僅得於委託機關指示之範圍內,蒐集、處理或利用個人資料。受託者認委託 機關之指示有違反本法、其他個人資料保護法律或其法規命令者,應立即通知委託機關。
64
五、新法在實務上之問題 本法規範之正當程序:告知 母法第八條第一項 (直接蒐集之告知)
公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時,應明確告知當事人下列事項: 一、公務機關或非公務機關名稱。 二、蒐集之目的。 三、個人資料之類別。 四、個人資料利用之期間、地區、對象及方式。 五、當事人依第三條規定得行使之權利及方式。 六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。 新版「個人資料保護法之特定目的及個人資料之類別」 公務機關第十七條之公告? 非公務機關之免為公告 + 強化行政管理!
65
五、新法在實務上之問題 本法規範之正當程序:告知 母法第八條第二項 (直接蒐集之告知) 有下列情形之一者,得免為前項之告知:
一、依法律規定得免告知。 二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。 三、告知將妨害公務機關執行法定職務。 四、告知將妨害第三人之重大利益。 五、當事人明知應告知之內容。 第八條之免為告知事由?? 擴張解釋! 細則第十一條:本法第六條第一項第二款、第八條第二項第二款所稱法定義務,指非公務機關依法律或法律具體明確授權之法規命令所定之義務。
66
五、新法在實務上之問題 本法規範之正當程序:告知 母法第九條 (間接蒐集之告知)
公務機關或非公務機關依第十五條或第十九條規定蒐集非由當事人提供之個人資料,應於處理或利用前,向當事人告知個人資料來源及前條第一項第一款至第五款所列事項。 有下列情形之一者,得免為前項之告知: 一、有前條第二項所列各款情形之一。 二、當事人自行公開或其他已合法公開之個人資料。 三、不能向當事人或其法定代理人為告知。 四、基於公共利益為統計或學術研究之目的而有必要,且該資料須經提供者處理後或蒐集者依其揭露方式,無從識別特定當事人者為限。 五、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。 第一項之告知,得於首次對當事人為利用時併同為之。 第九條之免為告知事由?? 限縮解釋!
67
五、新法在實務上之問題 本法規範之正當程序:個資請求權及個資正確請求權 第10條
公務機關或非公務機關應依當事人之請求,就其蒐集之個人資料,答覆查詢、提供閱覽或製給複製本。但有下列情形之一者,不在此限: 一、妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益。 二、妨害公務機關執行法定職務。 三、妨害該蒐集機關或第三人之重大利益。 第11條 公務機關或非公務機關應維護個人資料之正確,並應主動或依當事人之請求更正或補充之。 個人資料正確性有爭議者,應主動或依當事人之請求停止處理或利用。但因執行職務或業務所必須並註明其爭議或經當事人書面同意者,不在此限。 個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者,不在此限。 違反本法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求,刪除、停止蒐集、處理或利用該個人資料。 因可歸責於公務機關或非公務機關之事由,未為更正或補充之個人資料,應於更正或補充後,通知曾提供利用之對象。
68
五、新法在實務上之問題 本法規範之正當程序:個資洩漏知悉權及限期准駁請求權 第12條
公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。 第13條 公務機關或非公務機關受理當事人依第十條規定之請求,應於十五日內,為准駁之決定;必要時,得予延長,延長之期間不得逾十五日,並應將其原因以書面通知請求人。 公務機關或非公務機關受理當事人依第十一條規定之請求,應於三十日內,為准駁之決定;必要時,得予延長,延長之期間不得逾三十日,並應將其原因以書面通知請求人。
69
五、新法在實務上之問題 本法規範之正當程序:目的明確性 第15條 公務機關對個人資料之蒐集或處理,除第六條第一項所規定
資料外,應有特定目的,並符合下列情形之一者: 一、執行法定職務必要範圍內。 二、經當事人書面同意。 三、對當事人權益無侵害。 對當事人權益無侵害之類型化。
70
五、新法在實務上之問題 本法規範之正當程序:目的明確性 第16條 公務機關對個人資料之利用,除第六條第一項所規定資料外,應於執行法
定職務必要範圍內為之,並與蒐集之特定目的相符。但有下列情形之一者 ,得為特定目的外之利用: 一、法律明文規定。 二、為維護國家安全或增進公共利益。 三、為免除當事人之生命、身體、自由或財產上之危險。 四、為防止他人權益之重大危害。 五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。 六、有利於當事人權益。 七、經當事人書面同意。
71
五、新法在實務上之問題 本法規範之正當程序:資訊透明 第17條
公務機關應將下列事項公開於電腦網站,或以其他適當方式供公眾查閱;其有變更者,亦同: 一、個人資料檔案名稱。 二、保有機關名稱及聯絡方式。 三、個人資料檔案保有之依據及特定目的。 四、個人資料之類別。 遠低於國際標準…
72
五、新法在實務上之問題 網站資訊: 公務機關必須公告內部保有及管理之個人資料項目彙整表 參照法務部個人資料保護業務公開作業範本說明
第18條 公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。 幾級單位? 編號 個人資料檔案名稱 保有依據 特定目的 個人資料類別 1 公務人員履歷資料 人事管理條例、行政院暨所屬各機關人事行政資訊化統一發展要點、行政院暨所屬各機關人事資料統一管理要點 00二人事行政管理 C00一識別個人者、C00三政府資料中之辨識者人描述、C0二一家庭情形
73
五、新法在實務上之問題 本法規範之正當程序:目的明確性 第 19 條 非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應
有特定目的,並符合下列情形之一者: 一、法律明文規定。 二、與當事人有契約或類似契約之關係。 三、當事人自行公開或其他已合法公開之個人資料。 四、學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過 提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。 五、經當事人書面同意。 六、與公共利益有關。 七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利 用,顯有更值得保護之重大利益者,不在此限。 蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之 處理或利用時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。
74
五、新法在實務上之問題 本法規範之正當程序:合理利用/比例原則 第20條 非公務機關對個人資料之利用,除第六條第一項所規定資料外,應於蒐集
之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用: 一、法律明文規定。 二、為增進公共利益。 三、為免除當事人之生命、身體、自由或財產上之危險。 四、為防止他人權益之重大危害。 五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。 六、經當事人書面同意。 非公務機關依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時 ,應即停止利用其個人資料行銷。 非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支 付所需費用。
