iThome

 

如何閱讀法律條文

法律條文的格式分成4種,包括了「條」、「項」、「款」和「目」,來代表條文內容的階層關係。「項」不列出編號,空兩格書寫,也就是一般條文中的段落。「款」則加上一、二、三等數字。「目」則加上(一)、(二)、(三)等數字,並且會加上標點符號。若還有更細分,則會稱為第某目之1、2、3等。(點此看範例)

 

第1條

為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。

 

 專家解說  臺北地方法院檢察署主任檢察官 張紹斌:

隱私權與人格權一樣,是一種權利,所以當權利受到損害時,就會有「救濟」行為。生存的自然人才受個資法保護,死的人不在此限。

第1條規定個資保護的個資客體,以往只侷限電腦處理的個資才受到電腦處理個人資料保護法的限制,但新法則加入人工處理及增加類型資料,如人工書寫的個資都都在保護的範圍之內,這也解決以往非電腦或自動化設備處理的個資都可以規避「電腦處理個人資料保護法」的處罰。

電腦處理個人資料保護法實施十多年,除了法定8大行業外,先後陸續指定13種行業,舊法適用的產業只有21個,但是新版個資法則是所有行業和全部自然人都適用。

 

第2條

本法用詞,定義如下:

        一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。

        二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。

        三、蒐集:指以任何方式取得個人資料。

        四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。

        五、利用:指將蒐集之個人資料為處理以外之使用。

        六、國際傳輸:指將個人資料作跨國(境)之處理或利用。

        七、公務機關:指依法行使公權力之中央或地方機關或行政法人。

        八、非公務機關:指前款以外之自然人、法人或其他團體。

        九、當事人:指個人資料之本人。

 

 專家解說  達文西個資暨高科技法律事務所主持律師葉奇鑫:

第2條第1項第1款規定「得以直接或間接方式識別該個人之資料」,但是何謂「間接識別」並未有明顯定義,未來將依照案例而定。

 專家解說  臺北地方法院檢察署主任檢察官張紹斌:

第2條第1項第1款定義「個人資料檔案是指:依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合」,但是根據施行細則草案第 5 條,又把「備份檔案」和「軌跡資料」都列為個人資料檔案。

不過,從法律上推斷,個人資料因出自隱私權考慮予以保護,軌跡資料係出於電腦處理個資本體所衍生之資訊,與隱私並無關聯,難認定有列入個人資料範圍之必要。

第2條第1項第3款規定「蒐集」的定義,要注意的是,不論是使用合法或是非法的手段,都屬於蒐集個資。

第2條第1項第4款規定「處理」的定義,「刪除」包含在「處理」的意涵之內;另外,根據個資法施行細則草案第6條說明3提及的「內部傳送」,包括機關內部跨國(境)的資料傳送,也是屬於「處理」的一環。

第2條第1項第5款規定利用的定義,不論是將資料提供當事人以外第三人使用,或者是,不同資料擁有者之間對個資使用,甚至是將蒐集個資做上述處理定義以外的使用,都是利用。

第2條第1項第6款規定國際傳輸的定義,只要是不同資料擁有者之間,進行臺、澎、金、馬以外的資料跨國(境)傳輸,不論是屬於個資的「處理」或「利用」,都符合「國際傳輸」的規定。

 

第3條

當事人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約限制之:

        一、查詢或請求閱覽。

        二、請求製給複製本。

        三、請求補充或更正。

        四、請求停止蒐集、處理或利用。

        五、請求刪除。

 

 專家解說  達文西個資暨高科技法律事務所主持律師葉奇鑫:

第3條規定當事人權利中的「刪除」,若因法律、契約和證據保存等相關因素的原因,企業就可以不予刪除;另外,若是符合施行細則草案第3條規定的,資料查詢將「耗費過巨、需時過久」,也可不予刪除。

 專家解說  臺北地方法院檢察署主任檢察官張紹斌:

第3條規定個人對於個人資料相關的權利,增加企業要告知當事人應該具有的權利,包括查詢或請求閱覽、請求製給複製本、請求補充或更正、請求停止蒐集處理或利用及請求刪除等5個權利,且這些權利都不得預先拋棄或以特約限制。

其中,根據施行細則草案第6條規定,請求個資刪除的權利,指的是將已儲存的個人資料,自個人資料的檔案中消失。如果要作為事後查核、比對或證明所需要留存軌跡資料者,可以不予刪除。但是,軌跡資料本身就不是個人資料,當然不在刪除的範圍內,這應該是屬於將稽核、鑑識和資安植入施行細則的規定。

 

第6條

有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:

