Download presentation
Presentation is loading. Please wait.
1
個人資料保護法與統計資料運用 報告人︰法制局科長 白瑞龍
2
個 資 爭 議 案 例
3
警政署2014年年初發函高公局、遠通電收,要求提供國道上裝設etag車輛的通行資料,以利偵查犯罪者的車輛流動狀況,遭質疑嚴重違反個人資料保護法。
3
4
屏東愛鄉護土自救會反對縣府興建火葬場,發現成員的身分證字號、電話、地址被放在環保署網站上,供人點閱、下載,自救會於2013年1月1日按鈴控告縣長等人違反個人資料保護法,求償2百萬元。
4
5
愛滋感染者小健申請改判體位免役,區公所直接將印有「通報為HIV個案」字樣的通知書,在完全沒有密封的情況下,透過里幹事直接轉交給小健的母親,導致感染者身分曝光,台中地方法院於2013年4月判決區公所賠償精神慰撫金5萬元。 5
6
高等法院庭長喪偶欲尋求第二春,私下利用司法院資訊系統,調查相親對象的個人資料,遭移送司法院處分(2011/9/23)。
6
7
台北市立敦化國中訓導組長,將極機密的校內高度關懷學生名單當成廢紙回收利用,遭其他學生以手機拍下在校內流傳,名單中詳列14位學生之姓名、班級、座號、偏差行為、前科紀錄等,遭受行政處分,北市教育局長並前往訪視。(2013/3/20) 7
8
個人資料保護法在保護什麼? 8
9
保護對象 9
10
個人資料:指自然人之姓名、出生年月日、國民身 分證統一編號、護照號碼、特徵、指紋、婚姻、家 庭、教育、職業、病歷、醫療、基因、性生活、健
◆個人資料保護法第2條第1款 個人資料:指自然人之姓名、出生年月日、國民身 分證統一編號、護照號碼、特徵、指紋、婚姻、家 庭、教育、職業、病歷、醫療、基因、性生活、健 康檢查、犯罪前科、聯絡方式、財務情況、社會活 動及其他得以直接或間接方式識別該個人之資料。 (文字、數字、照片、影片、聲音……) ◆個人資料保護法第6條 特殊或特種個人資料:指自然人之病歷、醫療、基 因、性生活、健康檢查及犯罪前科。 (特殊或特種個人資料因具有較高之隱私性,故須有較高的 保護標準,爰另設獨立之特別規範) ◆擴大保護客體,任何個人資料均受保護,不以「經電腦處理者」為限。 10
11
◆個人,指現生存之自然人。(個人資料保護法施行
細則第2條)若非自然人資料,而係公司法人之持股明細,及無個資法之適用(法務部 法律字第 號函) ◆病例之個人資料,指醫療法第67條第2項所列之各款資料,也就是「醫師依醫師法執行業務所製作之病歷」、「各項檢查、檢驗報告資料」及「其他各類醫事人員執行業務所製作之紀錄」。(個人資料保護法施行細則第4條第1項) ◆醫療之個人資料,指病歷及其他由醫師或其他之醫事人員,以治療、矯正、預防人體疾病、傷害、殘缺為目的,或其他醫學上之正當理由,所為之診察及治療;或基於以上之診察結果,所為處方、用藥、施術或處置所產生之個人資料。(個人資料保護法施行細則第4條第2項) 11
12
◆得以直接方式識別該個人之資料者,如旅行證件號碼。(法務部101.2.2法律字第10102102580號函)
◆基因之個人資料,指由人體一段去氧核醣核酸構成,為人體控制特定功能之遺傳單位訊息。(個人資料保護法施行細則第4條第3項) ◆性生活之個人資料,指性取向或性慣行之個人資料。(個人資料保護法施行細則第4條第4項) ◆健康檢查之個人資料,指非針對特定疾病進行診斷或治療之目的,而以醫療行為施以檢查所產生之資料。 (個人資料保護法施行細則第4條第5項) ◆犯罪前科之個人資料,指經緩起訴、職權不起訴或法院判決有罪確定、執行之紀錄。 (個人資料保護法施行細則第4條第6項) 12
13
◆以間接方式識別,指保有該資料之公務或非公務 機關僅以該資料不能直接識別,須與其他資料對 照、組合、連結等,始能識別該特定之個人。(個
人資料保護法施行細則第3條) →概括條款,例示而非列舉。 →按個人資料者,乃涉及當事人之隱私權益,故本 法立法目的之一乃 在個人人格權中隱私權之保 護。準此,依本法第 16 條第 5 款或第 20 條第 1 項第 5 款規定,用於統計或學術研究之個人資 料,經提供者處理後或蒐集者依其揭露方式無從 再識別特定當事人,則該筆 經提供者處理後之資 料或蒐集者揭露之資料已非本法第 2 條第 1 款所 定「得以直接或間接方式識別該個人之資料」,即 無本法之適用。 (法務部101年7月30日法律字第 號 ) 13
14
◆舊法時代係以足資識別該個人之資料,來界定個人資料,所以「公務機關將蒐集他人電子郵遞住址資料提供他人查詢服務,如其並未與自然人之姓名等相結合,尚不足以識別該個人者,,則該資料即非上開規定所稱之個人資料,並無電腦處理個人資料保護法規定之適用」 (法務部94.5.6法律決字第 號函) 。新法只要與其他資料對照、組合、連結等而能識別該特定之個人,即屬得以間接方式識別該個人,而仍屬個資法適用之個人資料。 ◆同理,房屋外觀資料在舊法時代,亦非屬電腦處理個人資料保護法規定之個人資料(法務部94.5.6法律決字第 號函) 。新法因其與地址等其他資料對照、組合、連結,即能識別該特定之個人,而屬得以間接方式識別該個人之個人資料。 14
15
排除適用之個人資料 15
16
◆有下列情形之一者,不適用本法規定: 一、自然人為單純個人或家庭活動之目的, 而蒐集、處理或利用個人資料。
二、於公開場所或公開活動中所蒐集、處 理或利用之未與其他個人資料結合之 影音資料。 (個資法第51條第1項) 16
17
個人資料有保護必要嗎? 17
18
刑事局偵九隊破獲駭客入侵網路 銀行之客戶電腦盜領存款案,20 萬筆個人帳號密碼遭竊,被盜領 金額200餘萬元 – 2004/6
桃園一家私人診所停業後,將過 去病人的病歷,稱斤論兩賣給資 源回收廠商 /3/27 18
19
駭客利用交友網站,騙得當事人 生日等個資, 破解即時通密碼, 下載相簿私密清涼照片,進而恐 嚇當事人– 2007/3
東森休閒育樂公司離職經理,涉 嫌從公司帶出7萬多筆客戶資料, 並分別賣出 /1/24 19
20
不法利用個人資料的手法 20
21
竊取身分 ↓ 取得權限 電腦犯罪 21
22
取得信任 ↓ 進行詐騙 損失金錢 22
23
竊取個資 ↓ 招徠行銷 攫取客戶 23
24
管制何行為? 24
25
公務機關之資料處理對個人資料之蒐集、處理及利用 非公務機關之資料處理對個人資料之蒐集、處理及利用
個人資料保護法整體架構 第一章 總則 第二章 公務機關之資料處理對個人資料之蒐集、處理及利用 第三章 非公務機關之資料處理對個人資料之蒐集、處理及利用 第四章 損害賠償及團體訴訟 第五章 罰則 第六章 附則
26
公務機關:指依法行使公權力之中央 或地方機關或行政法人。 (個資法第2條第7款) 非公務機關:指前款以外之自然人、 法人或其他團體。 (個資法第2條第8款)
26
27
為規範個人資料之蒐集、處理及利用,…,特制定本法。(個人資料保護法第1條)
27
28
◆個人資料之蒐集:指以任何方式取得個人資料。(個人資料保護法第2條第3款)