75
五、新法在實務上之問題 本法規範之正當程序:告知與同意 告知:重要程序(蒐集、處理、目的內利用) 同意:非必要程序(目的外利用)
電子化:並無障礙;只是技術問題!! 第七條 (蒐集、處理、目的內利用 / 目的外利用) 第十五條第二款及第十九條第五款所稱書面同意,指當事人經蒐集者告知本法所定應告知事項後,所為允許之書面意思表示。 第十六條第七款、第二十條第一項第六款所稱書面同意,指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之書面意思表示。
76
五、新法在實務上之問題 本法規範之正當程序:個資請求權之給予 母法第三條
當事人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約限制之: 一、查詢或請求閱覽。 二、請求製給複製本。 三、請求補充或更正。 四、請求停止蒐集、處理或利用。 五、請求刪除。 母法第十條 公務機關或非公務機關應依當事人之請求,就其蒐集之個人資料,答覆查詢、提供閱覽 或製給複製本。但有下列情形之一者,不在此限: 一、妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益。 二、妨害公務機關執行法定職務。 三、妨害該蒐集機關或第三人之重大利益。
77
五、新法在實務上之問題 本法規範之個資資安模式:資安事件通知原則 母法第十一條
公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改 或其他侵害者,應查明後以適當方式通知當事人。 細則第二十二條 本法第十二條所稱適當方式通知,指即時以言詞、書面、電話、簡訊、電子 郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。 但需費過鉅者,得斟酌技術之可行性及當事人隱私之保護,以網際網路、 新聞媒體或其他適當公開方式為之。 依本法第十二條規定通知當事人,其內容應包括個人資料被侵害之事實 及已採取之因應措施。
78
五、新法在實務上之問題 本法規範之個資資安模式:組織資安之體制化 母法第十八條 公務機關保有個人資料檔案者,應指定專人辦理安全維護
事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。 細則第二十五條 本法第十八條所稱專人,指具有管理及維護個人資料檔案 之能力,且足以擔任機關之個人資料檔案安全維護經常性 工作之人員。 公務機關為使專人具有辦理安全維護事項之能力, 應辦理或使專人接受相關專業之教育訓練。
79
五、新法在實務上之問題 本法規範之個資資安模式:組織資安之體制化 母法第二十七條 非公務機關保有個人資料檔案者,應採行適當之安全措施,
防止個人資料被竊取、竄改、毀損、滅失或洩漏。 中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全 維護計畫或業務終止後個人資料處理方法。 前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業 主管機關定之。 各部會針對「非公務機關」之管理法規 (第27條第3項) 各部會針對所屬公務機關之管理辦法(逐步頒布中)
80
五、新法在實務上之問題 本法規範之個資保全建議:匿名化、別名化與加密化 細則第十七條
本法第九條第二項第四款、第十六條但書第五款、第十九條第一項第四款及第二十條第一項但書第五款所稱資料經過處理後或依其揭露方式無從識別特定當事人,指個人資料以代碼、匿名、隱藏部分資料或其他方式,無從辨識該特定個人。
81
五、新法在實務上之問題 The HIPAA Privacy Rule
PHI (Protected Health Information)的使用與揭露方法: (一) 以去除下列 18 種個人資訊達成去識別化(De-identification) 姓名 / 社會安全號碼 / 帳號 / 各種證照編號 地理資訊 / 各種日期資訊 電話號碼 / 傳真號碼 / 網路位址(URLs) / IP位址 / 電子郵件地址 病歷號碼 / 醫療計畫或健保號碼 / 車牌、車籍資料 / 設備編號或序號 生物辨識資料(如指紋、聲紋) / 臉部照片 其他可識別個人之編號或特徵 (二) 以統計方法證明已去識別化或去連結化
82
五、新法在實務上之問題 細則第十二條 本法第六條第一項第二款所稱適當安全維護措施、第十八條所稱安全維護事項、第二十七條第一項所稱適當之安全措施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施。 前項措施,得包括下列事項,並以與所欲達成之個人資料保護目的間,具有適當比例為原則: 一、配置管理之人員及相當資源。 二、界定個人資料之範圍。 三、個人資料之風險評估及管理機制。
83
五、新法在實務上之問題 四、事故之預防、通報及應變機制。 五、個人資料蒐集、處理及利用之內部管理程序。 六、資料安全管理及人員管理。
七、認知宣導及教育訓練。 八、設備安全管理。 九、資料安全稽核機制。 十、使用紀錄、軌跡資料及證據保存。 十一、個人資料安全維護之整體持續改善。
84
六、新法在資安法律究責上之問題 「安全維護原則」(security safeguards) 個資法相關規定: 第18條
公務機關保有個人資料檔案者,應指定專人辦理安全維護事項 ,防止個人資料被竊取、竄改、毀損、滅失或洩漏。 第27條 非公務機關保有個人資料檔案者,應採行適當之安全措施, 防止個人資料被竊取、竄改、毀損、滅失或洩漏。 中央目的事業主管機關得指定非公務機關訂定個人資料檔案 安全維護計畫或業務終止後個人資料處理方法。 前項計畫及處理方法之標準等相關事項之辦法,由中央目的 事業主管機關定之。
85
六、新法在資安法律究責上之問題 行政責任:資安問題之行政管制強度尚在發展中 個資法第22~26條 (行政檢查相關規定)
個資法第22條 第1項 中央目的事業主管機關或直轄市、縣(市)政府為執行 資料檔案安全維護、 業務終止資料處理方法、 國際傳輸限制或其他例行性業務檢查而認有必要或 有違反本法規定之虞時, 得派員攜帶執行職務證明文件,進入檢查,並得命 相關人員為必要之說明、配合措施或提供相關證明資料。
86
六、新法在資安法律究責上之問題 行政責任:資安問題之行政管制強度尚在發展中 個資法第22條 第2、3、4、5項
中央目的事業主管機關或直轄市、縣(市)政府為前項檢查時,對於得沒入或可為證據之個人資料或其檔案,得扣留或複製之。對於應扣留或複製之物,得要求其所有人、持有人或保管人提出或交付;無正當理由拒絕提出、交付或抗拒扣留或複製者,得採取對該非公務機關權益損害最少之方法強制為之。 中央目的事業主管機關或直轄市、縣(市)政府為第一項檢查時,得率同資訊、電信或法律等專業人員共同為之。 對於第一項及第二項之進入、檢查或處分,非公務機關及其相關人員不得規避、妨礙或拒絕。 參與檢查之人員,因檢查而知悉他人資料者,負保密義務。
87
六、新法在資安法律究責上之問題 行政責任:資安問題之行政管制強度尚在發展中 個資法第49條 (拒絕檢查)
非公務機關無正當理由違反第二十二條第四項規定者, 由中央目的事業主管機關或直轄市、縣(市)政府處 新臺幣二萬元以上二十萬元以下罰鍰。 個資法第50條 (負責人責任) 非公務機關之代表人、管理人或其他有代表權人, 因該非公務機關依前三條規定受罰鍰處罰時, 除能證明已盡防止義務者外,應並受同一額度罰鍰之處罰。
88
六、新法在資安法律究責上之問題 行政責任:資安問題之行政管制強度尚在發展中 個資法第47條 (非法蒐集、處理、利用及國際傳輸)
非公務機關有下列情事之一者,由中央目的事業主管機關 或直轄市、縣(市)政府處新臺幣五萬元以上 五十萬元以下罰鍰,並令限期改正, 屆期未改正者,按次處罰之: 一、違反第六條第一項規定。 二、違反第十九條規定。 三、違反第二十條第一項規定。 四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。
89