        一、法律明文規定。

        二、公務機關執行法定職務或非公務機關履行法定義務所必要,且有適當安全維護措施。

        三、當事人自行公開或其他已合法公開之個人資料。

        四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且經一定程序所為蒐集、處理或利用之個人資料。

前項第四款個人資料蒐集、處理或利用之範圍、程序及其他應遵行事項之辦法,由中央目的事業主管機關會同法務部定之。

 

 專家解說  理律法律事務所合夥律師曾更瑩:

第6條第1項有6款關於可以蒐集、處理和利用敏感性個資的規定,因為第6條第1項第2款規定的「公務機關執行法定職務和非公務機關履行法定義務」的定義,比較容易模糊不清。

因此,律師在建議企業評估是否可以蒐集、處理和利用敏感性個資時,主要都以符合第6條第1項第1款、第3款和第4款的規定為主。

第6條第1項第3款、第9條第1項第2款和第19條第1項第3款,是允許合法進行個資蒐集、處理和利用的規定條文,都是用來規範「當事人自行公開或其他以合法公開之個人資料」。

但以律師的角度而言,什麼是「當事人自行公開」又或者什麼是「其他合法公開」的個人資料,在條文中,都沒有明確的說明或定義,例如,公布在臉書上的資料,到底算不算自行公開或合法公開,未來仍有賴法院案例的累積,強化這條條文的規定。

 

第7條

第15條第2款及第19條第5款所稱書面同意,指當事人經蒐集者告知本法所定應告知事項後,所為允許之書面意思表示。

第16條第7款、第20條第1項第6款所稱書面同意,指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之書面意思表示。

 

 專家解說  達文西個資暨高科技法律事務所主持律師葉奇鑫:

第7條規定「書面同意」的定義,但並不是所有的個資蒐集、處理和利用都要書面同意,這是一大誤解。

 專家解說  臺北地方法院檢察署主任檢察官張紹斌:

第7條和施行細則草案第11條規定,「書面意思表示」指可依照電子簽章法的規定,「書面同意可以電子文件為之」。但為了降低電子簽章法嚴格的電子簽章的程序,也可採用「契約約定」方式,取代書面同意。意即,只要是加入會員才能提供服務者,便可用同意取代契約,用契約排除書面同意。

不過,根據施行細則草案第12條規定,所有的書面同意都必須做到「單獨的書面」以表示同意之意,「如係與其他意思表示於同一書面為之者,應於適當位置使當事人得以知悉其內容後並確認同意。」絕對不只是一個方框,供個資當事人打勾而已。

 

第19條

非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:

        一、法律明文規定。

        二、與當事人有契約或類似契約之關係。

        三、當事人自行公開或其他已合法公開之個人資料。

        四、學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。

        五、經當事人書面同意。

        六、與公共利益有關。

        七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。

蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。

 

 專家解說  理律法律事務所合夥律師曾更瑩:

第19條第1項第3款、第9條第1項第2款和第6條第1項第3款的條文,都規定「當事人自行公開或其他已合法公開之個人資料」可以合法的蒐集、處理和利用,但是什麼是「自行公開」就法條上的規範並不明確,未來仍仰賴更多的案例累積,進一步解釋「自行公開」的範圍究竟有多寬或多窄。

第19條第1項規定7款非公務機關可以蒐集個資的特定目的,例如,企業舉辦贈獎活動時,為了要達到贈獎目的所留的個人資料,只能用於贈獎活動之使用,不無限擴大該次個資蒐集的特定目的。

依據現行「電腦處理個人資料保護法」規定101項各行各業適用的特定目的,企業對個資的蒐集、處理和利用都不得逾越相關規定;新版個資法目前雖仍待主管機關制定特定目的,但在主管機關完成制定程序前,90%個資蒐集的特定目的,應該都是為當次的活動所做的個資蒐集、處理和利用,不應該無限制的擴大個資的使用範圍。

 專家解說  臺北地方法院檢察署主任檢察官張紹斌:

第6條、第9條、第19條和細則草案第13條都規定「當事人自行公開」,根據大法官釋字第52號解釋,只要是當事人自己針對不特定第三人公開的資料,就是自行公開。但對於臉書上所公開的資料,是否算是自行公開,仍有爭議。

 

第21條

非公務機關為國際傳輸個人資料,而有下列情形之一者,中央目的事業主管機關得限制之:

        一、涉及國家重大利益。

        二、國際條約或協定有特別規定。

        三、接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞。

        四、以迂迴方法向第三國(地區)傳輸個人資料規避本法。

 

 專家解說  理律法律事務所合夥律師曾更瑩:

個資在國際上進行傳輸的部分,是臺灣企業IT部門可以多所著力的地方。

不過,根據第21條第1項第3款規定,對於其他個資保護機制不夠完善的國家,企業若要進行個資的國際傳輸時,應該要特別留意中央目的事業主管機關對於傳遞國家是否有疑慮,若有,盡可能不要對該國進行個資傳輸。