◆個人資料之處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送 (個人資料保護法第2條第4款) 。而個人資料檔案依個人資料保護法第2條第2款所定,係指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。 ◆個人資料之利用:指將蒐集之個人資料為處理以外之使用。 (個人資料保護法第2條第5款) 28
29
行為如何管制? 29
30
個人資料之蒐集與處理 30
31
◆公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:
一、執行法定職務必要範圍內。 二、經當事人同意。 三、對當事人權益無侵害。(個資法第15條) 31
32
◆非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:
一、法律明文規定。 二、與當事人有契約或類似契約之關係,且已採取適當之 安全措施。 三、當事人自行公開或其他已合法公開之個人資料。 四、學術研究機構基於公共利益為統計或學術研究而有必 要,且資料經過提供者處理後或經蒐集者依其揭露方 式無從識別特定之當事人。 五、經當事人同意。 六、為增進公共利益所必要。 七、個人資料取自於一般可得之來源。但當事人對該資料 之禁止處理或利用,顯有更值得保護之重大利益者, 不在此限。 八、對當事人權益無侵害。(個資法第19條第1項) 32
33
個人資料之蒐集、處理或利用‥‥不得逾 越特定目的之必要範圍,並應與蒐集之目 的具有正當合理之關聯(個資法第5條) 。
共通必備要件:特定目的 個人資料之蒐集、處理或利用‥‥不得逾 越特定目的之必要範圍,並應與蒐集之目 的具有正當合理之關聯(個資法第5條) 。 蒐集、處理或利用個人資料應有特定目的 ,而在該目的必要範圍內。如與該目的不 具正當合理之關聯,即為法所不許。 特定目的指法所容許蒐集個人資料之目的 。依個資法第53條,法務部應會同中央目 的事業主管機關訂定特定目的及個人資料 類別,提供公務機關及非公務機關參考使 用。 33
34
APEC隱私保護九大原則之第三原則 蒐集限制原則 蒐集個人資料應符合蒐集之目的,且不得 逾越必要之範圍,與目的無關之資料,不 得任意蒐集。 (OECD八大原則之目的明確 化原則:個人資料蒐集之目的必須明確; 其後資料之利用不得抵觸最初蒐集之目的 ;目的變更時亦應明確化。) 34
35
「當事人同意」既係當事人資訊自主權之 行使, 自得依其同意蒐集或處理個人資 料。
共通之擇一要件:同意 「當事人同意」既係當事人資訊自主權之 行使, 自得依其同意蒐集或處理個人資 料。 APEC隱私保護九大原則之第一原則 當事人自主原則 有關個人資料之蒐集或利用,當事人有權得選擇 「進入」(OPT-IN)或「退出」(OPT-OUT)模式 ,資料蒐集者或保有者應尊重當事人之選擇。 (OECD八大原則之蒐集限制原則:個人資料蒐集 應有限制,資料之蒐集需依合法及公正之手段 ;於適當之情形,應通知資料之主體及取得其 同意。) 35
36
共通之擇一要件:無侵害權益 對當事人權益無侵害,乃就個人資料之蒐 集或處理並未造成當事人權益之侵害,而 肯認之,惟如堅守個人資料應由本人自主 決定是否提供而言,即使對當事人權益無 侵害之結果,只要未經當事人同意仍屬侵 害當事人之自主決定權。故此處應理解其 係在「促進個人資料之合理利用(個資法 第1條後段)」。 36
37
有關個人資料之蒐集、處理與利用,不得 損害當事人之權益。
APEC隱私保護九大原則之第一原則 預防損害原則 有關個人資料之蒐集、處理與利用,不得 損害當事人之權益。 37
38
法律保留原則之放寬︰執行法定職務必要範圍內
個人資料之搜集既屬對人民權利之干涉,依法 律保留原則,必須要有法律明文規定,始得為 之,此處法律係指個別具體的行為作用法。 法定職務,固指法律所明定之職務,但此處法 律不限於個別具體的行為作用法,也包括組織 法在內,故其有別於第16條第1款所定「法律明 文規定」之指個別具體的行為作用法。 從人類社會歷史以觀,在國家或類似的統治團 體出現之以前,一切事務均由私人自行處理, 洎自國家出現以後,部分原由私人處理的之事 務即轉由公部門處理,而構成公行政領域,亦 即公部門之存立基礎乃在於其公益上所應執行 的行政任務,故肯認在執行行政任務必要範圍 38
39
內, 得為個人資料之收集與處理。 當我們在設機關的時候,就已經決定該機關要處 理何項行政事務,這個就是組織法上的事物管轄 ,行政機關即有權處理其所管轄的事項,但如果 採取的手段限制人民的自由權利,就必須另定作 用法作為依據(原則上,先有組織法,後有作用法 ),不得僅依組織法作為限制人民自由權利的法律 依據。 由於行政機關在執行法定職務必要範圍內,即得 收集與處理個人資料,其範圍甚為廣泛,已包含 執行法定職務而依行政程序法所為的各種行政行 為,故相較之下,即無如非公務機關般有規定第 19條第1項第2款至第4款及第6款第7款之必要。 39
40
四、法律或中央法規授權之委辦規則。 (個資法施行細 則第10條)
本法第六條第一項第二款、第八條第二項第二款及第三 款、第十條第二款、第十五條第一款、第十六條所稱法 定職務,指於下列法規中所定公務機關之職務: 一、法律、法律授權之命令。 二、自治條例。 三、法律或自治條例授權之自治規則。 四、法律或中央法規授權之委辦規則。 (個資法施行細 則第10條) 本法第六條第一項第二款、第八條第二項第二款所稱法 定義務,指非公務機關依法律或法律具體明確授權之法 規命令所定之義務。 (個資法施行細則第11條) 本法第六條第一項第一款、第八條第二項第一款、第十 六條第一項第一款、第十九條第一項第一款、第二十條 第一項第一款所稱法律,指法律或法律具體明確授權之 法規命令。。 (個資法施行細則第9條) 40
41
非公務機關蒐集個人資料之要件 41
42
與當事人有契約或類似契約之關係,且已採取適當之 安全措施
契約關係,包括本約,及非公務機關與當事人間為 履行該契約,所涉及必要第三人之接觸、磋商或聯繫 行為及給付或向其為給付之行為。 (個資法施行細則 第27條第1項) 類似契約之關係,指下列情形之一者: 一、非公務機關與當事人間於契約成立前,為準備 或商議訂立契約或為交易之目的,所進行之接 觸或磋商行為。 二、契約因無效、撤銷、解除、終止而消滅或履行 完成時,非公務機關與當事人為行使權利、履 行義務,或確保個人資料完整性之目的所為之 連繫行為。(個資法施行細則第27條第2項) 42
43
「已採取適當之安全措施」 ,因個資法第27條 第1項亦有相同之用語, 而依施行細則第12條 對該用語之定義, 乃公務機關或非公務機關為 防止個人資料被竊取、竄改、毀損、滅失或洩 漏,採取技術上及組織上之措施。包括與所欲 達成之個人資料保護目的間,具有適當比例之 下列事項:1配置管理之人員及相當資源。2界 定個人資料之範圍。3個人資料之風險評估及管 理機制。4事故之預防、通報及應變機制。5個 人資料蒐集、處理及利用之內部管理程序。6資 料安全管理及人員管理。7認知宣導及教育訓練 。8設備安全管理。9資料安全稽核機制。10使 用紀錄、軌跡資料及證據保存。11個人資料安 全維護之整體持續改善。 43