六、新法在資安法律究責上之問題 行政責任:資安問題之行政管制強度尚在發展中 個資法第48條 (未採行適當之安全措施 )
非公務機關有下列情事之一者,由中央目的事業主管機關 或直轄市、縣(市)政府限期改正,屆期未改正者, 按次處新臺幣二萬元以上二十萬元以下罰鍰: 一、違反第八條或第九條規定。 二、違反第十條、第十一條、第十二條或第十三條規定。 三、違反第二十條第二項或第三項規定。 四、違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
90
六、新法在資安法律究責上之問題 法律效果:民事責任--最受爭議… 個資法第28條
公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限。 … 個資法第29條 非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。 依前項規定請求賠償者,適用前條第二項至第六項規定。
91
六、新法在資安法律究責上之問題 法律效果:民事責任--最受爭議… 第28條 …
被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者, 並得請求為回復名譽之適當處分。 依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院 依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。 對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求 損害賠償者,其合計最高總額以新臺幣二億元為限。 但因該原因事實所涉利益超過新臺幣二億元者,以該所涉利益為限。 同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額, 不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。 第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾 或已起訴者,不在此限。
92
六、新法在資安法律究責上之問題 法律效果:資安問題在不在刑事責任中?… 個資法第41條
違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定,或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分,足生損害於他人者,處二年以下有期徒刑、拘役或科或併科新臺幣二十萬元以下罰金。 意圖營利犯前項之罪者,處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。 個資法第42條 意圖為自己或第三人不法之利益或損害他人之利益,而對於個人資料檔案為非法變更、刪除或以其他非法方法,致妨害個人資料檔案之正確而足生損害於他人者,處五年以下有期徒刑、拘役或科或併科新臺幣一百萬元以下罰金。 個資法第45條 本章之罪,須告訴乃論。但犯第四十一條第二項之罪者,或對公務機關犯第四十二條之罪者,不在此限。 個資法第46條 犯本章之罪,其他法律有較重處罰規定者,從其規定。
93
六、新法在資安法律究責上之問題 本法的結構性問題: 是預防,還是賠償?? 是行政管理制,還是法院判決制??
本法尚缺專責主管機關(如先進各國的commissioner) 各部會迄今多未頒布管理辦法…
94
六、新法在資安法律究責上之問題 資安法律究責的規範模式? 本法原則上以預防為宗旨, 法律處罰並非重點; 故民事賠償責任屢成爭議!
個資有價!! (從契約法到侵權行為法) 個資外洩是資安工作之失敗! (資訊專業倫理) 資安法律究責的規範模式? 資安管理的量化 。 資安事件的民事損害賠償化。 民事責任的企業營運成本化。
95
六、新法在資安法律究責上之問題 法院斟酌諸多因素,以決定資安事件之 民事賠償額(參照博客來案;詳下):
兩造之關係 原告之教育程度 原告之身分、社會地位、經濟狀況 原告所受精神損害之程度 原告遭受之實質侵害 被告之身分、地位 被告之過失情節 新法應著重資安技術過失情節之量化。
96
七、案例探討 -- 資安法律究責之問題 博客來案【裁判字號97年度訴字第1683號;97年11月18日】 原告:甲○○~卯○○ (計十八人)
原告:甲○○~卯○○ (計十八人) 被告:博客來數位科技股份有限公司 本案事實及判決理由: 一、原告主張其於民國96年11月4、5日購買台北金馬影展套票,依票上指示進入被告網站登錄會員並註冊套票,嗣被告以電子郵件回覆註冊成功訊息,因被告處理疏失,竟夾帶其餘477位註冊成功之會員資料含會員帳號、姓名、地址、電話、手機、電子信箱資料,外流到其他數百人之信箱之中,無法追回,恐遭不法人士利用,造成後續難以估計之嚴重損害,並導致原告等人之隱私及生活安寧備受威脅。
97
七、案例探討 -- 資安法律究責之問題 博客來案
被告疏於對其網站進行詳細而徹底之程式、系統檢測以確保個人資訊安全之情形下,貿然要求本次所有4000名購票消費者均至其網站登記為會員並註冊所購買之套票,而後因其過失導致上開477位註冊成功之會員資料外流,有心人士極易透過管道取得個人資料,並利用統計方法進行比對、組合,形成完整的背景資料,使個人隱私遭受破壞,人身自由被干預,生命、財產安全受到威脅,人格權、隱私權及生活安寧、安全、財產等權益均遭受不測之侵害,被告應負擔損害賠償責任。 惟因財產損害視日後遭濫用情形而定,至今尚難估計,原告爰就非財產上之損害部分,依民法第184條第1、2項、第195條第1項、電腦處理個人資料保護法第28條適用第27條規定提起本訴,並聲明:被告應給付原告酉○○新臺幣(下同)9萬元、其餘原告各10萬元整,及自本狀繕本送達之日(即96年12月18日)起至清償日止,按年息百分之5計算之利息。並願供擔保,請准宣告假執行。
98
七、案例探討 -- 資安法律究責之問題 被告賠償總額為二十萬一仟元。
本案法律依據:民法第184條第1、2項、第195條第1項。至於原告主張之電腦處理個人資料保護法,因被告公司登記項目之「無店面零售業」,並非法務部公告指定應適用電腦處理個人資料保護法之百貨公司業範圍,因而不適用。 本案判決金額:法院斟酌兩造之關係、所受教育程度、身分、社會地位、經濟狀況及被告僅向購買金馬獎影展套票之同好揭露之原告個人隱私,並非向不特定第三人公開,過失情節非重、原告所受精神損害之程度尚微暨至今原告未有遭實質侵害等一切情狀,認許原告請求非財產上損害即精神慰撫金。 被告公司實收資本額逾億。原告十八人(其中一名為同案律師)年收入從二十萬元以下至超過百萬元不等。法院判賠8,000元、10,000元、15,000元、20,000元四種金額。 被告賠償總額為二十萬一仟元。
99
七、案例探討 -- 資安法律究責之問題 玉山銀行網路銀行遭駭案
2010年4月間,玉山銀行偵測發現,有木馬程式試圖在該行網路銀行系統進行活動,由於該行未能強化網路銀行資訊安全的內部控制作業,導致有特定IP位址成功登入該行網路銀行。 駭客透過木馬程式,進入玉山銀行的網路銀行系統,盜取了一萬六千零一筆存戶資料,另有數千筆個資「盜取未遂」。官員說,駭客主要竊取玉山網銀客戶的基本資料包括姓名、出生年月日、身分證字號(ID)等,與銀行往來的機密信用資料,應無外洩,相關客戶的帳戶一切正常,存款並未異常增加或減少。
100
七、案例探討 -- 資安法律究責之問題 民事賠償責任呢? 刑事責任呢? 玉山銀行網路銀行遭駭案
經金管會委員會決議,玉山銀行辦理網路銀行業務,未落實資訊安全管理導致客戶資料外洩,違反銀行法第45條之1第1項、第48條第2項規定,核處玉山銀行新台幣400萬元行政罰鍰。 -- 銀行法第129條:有下列情事之一者,處新臺幣二百萬元以上一千萬元以下罰鍰… 此外,金管會也要求銀行公會,就玉山銀行這次網路資訊安全防護缺失所衍生問題的可能態樣,審視並完成修訂「金融機構辦理電子銀行業務安全控管作業基準」。但玉山銀行的商譽損失卻可能遠大於四百萬元。 民事賠償責任呢? 刑事責任呢?