44
擁有個人資料檔案者,應採取必要之安全 維護措施,避免個人資料被偷竊、遺失、 毀損或外洩。
APEC隱私保護九大原則之第七原則 安全維護原則 擁有個人資料檔案者,應採取必要之安全 維護措施,避免個人資料被偷竊、遺失、 毀損或外洩。 (OECD八大原則之安全保護原則:為防止遺 失、不法接觸、破壞、利用、變更或開示 之危險,個人資料應採取合理之安全保護 措施。) 44
45
公務機關保有個人資料檔案者,應指定專人辦理安全維 護事項,防止個人資料被竊取、竄改、毀損、滅失或洩
漏。 (個資法第18條)(個資法施行細則第25條:專人, 指具有管理及維護個人資料檔案之能力,且足以擔任機 關之個人資料檔案安全維護經常性工作之人員;公務機 關為使專人具有辦理安全維護事項之能力,應辦理或使 專人接受相關專業之教育訓練。) 公務機關保有個人資料檔案者,應訂定個人資料安全維 護規定。(個資法施行細則第24條) Ⅰ非公務機關保有個人資料檔案者,應採行適當之安全 措施,防止個人資料被竊取、竄改、毀損、滅失或洩 漏。 Ⅱ中央目的事業主管機關得指定非公務機關訂定個人資 料檔案安全維護計畫或業務終止後個人資料處理方法 Ⅲ前項計畫及處理方法之標準等相關事項之辦法,由中 央目的事業主管機關定之。(個資法第27條) 45
46
當事人自行公開之個人資料,指當事人自行對 不特定人或特定多數人揭露其個人資料。 (個資 法施行細則第13條第1項)
所稱已合法公開之個人資料,指依法律或法律 具體明確授權之法規命令所公示、公告或以其 他合法方式公開之個人資料。(個資法施行細則 第13條第2項) 「當事人自行公開或其他已合法公開之個人資 料」,此款之規範意旨乃在於當事人既已自行 公開,應可推認當事人並無不公開該個人資料 之意思, 惟倘屬非法公開, 應無法為此推認, 自不屬之。然此既屬推認,即非當事人已自主 決定要在此場合提供個人資料,故此仍屬「促 進個人資料之合理利用(個資法第1條後段)」之 範疇 46
47
「學術研究機構基於公共利益為統計或學術研究而有必 要,且資料經過提供者處理後或經蒐集者依其揭露方式 無從識別特定之當事人。」此款亦非當事人自主決定提 供個人資料,故屬「促進個人資料之合理利用(個資法 第1條後段)」之範疇,其要件除「學術研究機構基於公 共利益為統計或學術研究而有必要」外,尚要求「資料 經過提供者處理後或經蒐集者依其揭露方式無從識別特 定之當事人」 本款係得蒐集、處理個人資料之要件,而「資料經過提 供者處理後或經蒐集者依其揭露方式無從識別特定之當 事人」則是個人資料利用之結果,故其並非實質要件, 而應認係一種附帶要求。 所稱資料經過處理後或依其揭露方式無從識別特定當事 人,指個人資料以代碼、匿名、隱藏部分資料或其他方 式,無從辨識該特定個人。(個資法施行細則第17條) 47
48
「為增進公共利益所必要」屬「促進個人資料 之合理利用(個資法第1條後段)」之範疇無疑。 公共利益乃一不確定法律概念
「利益」 係有好處, 非不利益。 「公共」係非個別之個人,惟倘個個「個別之 個人」均及之,「個別之個人」亦有可能該當 「公共」。 公共利益,口語的說可謂「有助於公眾生活」 之「良善好處」。 48
49
「個人資料取自於一般可得之來源」非當事人自主決定 提供個人資料,故屬「促進個人資料之合理利用(個資 法第1條後段)」之範疇。
所稱一般可得之來源,指透過大眾傳播、網際網路、新 聞、雜誌、政府公報及其他一般人可得知悉或接觸而取 得個人資料之管道。(個資法施行細則第28條) 「個人資料取自於一般可得之來源」如果該來源係屬公 開,將同時符合第3款「當事人自行公開或其他已合法 公開之個人資料」,則因「一般可得」之來源,寓有任 何人皆可取得之「公開」意涵,故此二款要件時有重複 之嫌。 惟本款尚設有但書,即「但當事人對該資料之禁止處理 或利用,顯有更值得保護之重大利益者,不在此限。」 勢須將蒐集處理個人資料所能獲致之利益與個人資料不 提供所保護之利益相互比較,而引發爭議。 49
50
個人資料之利用 50
51
二、為維護國家安全或增進公共利益所必要。 三、為免除當事人之生命、身體、自由或財產上 之危險。 四、為防止他人權益之重大危害。
◆公務機關對個人資料之利用,除第六條第一項所規定資料外,應於執行法定職務必要範圍內為之,並與蒐集之特定目的相符。但有下列情形之一者,得為特定目的外之利用: 一、法律明文規定。 二、為維護國家安全或增進公共利益所必要。 三、為免除當事人之生命、身體、自由或財產上 之危險。 四、為防止他人權益之重大危害。 五、公務機關或學術研究機構基於公共利益為統 計或學術研究而有必要,且資料經過提供者 處理後或經蒐集者依其揭露方式無從識別特 定之當事人。 六、有利於當事人權益。 七、經當事人同意。 (個資法第16條) 51
52
◆非公務機關對個人資料之利用,除第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:
一、法律明文規定。 二、為增進公共利益所必要。 三、為免除當事人之生命、身體、自由或財產上 之危險。 四、為防止他人權益之重大危害。 五、公務機關或學術研究機構基於公共利益為統 計或學術研究而有必要,且資料經過提供者 處理後或經蒐集者依其揭露方式無從識別特 定之當事人。 六、經當事人同意。 七、有利於當事人權益。 (個資法第20條) 52
53
公務機關:執行法定職務必要範圍內並與蒐集之 特定目的相符 非公務機關:應於蒐集之特定目的必要範圍內為 之 APEC隱私保護九大原則之第四原則
利用之一般要件:特定目的之利用 公務機關:執行法定職務必要範圍內並與蒐集之 特定目的相符 非公務機關:應於蒐集之特定目的必要範圍內為 之 APEC隱私保護九大原則之第四原則 個人資料之利用原則 有關個人資料之利用,應符合當初蒐集目的之必 要範圍內,未經當事人同意或另有法律規定, 該資料不得作其他利用。(OECD八大原則之利用 限制原則:除當事人同意或法律另有規定外, 個人資料之利用不得為特定目的以外之利用。) 53
54
特定目的外利用之要件 除「維護國家安全」係公務機關獨有之要件外 ,其餘要件,公務機關與非公務機關均無不同。
「法律明文規定」「增進公共利益所必要」「公務 機關或學術研究機構基於公共利益為統 計或學 術研究而有必要,且資料經過提供者處理後或經蒐集 者依其揭露方式無從識別特定之當事人」「經當事人 同意」均與個人資料蒐集或處理要件相同,於茲不綴 。 又特定目的外之利用,不以「對當事人權益無侵害 」為以足,而係以「有利於當事人權益」為必要。 另「為免除當事人之生命、身體、自由或財產上之 危險」及「為防止他人權益之重大危害」亦得為特定 目的外之利用。 54
55
特種個人資料之蒐集、處理與利用 55
56
◆有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:
一、法律明文規定。 二、公務機關執行法定職務或非公務機關履行法 定義務必要範圍內,且事前或事後有適當安 全維護措施。 三、當事人自行公開或其他已合法公開之個人資 料。 四、公務機關或學術研究機構基於醫療、衛生或 犯罪預防之目的,為統計或學術研究而有必 要,且資料經過提供者處理後或經蒐集者依 其揭露方式無從識別特定之當事人。 56
57
五、為協助公務機關執行法定職務或非公務機關 履行法定義務必要範圍內,且事前或事後有 適當安全維護措施。
六、經當事人書面同意。但逾越特定目的之必要 範圍或其他法律另有限制不得僅依當事人書 面同意蒐集、處理或利用,或其同意違反其 意願者 ,不在此限。 (個資法第20條) 57
58
法律原則之拘束 58
59
個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。 (個資法第5條)
59
60
◆不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯,就是比例原則的展現︰要跟目的成合理的比例。
◆誠實信用方法:具體權利義務關係內容之確定或行使,應本諸公平與善良之善意(「公平與善良,乃法律之法律」),斟酌事件之特別情形,尤其是權利義務在社會上的作用,以及衡量雙方當事人之利益,依正義公平之方法,使法律關係臻於公平妥當,避免當事人間犧牲他方利益(此即尊重當事人權益)以圖利自己(力求衡平)之一種法律原則。 ◆不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯,就是比例原則的展現︰要跟目的成合理的比例。 ◆一、採取之方法應有助於目的之達成。 二、有多種同樣能達成目的之方法時,應選擇對人民 權益損害最少者。 三、採取之方法所造成之損害不得與欲達成目的之利 益顯失均衡。 60
61
◆個人資料之蒐集、處理及利用,除應符合本法所定蒐集、處理及利用之要件規定,並應符合同法第 5 條比例原則之規定。(法務部101年5月17日法律字第 10100060070 號函參照)
◆參諸來文說明二及卷附內政部函引用之「家庭暴力安全防護網成效評估計畫」成果顯示,家庭暴力高危機個案加害人有13.1% 疑似或確診為精神疾病、6.5% 有自殺情形。換言之,另有八、九成精神疾病患者或具有自殺傾向之人,與家庭暴力高危機個案無涉。準此,本件內政部雖為即時掌握家庭暴力高危機 個案之風險因子及擬定適當之行動策略,仍不宜廣泛蒐集精神疾病患者及具有自殺傾向之人之相關個人資料,以免有違比例原則。惟如蒐集之對象僅限於內政部已確認篩選之「高危險個案加害人」,且屬為防止被害人人身安全之必要手段,則認符合比例原則。 (法務部101 年 11 月8日法律字第 號函參照) 61
62
◆查稅捐稽徵法第 30 條規定:「稅捐稽徵機關或財政部賦稅署指定之調查人員,為調查課稅資料,得向有關機關、團體或個人進行調查,要求提示有關文件,或通知納稅義務人,到達其辦公處所備詢,被調查者不得拒絕。」準此,依特別法優於普通法之原則,稅捐稽徵機關或財政部賦稅署指定之調查人員,依上開稅捐稽徵法之規定,得向有關機關、團體或個人進行調查,要求提示為調查課稅資料之執行業務所需之有關文件。至要求提供之文件,是否確屬調查課稅所需,則應依具體個案事實予以認定,合先敘明。 …準此,本件稅捐稽徵機關為執行其法定職務,依稅捐稽徵法第 30 條規定向貴會調閱被保險人投保資料,貴會雖依法負有 配合辦理之義務,對於所持有之資料,應配合提供,不得拒絕,尚不因所持有之資料性質為國內、國外或其自身或第三人之資料而有差別。惟稅捐機關仍應受上開比例原則之拘束,而應於調查具體課稅案件之「必要範圍」內為限;亦即該調查權之行使係為作成正確之課稅處分,其調查之範圍與程度,應為關於調查課稅事實所必須且於符合比例原則前提下,審酌其合法性、必要性及適當性,否則即有濫權、逾越權限之虞。(法務部101年7月2日法律字第 號函參照) 62
63
對非公務機關之管控 63
64
個人資料之國際傳輸 64
65
◆國際傳輸:指將個人資料作跨國(境)之處理或 利用。 (個資法第2條第6款)
◆非公務機關為國際傳輸個人資料,而有下列情形之一者,中央目的事業主管機關得限制之: 一、涉及國家重大利益。 二、國際條約或協定有特別規定。 三、接受國對於個人資料之保護未有完善之法規, 致有損當事人權益之虞。 四、以迂迴方法向第三國(地區)傳輸個人資料 規避本法。(個資法第21條) ◆違反本條規定,科以第41條刑事責任(五年以下有期徒刑,得併科新臺幣一百萬元以下罰金)及第47條行政罰(由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣五萬元以上五十萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰) 65
66
行政檢查 66
67
◆Ⅰ中央目的事業主管機關或直轄市、縣(市)政府為執行資料
檔案安全維護、業務終止資料處理方法、國際傳輸限制或其 他例行性業務檢查而認有必要或有違反本法規定之虞時,得 派員攜帶執行職務證明文件,進入檢查,並得命相關人員為 必要之說明、配合措施或提供相關證明資料。 Ⅱ為前項檢查時,對於得沒入或可為證據之個人資料或其檔案, 得扣留或複製之。對於應扣留或複製之物,得要求其所有人、 持有人或保管人提出或交付;無正當理由拒絕提出、交付或 抗拒扣留或複製者,得採取對該非公務機關權益損害最少之 方法強制為之。 Ⅲ檢查時,得率同資訊、電信或法律等專業人員共同為之。 Ⅳ對於進入、檢查或處分,非公務機關及其相關人員不得規避、 妨礙或拒絕。 Ⅴ參與檢查之人員,因檢查而知悉他人資料者,負保密義務。 (個資法第22條) 67
68
◆實施檢查時,應注意保守秘密及被檢查者之名譽。(個資法施行細則第29條)
◆實施檢查後,應作成紀錄。紀錄當場作成者,應使被檢查者閱覽及簽名,並即將副本交付被檢查者;其拒絕簽名者,應記明其事由。紀錄於事後作成者,應送達被檢查者,並告知得於一定期限內陳述意見。(個資法施行細則第30條第2項至第4項) ◆中央目的事業主管機關或直轄市、縣(市)政府依第二十二條規定檢查後,未發現有違反本法規定之情事者,經該非公務機關同意後,得公布檢查結果。(個資法第26條) 68
69
◆扣留物或複製物,應加封緘或其他標識,並為適當之處置;其不便搬運或保管者,得命人看守或交由所有人或其他適當之人保管。(個資法第23條第1項)
◆扣留物或複製物已無留存之必要,或決定不予處罰或未為沒入之裁處者,應發還之。但應沒入或為調查他案應留存者,不在此限。(個資法第23條第2項) ◆扣留或複製得沒入或可為證據之個人資料或其檔案時,應掣給收據,載明其名稱、數量、所有人、地點及時間。 (個資法施行細則第30條第1項)。 69
70
I非公務機關、物之所有人、持有人、保管人或利害關係人對 前二條之要求、強制、扣留或複製行為不服者,得向中央目