101
七、案例探討 -- 資安法律究責之問題 風險分擔:二億元為上限、或更高? 個人資料保護法
個人資料保護法 第29條 非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。 依前項規定請求賠償者,適用前條第二項至第六項規定。 第28條 公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限。 被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。 依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節, 以每人每一事件新臺幣五百元以上二萬元以下計算。 對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣二億元為限。 但因該原因事實所涉利益超過新臺幣二億元者,以該所涉利益為限。 同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。 第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者,不在此限。 理論上,本案民事賠償總額最低應為八百萬元,最高應為三億二千萬元、或更高。 風險分擔:二億元為上限、或更高?
102
七、案例探討 -- 資安法律究責之問題 案例一: 駭客入侵 刑事局破獲兩岸駭客聯手入侵政府機關網站,盜取個人資料販賣牟利,包括現任總統、卸任總統和國安情治首長的個人資料,只要花300元,全都一覽無遺。警方說,查獲的資料庫多達五千多萬筆。【聯合報97年08月27日報導】 案例二: 販賣 香港個人資料私隱專員公署26日就八達通公司洩漏客戶個人資料展開聆訊。八達通公司推翻以前的說法,首次承認不但轉讓「日日賞」會員的資料賣給6間公司,連個人八達通的資料也有轉讓給他人,8年以來出售近200萬人的資料,賺取4,400萬元港幣(約台幣1億8千多萬元)收入,其他公司利用該資料成功做生意,八達通更可以分享佣金。有議員指八達通公司已經違反私隱條例,並擔心市民資料可能會被轉移到境外。 【香港記者站 報導】
103
七、案例探討 -- 資安法律究責之問題 案例三:代查 警員受人請託洩漏個資遭判刑記過
甲係00警察局警員,於96年9月17日因受民眾乙電話請託, 藉其職務上得使用電腦檢索個人資料之機會,先以電腦檢索方式 探知乙債務人丙之個人資料,再於同年月19、20日左右, 逕往民眾乙住居所,將丙之個人資料面告乙,藉此而對當事人以外 之第三人洩漏關於中華民國國防以外應秘密之消息。案經法務部 調查局00調查處移送臺灣00地方法院檢察署檢察官聲請 臺灣00地方法院為簡易判決處刑,嗣經該院刑事簡易判決, 論處甲洩漏關於中華民國國防以外應秘密之消息罪, 處有期徒刑肆月,如易科罰金,以新臺幣壹仟元折算壹日,緩刑 參年,並於 99年2月22日確定。除觸犯刑法外,亦有違公務員服務法 第4條第1項保密要求,嗣經內政部送請公務員懲戒委員會 審議,該會於99年5月28日議決,將甲記過貳次。 【政風室政風案例】
104
七、案例探討 -- 資安法律究責之問題 案例四:販賣 二名國小校長涉嫌提供學生個人資料給補習班業者
彰化縣南郭國小校長顏士程、平和國小校長林火旺兩人,涉嫌將學生個人資料提供給補習班業者,被檢方依違反洩漏國防以外秘密罪提起公訴。彰化地方法院昨天審理終結,以所洩非國家機密,判決無罪;兩名被告雖在洩密部分獲判無罪,但是否涉及與補習班利益往來,檢方仍另案調查中。 判決書表示,兩名被告以校長職權,利用閱覽個資的機會,將學生及家長的姓名、服務單位、職稱、電話等資料燒錄成光碟,再交予補習班業者,其中顏士程所燒錄的光碟資料共有八○四人,林火旺所燒錄個資則有八十七人,兩人均被依違反刑法第一三二條第三項之「非公務員洩漏國防以外秘密罪」提起公訴。惟彰化地院發言人余仕明表示,公務員係受國家、地方自治團體所屬機關依法委託執行公權力者,該案兩名校長所犯係屬教育行政工作,不在刑法第十條所指「公務員」執行公權力的範圍,因此適用非公務員洩漏國家機密罪。另外,被告所犯刑法第一三二條第三項之洩密罪,該法所保護的法益為國家法益,所洩個資應指對國家政務或事務有利害關係,該案被告所洩漏並非國家秘密,難以用這條罪責相繩。 【自由時報2010/03/16報導】
105
七、案例探討 -- 資安法律究責之問題 我國刑法的相關修正: 92.6.3 之最新修正
第 三十六 章 妨害電腦使用罪 (第358~363條) 第358條 (入侵電腦或相關設備罪) 無故輸入他人帳號密碼、破解使用電腦之保護措施或利用 電腦系統之漏洞,而入侵他人之電腦或其相關設備者, 處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。 第359條 (無故取得、刪除或變更電磁紀錄罪) 無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄, 致生損害於公眾或他人者,處五年以下有期徒刑、拘役 或科或併科二十萬元以下罰金。
106
七、案例探討 -- 資安法律究責之問題 第360條 (干擾電腦或相關設備罪) 無故以電腦程式或其他電磁方式干擾他人電腦或其相關設
備,致生損害於公眾或他人者,處三年以下有期徒刑、 拘役或科或併科十萬元以下罰金。 第361條 (對公務機關電腦犯罪之加重處罰) 對於公務機關之電腦或其相關設備犯前三條之罪者,加重 其刑至二分之一。 第362條 (製作犯罪使用之電腦程式罪) 製作專供犯本章之罪之電腦程式,而供自己或他人犯本章 之罪,致生損害於公眾或他人者,處五年以下有期徒刑、 拘役或科或併科二十萬元以下罰金。
107
七、案例探討 -- 資安法律究責之問題 第363條 (告訴乃論) 第三百五十八條至第三百六十條之罪,須告訴乃論。
除刑法本身之規範外,其他法律中亦有相關之 刑事處罰規定。
108
七、案例探討 -- 資安法律究責之問題 引自:
109
八、實務建議與準備工作 貴單位初步個資保護工作之建議:公告+第3條 貴單位現階段宜: 實施個人資料保護法教育訓練 辦理個人資料檔案清查與分類