◆個人資料保護法第24條 I非公務機關、物之所有人、持有人、保管人或利害關係人對 前二條之要求、強制、扣留或複製行為不服者,得向中央目 的事業主管機關或直轄市、縣(市)政府聲明異議。 Ⅱ前項聲明異議,中央目的事業主管機關或直轄市、縣(市) 政府認為有理由者,應立即停止或變更其行為;認為無理由 者,得繼續執行。經該聲明異議之人請求時,應將聲明異議 之理由製作紀錄交付之。 Ⅲ對於中央目的事業主管機關或直轄市、縣(市)政府前項決 定不服者,僅得於對該案件之實體決定聲明不服時一併聲明 之。但第一項之人依法不得對該案件之實體決定聲明不服時, 得單獨對第一項之行為逕行提起行政訴訟。 70
71
違法之處置 71
72
◆Ⅰ非公務機關有違反本法規定之情事者,中央目的事 業主管機關或直轄市、縣(市)政府除依本法規定 裁處罰鍰外,並得為下列處分:
一、禁止蒐集、處理或利用個人資料。 二、命令刪除經處理之個人資料檔案。 三、沒入或命銷燬違法蒐集之個人資料。 四、公布非公務機關之違法情形,及其姓名或名稱 與負責人。 Ⅱ中央目的事業主管機關或直轄市、縣(市)政府為 前項處分時,應於防制違反本法規定情事之必要範 圍內,採取對該非公務機關權益損害最少之方法為 之。 (個資法第25條) 72
73
公務機關之公開要求 73
74
◆公務機關應將下列事項公開於電腦網站,或以其他適當方式供公眾查閱;其有變更者,亦同: 一、個人資料檔案名稱。 二、保有機關名稱及聯絡方式。
三、個人資料檔案保有之依據及特定目的。 四、個人資料之類別。 (個資法第17條) ◆公務機關之公開,應於建立個人資料檔案後一個月內 為之;變更時,亦同。公開方式應予以特定,並避免 任意變更。 (個資法施行細則第23條第1項) ◆所稱其他適當方式,指利用政府公報、新聞紙、雜誌、電子報或其他可供公眾查閱之方式為公開。 (個資法施行細則第23條第2項) 74
75
個人資料之蒐集、處理及政策之制定,應 以公開為原則。 資料管理人姓名及聯絡處、資料之總類、 特定目的等事項,亦均需公開,且容易取 得。
OECD八大原則之公開原則 個人資料之蒐集、處理及政策之制定,應 以公開為原則。 資料管理人姓名及聯絡處、資料之總類、 特定目的等事項,亦均需公開,且容易取 得。 75
76
個人資料的權利屬性為何? 76
77
為規範個人資料之蒐集、處理及利用 ,以避免人格權受侵害。
個人資料保護法第1條前段 為規範個人資料之蒐集、處理及利用 ,以避免人格權受侵害。 77
78
非財產權之人格權 78
79
憲法上的人性尊嚴保障就是在保障人格的自由 開展以及個人自主性的尊重。
人性尊嚴要求國家必須承認人具理性,而以人 之存在為惟一目的,不得將人作為工具,故對 人所為之限制,均應來自於人本身人格發展所 生之自我拘束,藉以確保人之主體地位,避免 個人於融入社會共同生活結構時,失卻其個人 特性。 德國學者Dürig教授:「當具體的個人被貶抑為 客體,僅是一種手段或可代替的數值時,人之 尊嚴即受侵害。」(客體或物體公式, Objektformel) 79
80
人格權的主體為人,且以人格(一種精神利益)為 內容的權利(非以經濟利益為內容的權利,即非 財產權),而建立在個人的自我認同及自主決定( 自由意識) ,不過,因人格具有開放性,故人格 權難作具體的定義。
人格權以人的存在為基礎。 人格權係在展現人的主體性及個體性(自主性及 呈現得與他人相區別之個人形象的個別性) ,使 每一個人得以不同的方式,形成其生活,參與 社會活動。 人格權人得直接享受其人格利益(支配性) ,並 禁止他人的侵害(排他性) 。民法第18條第1項規 定:人格權受侵害時,得請求法院除去其侵害; 有受侵害之虞時,得請求防止之。 80
81
人本身就是目的,而非受支配的個體,故人格 權在維護人性尊嚴及促進人格自由發展。
當事人就其個人資料依本法規定行使之下列權 利,不得預先拋棄或以特約限制之: 一、查詢或請求閱覽。 二、請求製給複製本。 三、請求補充或更正。 四、請求停止蒐集、處理或利用。 五、請求刪除。(個資法第3條) 81
82
何種人格權? 82
83
不法侵害他人之身體、健康、名譽、 自由、信用、隱私、貞操,或不法侵 害其他人格法益而情節重大者,被害 人雖非財產上之損害,亦得請求賠償
相當之金額。其名譽被侵害者,並得 請求回復名譽之適當處分。(民法第 195條第1項) 所保護的個人資料到底是屬於身體、 健康、名譽、自由、信用、隱私、貞 操哪一種人格權?還是其他人格法益 ? 83
84
隱私權 84
85
隱私權的演進 85
86
◆在1890年,Louis Brandies及Samuel D
◆在1890年,Louis Brandies及Samuel D. Warren在哈佛法學評論(Harvard Law Review)發表「隱私權」(The Right to Pricy)一文,強調「生存的權利已逐漸變成享受生活的權利,也就是個人獨處的權利」,其提出隱私權的概念係“The Right To Be Let right to be let alone”,也就是不受他人干擾而獨處的權利(不受來自他人且自己不想要的刺激擾亂平靜心靈的利益)。 ◆在1964年,Edward Bloustein在紐約大學法學評論(New York Law Review)發表「隱私是人性尊嚴的一部分」(Privacy as an Aspect of Human Dignity)一文中,提出「隱私是人類的人格利益(an interest of the human personality),隱私保障個人人格的不可侵犯,個人的獨立(independence)、尊嚴(dignity)與正直(integrity)。 86
87
◆在1967年,Alan Westin在「隱私與自由」(Privacy and Freedom )一文中,將隱私定義為「個人得以自由選擇在何種環境、何種程度下向他人揭露他自己(expose themselves)、他的態度(attitude)以及他的行為(behavior)。 ◆在在1980年,Ruth Gavison在耶魯法學雜誌(Yale Law Journal)「隱私及法律的限制」(Privacy and the Limits of Law)一文中,提出隱私的三項要素:秘密(secrecy)、匿名(anonymity)及獨處(solitude)。 87
88
隱私權之功能及其價值 88
89
◆隱私權既屬人格權之一種,自具有維 護人之尊嚴及個人之自由等人格權效 能。 ◆隱私權限制國家權力侵入個人私密領
域,讓個人自主決定參與社會的程 度,足以維持民主社會的運作。 ◆美國學者Alan F. Westin提出隱私權具 有4項功能: 89
90
人之尊嚴及自主決定 隱私的獨立性,建立了一道維護人性尊嚴的防禦牆,使個人得以有所保留(無論是思想、判斷、偏好都可不與他人分享),對抗外力干預,確保對自己事務保有最終決定權的個人自主性(作為獨立個體的地位),不受他人侵入個人內心或其他私領域,而防免受他人嘲笑、羞辱或因此而被他人操縱支配(受制於人)。 90
91
情感釋放(鬆弛、解脫) 個人受制於自身社會角色的壓力,需要有一定的時間及空間得以逃脫公眾,卸下面具,以真實自處,而享受片刻的幽靜、孤獨或鬆弛,回復身心的寧靜,確保身心的平衡與健康。 91