訂定初步之個人資料保護管理策略與規範 貴單位應告知/公告: 公務機關或非公務機關名稱。 蒐集之目的。 個人資料之類別。 個人資料利用之期間、地區、對象及方式。 當事人依第三條規定得行使之權利及方式。 當事人得自由選擇提供個人資料時,不提供將對其權益之影響。 (個資法第8條)
110
八、實務建議與準備工作 貴單位初步個資保護工作之建議:公告+第3條 提供個資請求權(第3條) 單位專人之配置與服務窗口之設立 申訴機制之建立
公告 -- 單位個資之清查、盤點、分類與獨立管理 個資盤點 法規盤點 目的/業務確認 類別/質量確認 訂定單位個資保護方案且明確文件化
111
八、實務建議與準備工作 貴單位初步個資保護工作之建議:公告+第3條 對新法理論之深度理解與其發展之有力掌握
建立個資為重要之公務/業務機密之觀念 答覆及輔導內部各單位相關問題之能力 加強與外部各單位間之諮詢、協調與合作 對稽核業務之熟悉(內稽與外稽/驗證)
112
八、實務建議與準備工作 個資保護制度之新建與導入:單位責任制 專法專人專案 + 長期體制化。 法規、資訊與業務部門共同規劃。
其餘人員依照個資保護之手冊操作實務。 必須整合之單位 : 法規單位:建立個資體制,並檢討相關法規命令 資訊單位:建構資訊安全的系統與環境,持續完善 業務單位:遵照個資安全規定使用系統與資料 _ 人事單位:協助個資保護推動組織與人力建置 _ 會計單位:協助籌編個資保護預算 _ 政風單位(稽核單位):依據規定考核執行實效
113
八、實務建議與準備工作 公務機關之資安/個資維護相關法規: 現階段「個資資安」之整備: 建議先整合ISMS與個資保護,
國家資通安全通報應變作業綱要 行政院98年2月5日資安發字第 號函頒 行政院及所屬各機關資訊安全管理規範 88/11/16行政院研考會(88)會訊字第05787號函頒 現階段「個資資安」之整備: 建議先整合ISMS與個資保護, 以待ISO新標準之形成。 _ 擴大現行ISMS驗證或實作範圍,以涵蓋組織內相關個資流程。 _ 在既有基礎上,補強個資項目在其他生命週期中的安全需求。
114
八、實務建議與準備工作 非公務機關之資安/個資維護相關措施: 現階段「個資資安」之整備:業界水準
個資法第27條 + 施行細則第12條:參照部定標準… 非公務機關保有個人資料檔案者,應採行適當之安全措施, 防止個人資料被竊取、竄改、毀損、滅失或洩漏。 中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全 維護計畫或業務終止後個人資料處理方法。 前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業 主管機關定之。 現階段「個資資安」之整備:業界水準 先整合資安與個資保護,以待部會或公會新標準之形成。 自行研擬整合性策略,或尋求專業服務。
115
八、實務建議與準備工作
116
吳啟文,個人資料保護法之衝擊與因應,101/4/19
117
八、實務建議與準備工作 以驗證取得制度:該導入哪一套個資保護制度? 目前與個資法相關的標準有: 1) ISO 27001…。
2) BS (2009) 。 3) TSP。 4) JIS-Q-15001:2006。 5) NIST Special Publication 。 6) TPIPAS (Taiwan Personal Information Protection and Administration System)。 驗證制度滿天飛?…
118
結語:個資保護已是國際潮流 !! 人民隱私的敏感性。 個人資料的重要性。 法律人的人文堅持與規劃能力。 資訊人的技術理性與實踐能力。
各機關法規遵循的示範能力。 整體資訊安全策略的掌握能力。
119
資料保護與資訊公開 119
120
前言 矯枉過正?避免觸犯個資法 被告姓名隱匿 【2012/10/15 18:29 潘千詩報導 】
為了保護個人資料,現在政府施行個資法,結果執法機關卻將一些攸關社會刑案的起訴書、判決書等相關犯罪人或被害人的資料隱瞞起來,影響民眾知的權益。法務部表示, 目前只要求各檢察署依照個資法規定以及立法精神,適當隱匿個資,如果出現比較大的歧異,會考慮召集各檢察署開會訂出統一標準。 個資法今年10月1號正式上路,法務部為了避免司法機關帶頭觸法,8號特別召集全台各地的檢察署開會,決議將起訴書上的個人資料適當隱匿。而現在地檢署所公佈的起訴資料,犯罪被告的姓名、年紀、住址,甚至是犯罪地點全部隱匿,看不見相關資料,引發外界質疑,是否過度保護犯罪者不被公開? 政務次長陳守煌表示(t),基本上法務部希望能在民眾知的權力以及避免司法機關觸法之間取得平衡,盡量不要讓檢察機關矯枉過正,因此在施行一段時間之後再做檢討。
121
矯枉過正?避免觸犯個資法 被告姓名隱匿【續】
前言 矯枉過正?避免觸犯個資法 被告姓名隱匿【續】
122
【2012/11/15 自由時報記者黃忠榮、劉榮/台北報導 】
前言 個資法成擋箭牌?議員調資料 滿紙○○○ 【2012/11/15 自由時報記者黃忠榮、劉榮/台北報導 】 台北市政府明年度總預算可望在本月交付市議會審查,正當議員紛紛調閱市府各局處資料,以便加強監督市府預算之際,市府動輒以機密為由,拒絕提供資料,或以個資法為由,回覆議員滿紙的○○○,引發藍綠議員抨擊市府規避監督,揚言將刪除預算。 民進黨議員林世宗多次檢舉環保局車輛涉及油料貪瀆,如環保局九十八至一百年度用油經費,中油卡月報表、車輛用油月報表及每日車輛行駛紀錄表完全不符合,核銷管控充滿違法嫌疑,政風處最後以查無環保局人員貪瀆情事,將相關「行政疏失」人員簽請市長議處結案。而林世宗要調閱懲處名單及內容時,環保局回覆的懲處名單包括區隊長、隊長、辦事員、領班、駕駛、隊員竟都是○○○,像單位就寫「○○區隊」、「○○○隊」;人名部分就寫「○○○」代替,其他人員有「梁○○」、「魯○○」、「黃○○」等。環保局解釋,因涉案人員「單位」、「姓名」都足以識別該個人資料,受「個人資料保護法」之規範無法提供。
123
前言 市府:將尋求保護與監督平衡 市府發言人張其強表示,法務局會持續聽取議員們的意見,在個人資料保護法與議員問政監督需求間取得平衡,同時也會尋求法務部對個資法的見解及解釋。
124
越南夫面談不過 歸化女泣訴:調面談光碟被拒
前言 越南夫面談不過 歸化女泣訴:調面談光碟被拒 【蘋果日報2012年11月30日 】 黃小姐再婚的越南夫婿來台,無法通過面談,向外交部申請調閱面談光碟,也被以「違反個資法」拒絕,黃小姐泣訴,面談一直沒通過,她獨自在台灣租屋、工作,生小孩,申請光碟又被拒,她自己的面談為何不能給? 尤美女說,法務部解釋「因面談影音資料包含在場人員,若提供當事人查閱,應得在場人員的同意」。質疑政府,「曲解個資法」。台權會執委邱文聰也質疑,國家公務員執行公務,「有矇面權利」? …外交部領事事務局秘書陳雅玲則解釋,黃小姐可申請調閱書面資料;至於影音光碟部分,如當事人依行政救濟提起訴願,外交部會將相關影音及書面資料交行政院,由行政院判定。 外交部條約法律司專員黃仁良說,當事人調閱自己面談的影音,會涉及外交部官員資料,但這個個案經法務部函釋後,外交部法律幕僚單位,會從是否維護當事人權益角度,全面重新思考檢討。
125
前言 盡量公開與分離原則 法務部法律事務司科長李世德說,政府資訊公開法中,有所謂「分離原則」,不需要限制公開的部分,應分離提供。若擔心影像中政府官員曝光,而技術上可分離處理的話,應充分尊重當事人權益,滿足當事人權利,絕無因個資法,一律不得提供資料的事。 他指出,在黃小姐的個案上,外交部並非以《個資法》為由拒絕,而是以公務員的隱私為由,但法務部認為,即使有公務員隱私的考量,在技術許可下,對限制性資料可採分離提供的方式處理,例如剪接去除含公務員的畫面、模糊公務員臉部特徵等。 法務部法律事務司科長李世德解釋,《個資法》10月1日上路後確實發生許多公部門以「保護個資」為由拒絕提供資料的案例,然而法務部要強調,《個資法》並非要求公部門所有資料都不能提供,例如與當事人相關的資料就不應該拒絕。
126
前言 Open Data -- 小政府與大資料 Open Data這一股風潮,也開始吹到了台灣:
OpenData/TW 徐子涵 Open Data這一股風潮,也開始吹到了台灣: 台北市政府率先推出「臺北市公開資料平台」網站( ) 。 行政院研考會到2011年年底為止,Open Data 業務主要會放在「陸續訪談相關部會、辦理Open Data 創新競賽、規劃Open Data 系列報導,及蒐集相關訊息於MyeGOV 網站上」等。 OpenData/TW ( Big Data/Open Data /Personal Data/Freedom of Information
127
一、法律之競合 紛亂中的體系建構:我國【資訊法制】剛起步。 個資法為普通法。 本法與其他法律關係: 與政府資訊公開法之關係
與國家機密保護法之關係 與行政程序法之關係 與檔案法之關係
128
一、法律之競合 個人資料保護法 之立法目的與合理利用:【個資保護】 僅是人格權之一環,且屬新生私領域事項。 第16條
公務機關對個人資料之利用,除第六條第一項所規定資料外,應於執行法定職務必要範圍內 為之,並與蒐集之特定目的相符。但有下列情形之一者,得為特定目的外之利用: 一、法律明文規定。 二、為維護國家安全或增進公共利益。 三、為免除當事人之生命、身體、自由或財產上之危險。 四、為防止他人權益之重大危害。 五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。 六、有利於當事人權益。 七、經當事人書面同意。
129
一、法律之競合 政府資訊公開法之限制公開/提供:【知的權利】 政資法著重原則公開與盡量公開;政府資訊具有公務/公益屬性。
政府資訊公開法【2005年12月28日施行】第18條 政府資訊屬於下列各款情形之一者,應限制公開或不予提供之: 一、經依法核定為國家機密或其他法律、法規命令規定應秘密事項或限制、禁止公開者。 二、公開或提供有礙犯罪之偵查、追訴、執行或足以妨害刑事被告受公正之裁判或有危害他人生命、身體、自由、財產者。 三、政府機關作成意思決定前,內部單位之擬稿或其他準備作業。但對公益有必要者,得公開或提供之。 四、政府機關為實施監督、管理、檢(調)查、取締等業務,而取得或製作監督、管理、檢(調)查、取締對象之相關資料,其公開或提供將對實施目的造成困難或妨害者。 五、有關專門知識、技能或資格所為之考試、檢定或鑑定等有關資料,其公開或提供將影響其公正效率之執行者。
130
一、法律之競合 六、公開或提供有侵害個人隱私、職業上秘密或著作權人之公開發表權者。但對公益有必要或為保護人民生命、身體、健康有必要或經當事人同意者,不在此限。 七、個人、法人或團體營業上秘密或經營事業有關之資訊,其公開或提供有侵害該個人、法人或團體之權利、競爭地位或其他正當利益者。但對公益有必要或為保護人民生命、身體、健康有必要或經當事人同意者,不在此限。 八、為保存文化資產必須特別管理,而公開或提供有滅失或減損其價值之虞者。 九、公營事業機構經營之有關資料,其公開或提供將妨害其經營上之正當利益者。但對公益有必要者,得公開或提供之。 政府資訊含有前項各款限制公開或不予提供之事項者,應僅就其他部分公開或提供之。
131
一、法律之競合 行政程序法中卷宗閱覽請求權之限制︰【程序正義】 行政程序法立法宗旨在於程序保障;當事人具有參與權與被告知權。
行政程序法【2005年12月28日公布】第46條 當事人或利害關係人得向行政機關申請閱覽、抄寫、複印或攝影有關資料 或卷宗。但以主張或維護其法律上利益有必要者為限。 行政機關對前項之申請,除有下列情形之一者外,不得拒絕︰ 一、行政決定前之擬稿或其他準備作業文件。 二、涉及國防、軍事、外交及一般公務機密,依法規規定有保密之必要者。 三、涉及個人隱私、職業秘密、營業秘密,依法規規定有保密之必要者。 四、有侵害第三人權利之虞者。 五、有嚴重妨礙有關社會治安、公共安全或其他公共利益之職務正常進行之虞者。 前項第二款及第三款無保密必要之部分,仍應准許閱覽。 當事人就第一項資料或卷宗內容關於自身之記載有錯誤者,得檢具事實 證明,請求相關機關更正。
132
一、法律之競合 檔案法中之之管理法益與限制調閱:【檔案管理】 檔案法與政府資訊公開法具有異曲同工之分工功能;
檔案法多變之法制史:國史、人權、檔案、技術…。 檔案法第18條 檔案有下列情形之一者,各機關得拒絕前條之申請: 一 有關國家機密者。 二 有關犯罪資料者。 三 有關工商秘密者。 四 有關學識技能檢定及資格審查之資料者。 五 有關人事及薪資資料者。 六 依法令或契約有保密之義務者。 七 其他為維護公共利益或第三人之正當權益者。
133
一、法律之競合 國家機密保護法中之國家法益與核密限制:【國家法益】 國家機密保護法與政府資訊公開法具有抗衡性質與互補功能。