92
隱私得使個人回想以往的經驗,檢討舊的思維,而有所創新,以規劃未來,並重新形塑自我。
自我評估 隱私得使個人回想以往的經驗,檢討舊的思維,而有所創新,以規劃未來,並重新形塑自我。 禮記有云︰知止而後有定,定而後能靜,靜而後能安,安而後能慮,慮而後能得。 92
93
個人得自由與其認為值得信賴的人,也就是相信其私下所透露的事物將不會被公開的人(如夫妻間、律師與當事人間、牧師與告解者間),分享私密。
有限度及受保護的溝通 個人得自由與其認為值得信賴的人,也就是相信其私下所透露的事物將不會被公開的人(如夫妻間、律師與當事人間、牧師與告解者間),分享私密。 當他覺得無法信賴時,即使親如夫妻,亦得保有自我的隱私空間。 93
94
資訊隱私權 94
95
釋字第585號理由書指出隱私權包括「個人生活 秘密空間免於他人侵擾及個人資料之自主控制 」。
釋字第603 號則指出個人資料的自主控制,包 括得自主決定與自己有關資訊的權利,亦即資 訊隱私權(Information Privacy):「就個人 自主控制個人資料之資訊隱私權而言,乃保障 人民決定是否揭露其個人資料、及在何種範圍 內、於何時、以何種方式、向何人揭露之決定 權,並保障人民對其個人資料之使用有知悉與 控制權及資料記載錯誤之更正權。惟憲法對資 訊隱私權之保障並非絕對,國家得於符合憲法 第二十三條規定意旨之範圍內,以法律明確規 定對之予以適當之限制。」 95
96
隱私權侵害類型 96
97
◆1905年喬治亞州(Georgia)最高法院 在Pavesich v. New England Life
Insurance認擅自使用他人照片廣告, 構成侵害隱私權。 ◆判決理由:個人在社會中雖須捨棄部份的 自然權利,但非須全部拋棄。個人可以決 定在何時、何地,以何種方式展現自己, 此乃一種自由權,包括隨時從大眾眼光退 出的自由。 ◆美國學者William L. Prosser整理分析 實務上案例,提出隱私權害涉及4種不 同利益: 97
98
侵犯隱密:侵害他人的幽居獨處或私 人事務(如侵入他人住宅生活領域、 竊聽偷拍、跟蹤、電話騷擾、強使他 人接受資訊等)
公開揭露使人困擾的私人事實(公開 揭露) 公開揭露致使他人遭受公眾誤解(扭 曲形象) 為自己利益而使用他人的姓名或特徵 。 98
99
隱私權的保護 99
100
◆隱私權在刑法上的保護 1、刑法第28章妨害秘密罪 第315條妨害書信秘密罪 第316條至第318條洩漏業務秘密罪
第315條之1:有下列行為之一者,處三年以下有期徒 刑、拘役或三十萬元以下罰金:一、無故利用工具或 設備窺視、竊聽他人非公開之活動、言論、談話或身 體隱私部位者。二、無故以錄音、照相、錄影或電磁 紀錄竊錄他人非公開之活動、言論、談話或身體隱私 部位者。 2、個人資料保護法第42條:意圖為自己或第三人不法之 利益或損害他人之利益,而對於個人資料檔案為非法 變更、刪除或以其他非法方法,致妨害個人資料檔案 之正確而足生損害於他人者,處五年以下有期徒刑、 拘役或科或併科新臺幣一百萬元以下罰金。(§44:公 務員假借職務上之權力、機會或方法,犯本章之罪者, 加重其刑至二分之一。) 100
101
◆隱私權在私法上的保護 1、民法第18條:Ⅰ人格權受侵害時,得請求法院除去其 2、民法第184條Ⅰ前段:因故意或過失,不法侵害他人
侵害;有受侵害之虞時,得請求防止之。Ⅱ前項情 形,以法律有特別規定者為限,得請求損害賠償或慰 撫金。 2、民法第184條Ⅰ前段:因故意或過失,不法侵害他人 之權利(包括隱私權等人格權)者,負損害賠償責任。 3、民法第195條Ⅰ:不法侵害他人之身體、健康、名 譽、自由、信用、隱私、貞操,或不法侵害其他人格 法益而情節重大者,被害人雖非財產上之損害,亦得 請求賠償相當之金額。其名譽被侵害者,並得請求回 復名譽之適當處分。 4、個人資料保護法第28條:Ⅰ公務機關違反本法規定, 致個人資料遭不法蒐集、處理、利用或其他侵害當事 人權利者,負損害賠償責任。但損害因天災、事變或 其他不可抗力所致者,不在此限。 Ⅱ被害人雖非財產上之損害,亦得請求賠償相當之金 101
102
額;其名譽被侵害者,並得請求為回復名譽之適當 處分。 Ⅲ依前二項情形,如被害人不易或不能證明其實際損
害額時,得請求法院依侵害情節,以每人每一事件 新臺幣五百元以上二萬元以下計算。 Ⅳ對於同一原因事實造成多數當事人權利受侵害之事 件,經當事人請求損害賠償者,其合計最高總額以 新臺幣二億元為限。但因該原因事實所涉利益超過 新臺幣二億元者,以該所涉利益為限。 Ⅴ同一原因事實造成之損害總額逾前項金額時,被害 人所受賠償金額,不受第三項所定每人每一事件最 低賠償金額新臺幣五百元之限制。 Ⅵ第二項請求權,不得讓與或繼承。但以金額賠償之 請求權已依契約承諾或已起訴者,不在此限。 5、個人資料保護法第29條:Ⅰ非公務機關違反本法規 定,致個人資料遭不法蒐集、處理、利用或其他侵 害當事人權利者,負損害賠償責任。但能證明其無 故意或過失者,不在此限。Ⅱ依前項規定請求賠償 102
103
6、個人資料保護法第30條:損害賠償請求權,自請求 權人知有損害及賠償義務人時起,因二年間不行使 而消滅;自損害發生時起,逾五年者,亦同。
者,適用前條第二項至第六項規定。 6、個人資料保護法第30條:損害賠償請求權,自請求 權人知有損害及賠償義務人時起,因二年間不行使 而消滅;自損害發生時起,逾五年者,亦同。 7、個人資料保護法第31條:損害賠償,除依本法規定 外,公務機關適用國家賠償法之規定,非公務機關 適用民法之規定。 ■ 103
104
■ 為保障人民權益,公務機關採嚴格的無過失責任,除因天災、事變或其他不可抗力所致,始不負損害賠償責任外,即使沒有故意過失,也要負損害賠償責任,且因涉及公部門,故規定其補充適用國家賠償法;至於非公務機關僅係純粹之私人,故應補充適用民法,且歸責事由予以放寬,以故意過失為責任條件,但為落實人格權之保護,採取先推定非公務機關有故意過失,而由非公務機關負證明其無故意過失之舉證責任。 ■ 為避免人民難以舉證損害額度,爰賦予法官得依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算之職權。但也設下最高總額2億之限制,然若獲利較多,則改以獲利為上限。 104
105
公務機關或非公務機關違反本法規定,致個人資 料被竊取、洩漏、竄改或其他侵害者,應查明後 以適當方式通知當事人。(個資法第12條)
◆遭侵害之告知 公務機關或非公務機關違反本法規定,致個人資 料被竊取、洩漏、竄改或其他侵害者,應查明後 以適當方式通知當事人。(個資法第12條) ◆遭侵害若未告知,當事人根本無從行使權利,爰課予個人資料被竊取、洩漏、竄改或遭其他侵害時,應告知當事人。 ◆通知內容應包括個人資料被侵害之事實及已採取之因應措施。(個資法施行細則第22條第2項) ◆所稱適當方式通知,指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但需費過鉅者,得斟酌技術之可行性及當事人隱私之保護,以網際網路、新聞媒體或其他適當公開方式為之。(個資法施行細則第22條第1項) 105