國家機密保護法【民國92年10月1日施行】 第2條 本法所稱國家機密,指為確保國家安全或利益而有保密之必要,對政府機關 持有或保管之資訊,經依本法核定機密等級者。 第4條 國家機密等級區分如下: 一、絕對機密 適用於洩漏後足以使國家安全或利益遭受非常重大損害之事項。 二、極機密 適用於洩漏後足以使國家安全或利益遭受重大損害之事項。 三、機密 適用於洩漏後足以使國家安全或利益遭受損害之事項。
134
一、法律之競合 國家機密保護(第14條)與政府資訊公開限制(第18條) 第14條 國家機密之知悉、持有或使用,除辦理該機密事項
業務者外,以經原核定機關或其上級機關有核定 權責人員以書面授權或核准者為限。 第21條 其他機關需使用國家機密者,應經原核定機關同意。
135
總統核定機密 違法首例 引水門案 司法應有審查權限
一、法律之競合 國家機密保護法案例 總統核定機密 違法首例 引水門案 司法應有審查權限 2007/10/06 (詳全文 國務機要費案,總統陳水扁將相關證據核定為國家機密,五日為台北地院裁定核定違法,成為國家機密保護法施行以來,首件為司法機關裁定核定違法的案例。 …裁定理由更舉美國「水門案」為例,遇總統職權行使是否違法爭議,且有礙訴訟進行之虞時,司法應有審查的權限,才能維繫權力分立與制衡的憲政體制。合議庭在裁定書中指出,大法官釋字第六二七號解釋文,固然賦予總統國家機密特權,但解釋理由書也明示:「惟源自於行政權固有權能的『國家機密特權』,乃行政權之一部,該行政特權並非憲法上的絕對權力,不僅應依法行使,亦應受立法機關所制定的國家機密保護法等規定限制,非可恣意任為,更須受司法機關之審查。」裁定理由書說,民主法治國家,政府資訊應依法公開,國家機密的核定,是限制資訊的公開,有侵害人民知的權利之虞,自須謹慎將事,並受憲法第廿三條節制,核定範圍應受法律規範。…綜合以觀,陳水扁的核定行為…逾越國家機密保護法明定的「必要之最小範圍」,其核定行為不具適法性,屬具有違法瑕疵的行政處分無疑。
136
一、法律之競合 個資法與行政程序法之競合:個資保護與行政互助 行政程序法第19條
行政機關為發揮共同一體之行政機能,應於其權限範圍內互相協助。 行政機關執行職務時,有下列情形之一者,得向無隸屬關係之其他機關請求協助︰ 一、因法律上之原因,不能獨自執行職務者。 二、因人員、設備不足等事實上之原因,不能獨自執行職務者。 三、執行職務所必要認定之事實,不能獨自調查者。 四、執行職務所必要之文書或其他資料,為被請求機關所持有者。 五、由被請求機關協助執行,顯較經濟者。 六、其他職務上有正當理由須請求協助者。 前項請求,除緊急情形外,應以書面為之。
137
一、法律之競合 個資法與行政程序法之競合:個資保護與行政互助 被請求機關於有下列情形之一者,應拒絕之︰
一、協助之行為,非其權限範圍或依法不得為之者。 二、如提供協助,將嚴重妨害其自身職務之執行者。 被請求機關認有正當理由不能協助者,得拒絕之。 被請求機關認為無提供行政協助之義務或有拒絕之事由時,應將其理由通知請求協助機關。請求協助機關對此有異議時,由其共同上級機關決定之,無共同上級機關時,由被請求機關之上級機關決定之。 被請求機關得向請求協助機關要求負擔行政協助所需費用。其負擔金額及支付方式,由請求協助機關及被請求機關以協議定之;協議不成時,由其共同上級機關定之。
138
二、政資法與個資法之競合 最新議題:本法與個資法之競合 政資法優越原則 【政資法優越原則 】之內涵: 政資法著重公開!!
但本人以外之第三人,向政府機關申請提供經電腦處理之 個人資料時,因該個人資料亦屬政府資訊之一部分, 故除須符合個資法有關利用之規定外,尚須 依政府資訊公開法規定判斷有無限制公開或提供之情事; 如有限制公開或提供之情事, 縱符合個資法有關得利用之規定,仍不得公開或提供之。 (參照法務部94年11月1日法律字第 號函) 【政資法優越原則 】之內涵: 政資法著重公開!! 個資法著重(技術上之)風險評估與管理。
139
二、政資法與個資法之競合 【政府資訊公開法】第18條I(6) (限制公開) 第三人請求:著重公開、個案衡量(德國)
最新議題:本法與個資法之競合 【政府資訊公開法】第18條I(6) (限制公開) 六、公開或提供有侵害個人隱私、職業上秘密或著作權人之公開發表權者。但對公益有必要或為保護人民生命、身體、健康有必要或經當事人同意者,不在此限。 第三人請求:著重公開、個案衡量(德國)
140
一、法律之競合 個資法第16條 (【個資保護】僅是人格權之一環,且屬新生私領域事項。)
公務機關對個人資料之利用,除第六條第一項所規定資料外,應於執行法定職務必要範圍內 為之,並與蒐集之特定目的相符。但有下列情形之一者,得為特定目的外之利用: 一、法律明文規定。 二、為維護國家安全或增進公共利益。 三、為免除當事人之生命、身體、自由或財產上之危險。 四、為防止他人權益之重大危害。 五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要, 且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。 六、有利於當事人權益。 七、經當事人書面同意。 政資法第18條 (【知的權利】為重大憲法上權利;且政府資訊有其公共屬性。) 政府資訊屬於下列各款情形之一者,應限制公開或不予提供之: …六、公開或提供有侵害個人隱私、職業上秘密或著作權人之公開發表權者。 但對公益有必要或為保護人民生命、身體、健康有必要或經當事人同意者,不在此限。 …政府資訊含有前項各款限制公開或不予提供之事項者,應僅就其他部分公開或提供之。
141
一、法律之競合 【知的權利】與【個資保護】孰輕孰重? 政府資訊公開(第18條)與個資之目的外利用(第16條) :
本人(資料主體)就其個人資料依個資法之規定 行使權利時,自應優先適用該法之規定處理。 但本人以外之第三人,向政府機關申請提供經電腦處理之 個人資料時,因該個人資料亦屬政府資訊之一部分, 故除須符合個資法有關利用之規定外,尚須 依政府資訊公開法規定判斷有無限制公開或提供之情事; 如有限制公開或提供之情事, 縱符合個資法有關得利用之規定,仍不得公開或提供之。 (參照法務部94年11月1日法律字第 號函) 【知的權利】與【個資保護】孰輕孰重?