106
領域理論 106
107
◆隱私權既在限制國家權力侵入個人私 密領域,則只要確立應保留給個人, 得以自群居社會隱退,不讓周邊事物 侵入,而得享有安寧及寧靜,並自由
及自我負責發展人格的內部空間,就 可以劃定隱私權的保護範疇。 ◆惟人除了獨處外,亦必須與社會連帶 而參與社會活動,而具團體屬性,而 為社會人,故人除了個人私密領域 外,亦具有得公開面對社會大眾的公 開領域,所以要劃定個人私密領域, 並不容易。 107
108
限: ……三、當事人自行公開或其他已合法公開之個人資料。
◆個人資料保護法第6條 有關病歷、醫療、基因、性生活、健康檢 查及犯罪前科之個人資料,不得 蒐集、處 理或利用。但有下列情形之一者,不在此 限: ……三、當事人自行公開或其他已合法公開之個人資料。 108
109
◆除劃定隱私權保護範疇外,領域理論進一步區分私人生活領域為隱密領域、秘密領域及個人領域(以人性尊嚴的核心為圓心,形成一個遠近不同的同心圓模型),而異其保護程度、
◆在德國基於其基本法第1條所規定人格尊嚴不受侵害,並應受所有國家權力的尊重與保護,故聯邦憲法法院肯認個人在其私人生活形成上被保障有一個絕對不受侵害的領域,隱密領域即屬人性尊嚴的核心,應享有絕對保護,任何侵害,無論是來自個人或公權力,均應被排除,例如性行為、對證人或被告自我責難的強制。 109
110
◆秘密領域及個人領域漸漸遠離核心部份,得依相互利益衡量的標準,以及依其位於同心圓中距離圓心(核心)之遠近,以決定其是否應受保護,而分別作不同層次(程度)之保護。
110
111
◆領域理論的操作適用: 1、認定人格權的保護範圍及其具體的領域 究屬隱密領域、秘密領域或個人領域,係依當
事人是否有意就其內容保密,以及該事件是否 具有高度人格的特質而定。 2、是否夠構成侵害。 3、侵害是否具有正當性而得被允許 屬隱密領域者,任何侵害均不允許。 屬秘密領域或個人領域者,則依侵害所欲達成 之利益,與所侵害之隱私,比較應以誰為優 先,以決定隱私是否受侵害,其中,秘密領域 的隱私較個人領域的隱私,具有更值得保護的 隱私利益。 111
112
領域理論的相對化 112
113
◆德國於1983年制定人口普查法,引 發社會廣泛抗議及憲法訴訟,聯邦憲法法院於進行違憲審查時創設「個人資訊自主(自決)權」。
◆在自動化資料處理的現代化條件下,,人格的自由發展取決於個人有權對抗個人資料被無限制的搜集、儲存、使用與傳送。基本法上的人格權應進一步加以具體化,其內容須包括個人得本諸自主決定的價值與尊嚴,自行決定何時及於何種範圍內公開其個人的生活事實。 113
114
◆個人對其切身資料並無所謂絕對不受限制的支配,蓋個人與團體間具有社會關聯性及社會拘束性, 因此個人的資訊自主權必須忍受重大公益之限制
◆國家公權力對人民資訊自主權領域的規範,應受法律保留原則、授權明確性原則及比例原則的拘束,並有義務在組織及程序上採取相對應的預防措施,俾個人的資訊自由得獲保障,,而有效發揮其功能。 ◆分析:修正「領域理論」,創設人民資訊自主權,否認有一個絕對不受限制的「隱密領域」,而以法律保留原則、授權明確性原則及比例原則等作為合憲與否的判斷基準。 114
115
個人資料的自主控制權 115
116
保障人民決定是否揭露其個人資料、 及在何種範圍內、於何時、以何種方 式、向何人揭露之決定權,並保障人 民對其個人資料之使用有知悉與控制 權及資料記載錯誤之更正權。(釋字 第603號)
116
117
自我決定權的具體實踐 告知後同意 117
118
一項所規定資料外,應有 特定目的,並符合下列 情形之一者:……二、經當事人同意。
◆個人資料保護法第15條第2款 公務機關對個人資料之蒐集或處理,除第六條第 一項所規定資料外,應有 特定目的,並符合下列 情形之一者:……二、經當事人同意。 ◆個人資料保護法第16條第7款 公務機關對個人資料之利用,除第六條第一項所規 定資料外,應於執行法 定職務必要範圍內為之, 並與蒐集之特定目的相符。但有下列情形之一 者,得為特定目的外之利用: ……七、經當事人 同意。 118
119
一項所規定資料外,應有特定目的,並符合下列 情形之一者: ……五、經當事人同意。
◆個人資料保護法第19條第1項第5款 非公務機關對個人資料之蒐集或處理,除第六條第 一項所規定資料外,應有特定目的,並符合下列 情形之一者: ……五、經當事人同意。 ◆個人資料保護法第20條第1項第6款 非公務機關對個人資料之利用,除第六條第一項所 規定資料外,應於蒐集之特定目的必要範圍內為 之。但有下列情形之一者,得為特定目的外之利 用: ……六、經當事人同意。 119
120
◆個人資料保護法第7條 I第十五條第二款及第十九條第一項第五款所稱同意,指 當事人經蒐集者告知本法所定應告知事項後,所為允許 之意思表示。
Ⅱ第十六條第七款、第二十條第一項第六款所稱同意,指 當事人經蒐集者明確告知特定目的外之其他利用目的、 範圍及同意與否對其權益之影響後,單獨所為之意思表 示。 Ⅲ公務機關或非公務機關明確告知當事人第八條第一項各 款應告知事項時,當事人如未表示拒絕,並已提供其個 人資料者,推定當事人已依第十五條 第二款、第十九條 第一項第五款之規定表示同意。 Ⅳ蒐集者就本法所稱經當事人同意之事實,應負舉證責任。 120
121
◆本法第七條第二項所定單獨所為之書面意思表示,如係與其他意思表示於同一書面為之者,蒐集者應於適當位置使當事人得以知悉其內容並確認同意。(個資法施行細則15)
◆依本法第八條、第九條及第五十四條所定告知之方式,得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。 (個資法施行細則16) 121
122
罪前科之個人資料,不得 蒐集、處理或利用。但 有下列情形之一者,不在此限: ……六、經當事 人書面同意。但逾越特定目的之必要範圍或其他
◆個人資料保護法第6條 有關病歷、醫療、基因、性生活、健康檢查及犯 罪前科之個人資料,不得 蒐集、處理或利用。但 有下列情形之一者,不在此限: ……六、經當事 人書面同意。但逾越特定目的之必要範圍或其他 法律另有限制不得僅依當事人書面同意蒐集、處 理或利用,或其同意違反其意願者 ,不在此限。 依前項規定蒐集、處理或利用個人資料,準用第 八條、第九條規定;其中 前項第六款之書面同 意,準用第七條第一項、第二項及第四項規定, 並以書面為之。 122
123
資料蒐集者蒐集個人資料時,應告知當事 人蒐集者名稱、蒐集資料之目的、種類與 用途等。
APEC隱私保護九大原則之第二原則 告知原則 資料蒐集者蒐集個人資料時,應告知當事 人蒐集者名稱、蒐集資料之目的、種類與 用途等。 123
124
•得向資料管理人或其他人確認是否保有關於自己之 資料。 •本人於合理期間內,如有必要得以不過當之費用,
OECD八大原則之個人參加原則 •得向資料管理人或其他人確認是否保有關於自己之 資料。 •本人於合理期間內,如有必要得以不過當之費用, 依合理之方法,以自己亦能瞭解之形式,知悉有關 自己之資料。 •本人於提出有關答覆或閱覽卷宗之要求而遭拒絕時, 得對之提出異議。 •於異議有理由成立時,得要求應將資料予以刪除、 變更、完整化及補正。 APEC隱私保護九大原則之查閱和更正原則 當事人隨時有權查詢或閱覽其個人資料,如發現有錯誤或欠缺者,得請求補充或更正。 124
125
◆公務機關或非公務機關應依當事人之請求,就其蒐集之個人資料,答覆查詢、提供閱覽或製給複製本。但有下列情形之一者,不在此限:
一、妨害國家安全、外交及軍事機密、整體經濟利益或其他國 家重大利益。 二、妨害公務機關執行法定職務。 三、妨害該蒐集機關或第三人之重大利益。 (個資法第10條) ◆所稱妨害第三人之重大利益,指有害於第三人個人之生命、身體、自由、財產或其他重大利益。(個資法施行細則第18條) ◆公務機關或非公務機關受理當事人依第十條規定之請求,應於十五日內,為准駁之決定;必要時,得予延長,延長之期間不得逾十五日,並應將其原因以書面通知請求人。 (個資法第13條第1項) ◆查詢或請求閱覽個人資料或製給複製本者,公務機關或非公務機關得酌收必要成本費用。 (個資法第14條) 125
126
•在利用目的之必要範圍內,並須正確、完整及最新。 APEC隱私保護九大原則之個人資料之完整性原則
OECD八大原則之資料內容完整正確原則 •在利用目的之必要範圍內,並須正確、完整及最新。 APEC隱私保護九大原則之個人資料之完整性原則 保有個人資料檔案者,有責任隨時更新或補充資料,力求該資料之完整正確,避免當事人因不正確之資料,讓其權益遭受損害。 126
127
◆Ⅰ公務機關或非公務機關應維護個人資料之正確,並
應主動或依當事人之請求更正或補充之。 Ⅱ個人資料正確性有爭議者,應主動或依當事人之請 求停止處理或利用。但因執行職務或業務所必須, 或經當事人書面同意,並經註明其爭議者,不在此 限。 Ⅲ個人資料蒐集之特定目的消失或期限屆滿時,應主動 或依當事人之請求,刪除、停止處理或利用該個人資 料。但因執行職務或業務所必須或經當事人書面同意 者,不在此限。 Ⅳ違反本法規定蒐集、處理或利用個人資料者,應主動 或依當事人之請求,刪除、停止蒐集、處理或利用該 個人資料。 Ⅴ因可歸責於公務機關或非公務機關之事由,未為更正 或補充之個人資料,應於更正或補充後,通知曾提供利用 之對象。 (個資法第11條) 127
128
◆當事人向公務機關或非公務機關請求更正或補充其個人資料時,應為適當之釋明。(個資法施行細則第19條)
◆公務機關或非公務機關受理當事人依第十一條規定之請求,應於三十日內,為准駁之決定;必要時,得予延長,延長之期間不得逾三十日,並應將其原因以書面通知請求人。 (個資法第13條第2項) ◆當事人向公務機關或非公務機關請求更正或補充其個人資料時,應為適當之釋明。(個資法施行細則第19條) ◆第三項所稱特定目的消失,指下列各款情形之一: 一、公務機關經裁撤或改組而無承受業務機關。 二、非公務機關歇業、解散而無承受機關,或所營事 業營業項目變更而與原蒐集目的不符。 三、特定目的已達成而無繼續處理或利用之必要。 四、其他事由足認該特定目的已無法達成或不存在。 (個資法施行細則第20條) 128
129
◆第三項但書所定因執行職務或業務所必須,指下列各款情形之一: 一、有法令規定或契約約定之保存期限。
二、有理由足認刪除將侵害當事人值得保護之利益。 三、其他不能刪除之正當事由。 (個資法施行細則第20條) 129
130
問題探討
131
◆個資法施行後,學校張貼榮譽榜,一律需匿學生姓名?
◆個資法施行後,公務機關不得將個資提供予非公務機關(如廟宇),作為發放敬老金使用? ◆內政部警政署將司法機關公告通緝之部分內容,公開於該署網站提供不特定民眾查詢,是否違反個資之利用規定? ◆各縣、市政府社會局請○○集中保管結算所股份有限公司提供投資人持股資料以辦理低收入戶及中低收入戶資格認定業務,是否符合個資法規定? ◆直轄市、縣(市)政府為辦理徵兵檢查,得否請衛生單位提供精神疾病役男病史資料? ◆郵務人員於住宅一樓門首張貼郵務送達通知書中所記載事項,是否已危害個人資料保護之法律? ◆交通事故之一方請求警察機關提供他方肇事者之個人資料,是否因個資法施行後皆不得提供? ◆公務或非公務機關可否將員工資料提供予其他內部員工查詢使用? 131
132
統計資料運用 焦點議題 132
133
人口統計資料係由內政部戶役政資訊系統產製,主計處為分析全市人口遷徙資料向本局調閱市民相關個資,該項資料是否涉及個資法疑慮?
133
134
確認人口統計資料是否為個資法第2條第1款所稱之個人資料?
先看有無涉及該款所列舉之資料;如未涉及,再進一步判斷得否以直接或間接方式識別該個人之資料。如所蒐集之原始資料,固為個人資料,但戶役政資訊系統產製之人口統計資料,已因代碼、匿名、隱藏部分資料或其他方式,無從辨識該特定個人,仍非個人資料。 134
135
行政程序法第19條行政協助 經判斷非屬個人資料,即無個人資料保護法之適用。除有其他法令禁止,否則得依行政程序法第19條行政協助規定,提供予其他機關公務運用。 135
136
確認蒐集目的,以決定其究係目的內或目的外利用 ?
蒐集個人資料,一定要有蒐集的特定 目的。且既然是為了特定目的而蒐 集,自得為該特定目的之利用,毋庸 再滿足其他條件。 136
137
目的外利用,公務機關須 有個資法第16條但書所 列事由,否則即屬違法。 137
138
本件統計資料運用是否為目的內利用之探討 138
139
◆人口統計資料係由內政部戶役政資訊系統產製,似得認定此係個人資料之處理,故還是要溯源到處理前個人資料係依何目的獲得,才能確認其蒐集目的。
◆假定本件個人資料係依戶籍法所定之戶籍登記或戶口調查(戶籍法第7章)所得,蒐集目的應係「○一五 戶政」而提供主計處分析全市人口遷徙資料之利用目的如係「一五七 調查、統計與研究分析」,二者目的既有未合,則提供主計處分析全市人口遷徙資料之利用,似屬目的外之利用。 ◆問題是統計法第1條規定,政府統計之調查,係依統計法之規定為之,而統計法第3條所規範之政府應辦理之統計,除基本國勢調查之統計外,已含括各機關職務上應用之統計、各機關所辦公務之統計、公務人員及其工作之統計、各機關認為應辦之其他統計,則依戶籍法所定之戶籍登記或戶口調查,已為統計法所吸納。而統計法採一條鞭設計,此觀統計法第16條規定為提高統計效能,增進統計確度,主計機關應隨時指派統計人員經常稽核及複查各該政府機關及所屬機關之統計工作。則「○一五 戶政」之搜集目的,實質上即有可能同時蘊含「一五七 調查、統計與研究分析」 139
140
本件統計資料運用如屬目的外利用是否有個資法第16條但書所列事由
140
141
◆第5款︰公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
◆第2款︰增進公共利益所必要。 141
142
報告完畢 敬請指正
Similar presentations