142
二、政資法與個資法之競合 【政資法優越原則 】: 依據政資法之法理與政策判斷,考量公開之必要性。 但同時須做個資法上之風險評估。
【技術與組織之解決方案】 電腦輪廓描繪(computer profiling)的個資風險能否予以克服,攸關我國能否運用電腦比對(computer matching)的強大功能,以發展資料分析、巨型研究與資料加值。 以政資法強化公務機關公開權責;並降低其個資疑慮。 個資法上,依「法律保留原則」及「法律明確原則」,逐步釐清「公共利益」,以利目的外利用之正當性 。 強化個資保護法制之(技術)專業性,降低個資在電腦比對與資訊公開中產生的隱私風險,以提高合法性。
143
跨機構/跨資料庫個人資料傳輸之作業注意事項
二、政資法與個資法之競合 跨機構/跨資料庫個人資料傳輸之作業注意事項 -- 政資公開之【技術與組織之解決方案】 跨機構/跨資料庫個資傳輸涉及【電腦比對】(Computer Matching )之可能性,其隱私風險大幅升高,故須謹慎從事。美國隱私權法案(Privacy Act of 1974)要求引入電腦比對程序之聯邦機構必須: 要求必須與參與電腦比之機構談判出書面協議; 獲得資料嚴正局針對比對協議之許可; 提供比對計畫給國會與聯邦管理與預算局; 通知申請人與受益人其記錄遭受比對;以及 在減少、延遲、結束或駁回個人之利益或繳款之前,確認比對發現之正確性。 另外,亦要求進行【電腦比對計畫】,以落實相關之法律要求。
144
跨機構/跨資料庫個人資料傳輸之作業注意事項
二、政資法與個資法之競合 跨機構/跨資料庫個人資料傳輸之作業注意事項 內政部戶政司頒布有「農民健康保險被保險人戶籍異動清查業務使用戶役政資料作業管理規定」(中華民國99年1月15日內政部台內社字第 號函)。 第三點揭明規範主旨「本業務需要資料為農保被保險人戶籍異動比對資料(以下簡稱比對資料),本司取得比對資料,專供本業務使用。」。 第四點則詳細規定了作業要項: 四、 比對資料使用管理及稽核,依下列規定辦理: (一)比對資料不得任意複製。 (二)比對資料禁止提供非業務相關人員閱覽或使用。 (三)比對資料不得透過傳真或網路方式交付。 (四)書面比對資料使用後,應以碎紙機銷毀。 (五)業務相關人員就比對資料負有保密之責。 可惜,我國類似法規與行動還是太少;其技術含量與組織強度還是太弱。
145
跨機構/跨資料庫個資大批量傳輸或公開之作業注意事項
二、政資法與個資法之競合 跨機構/跨資料庫個資大批量傳輸或公開之作業注意事項 (一) 公文要式原則 (二) 最低提供原則 (三) 充足授權原則 (四) 本人知悉原則 (五) 目的明確原則 (六) 資料正確原則 (七) 安全管控原則 (八) 責任要求原則 (九) 崇尚專業原則 (十) 組織當責原則
146
跨機構/跨資料庫個資單筆傳輸之作業注意事項
二、政資法與個資法之競合 跨機構/跨資料庫個資單筆傳輸之作業注意事項 【公文往來中之個資保護】 基本上,應有法律明文依據;之後回歸原法律架構(如作業規範、保密義務與公務倫理);如有侵害當事人法益,宜循普通法律途徑(如國家賠償法或民刑法)請求救濟。 但仍應注意前述各個人資料保護原則。
147
三、最新發展 大法官民國100年7月29日釋字第689 號解釋:
本號解釋令涉及新聞自由與隱私。其中「於公共場域中得合理期待不受侵擾之自由與個人資料自主權」,揭櫫「privacy in public」或「 public privacy」之旨趣。 政府資訊公開之現今重點政策為「Open Government Data」 (簡稱「Open Data」) 。則公開之政府資訊如涉及個人所謂之「Public Record」,參照國外發展經驗,須特別注意其中之個資保護。
148
三、最新發展 當前重大議題: 「Open Data」與「Privacy」都是重點政策!! 政府資訊積極公開中如何同時保護個資?
公務機關的資訊公開義務? 公務機關關於個人資訊的行政協助義務?
149
隱私觀念、安全文化與優質服務 149
150
未來展望--「台灣為智慧之島」 wellnet.com reportingonhealth.org
151
未來展望--「台灣為深思之島」 每個人都需要有一條不被打攪的散步道… 知識與理性的台灣…
152
未來展望--「台灣為禮儀之島」 非禮勿聽,非禮勿視,非禮勿言 !!
153
未來展望--「台灣為安全之島」 安全的高價值與高競爭力。 資安事件的頻繁發生,將導致國家在世界商業及金融產業 (高等服務業)中的地位重挫。
2010/12/09 金管會表示,由於玉山銀行辦理網路銀行業務, 未落實資訊安全管理導致客戶資料外洩, 違反銀行法第45條之1第1項、第48條第2項 規定,經金管會委員會議討論後, 決定核處玉山銀行新台幣400萬元罰鍰。 2007/11/22 英政府爆發史上最大個資外洩案: 英國政府21日承認,兩張共存有2,500萬民眾個人資料 的光碟確認遺失,可能有高達725萬個家庭受到影響。 在充滿不安的時代中, 安全的高價值與高競爭力。
154
未來展望--「台灣為安全之島」 資訊安全 -- 故應以資安之法律紀律,輔助我國之安全文化。 說起來………重要! 做起來………次要!!
忙起來………不要!!! 資安中最傷腦筋的,已經不是技術問題。 造成資訊安全事件的原因,僅約25%是技術方案的解決; 重要的是人性管理面上出現漏洞。 -- 賴溪松教授,資訊安全稽核。 故應以資安之法律紀律,輔助我國之安全文化。
155
結語: Der liebe Gott sieht alles, aber er petzt nicht. 上帝看見每一件事;但是,祂不說…
對於凡人,前提是「安全與隱私」 Vertrauen ist gut; Kontrolle ist besser. Trust is good; Control is better. 「信任固然好,管控不能少」
Similar presentations