 

第22條

中央目的事業主管機關或直轄市、縣(市)政府為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時,得派員攜帶執行職務證明文件,進入檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。

中央目的事業主管機關或直轄市、縣(市)政府為前項檢查時,對於得沒入或可為證據之個人資料或其檔案,得扣留或複製之。對於應扣留或複製之物,得要求其所有人、持有人或保管人提出或交付;無正當理由拒絕提出、交付或抗拒扣留或複製者,得採取對該非公務機關權益損害最少之方法強制為之。

中央目的事業主管機關或直轄市、縣(市)政府為第一項檢查時,得率同資訊、電信或法律等專業人員共同為之。

對於第一項及第二項之進入、檢查或處分,非公務機關及其相關人員不得規避、妨礙或拒絕。

參與檢查之人員,因檢查而知悉他人資料者,負保密義務。

 

 專家解說  臺北地方法院檢察署主任檢察官張紹斌:

關於第22條行政監督的部分,主管機關和地方政府可以隨時檢查,主管機關沒有足夠的人力時,還可以委外給外面的獨立機構檢查。

這是IT產業可以經營的一門生意,除了當成被主管機關檢查的對象,也可以作為檢查別人的對象,執行不遵守個資法行為規範的行政裁罰。

 

第27條

非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。

中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。

前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。

 

 專家解說  理律法律事務所合夥律師曾更瑩:

第27條第1項規定,非公務機關保有個人資料檔案者,應該採行適當之安全措施,但是什麼樣的安全措施才是適當的,不只要視當時的科技技術水準而定,還要依賴法官的自由心證,還判定非公務機關所執行的安全措施,是否適當,以及是否盡了足夠的注意義務。

 專家解說  達文西個資暨高科技法律事務所主持律師葉奇鑫:

第27條規定,非公務機關保有個人資料者,應該採行適當之安全措施,應該同時參考施行細則草案第9條規定,總共有11項可參考的安全措施。

包括第9條第1項「成立管理組織,配置相當資源」應該由組織高層負責,第9條第2項「界定個人資料的範圍」、第9條第7項「認知宣導及教育訓練」和第9條第11項「個人資料安全維護之整體持續改善」可以由IT部門和其他包括法務與業務部門一起執行。

第9條第3項「個人資料之風險評估及管理機制」、第9條第4項「事故之預防、通報及應變機制」、第9條第5項「個人資料蒐集、處理及利用之內部管理程序」、第9條第6項「資料安全管理及人員管理」、第9條第8項「設備安全管理」、第9條第9項「資料安全稽核機制」和第9條第10項「必要之使用紀錄、軌跡資料及證據之保存」等項目,全部都是IT部門的工作項目。

 專家解說  臺北地方法院檢察署主任檢察官張紹斌:

根據第27條規定的施行細則草案第9條第1項~第9條第11項,多可由IT部門負責。

 

第28條

公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限。

被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。

依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。

對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者,以該所涉利益為限。

同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。

第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者,不在此限。

 

第29條

非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。

依前項規定請求賠償者,適用前條第二項至第六項規定。

 

 專家解說  臺北地方法院檢察署主任檢察官張紹斌:

第28條和第29條在規範個資法的損害賠償責任,由於個資不能獲得適當的保護是一種對「人格權」的侵害,若有財產實際損失,以實際的財產損失計算;若是非財產上的損失(精神損失),因為難以估算,法律制定賠償標準為500元~20,000元。

其中,第28條規定公務機關損害賠償責任,因為是負擔「無過失責任」,除非是不可抗力因素,都應負全責。公務員唯一能做的就是「舉證免責」,證明自己有落實個資保護的作為。

所以公務機關對組織內所擁有的個資,會採用個資公告的方式。

 

第50條

非公務機關之代表人、管理人或其他有代表權人,因該非公務機關依前三條規定受罰鍰處罰時,除能證明已盡防止義務者外,應並受同一額度罰鍰之處罰。

 

 專家解說  臺北地方法院檢察署主任檢察官張紹斌:

新版個資法加重法人的負責人和非法人之代表人和管理人對個資保護的責任,這是「兩罰制」,公司被罰一遍,公司代表人或管理人受到同樣的處罰,並不是公司代表人或管理人負起個資保護不周的「連帶責任」。

 

第51條

有下列情形之一者,不適用本法規定:

        一、自然人為單純個人或家庭活動之目的,而蒐集、處理或利用個人資料。

        二、於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料。

公務機關及非公務機關,在中華民國領域外對中華民國人民個人資料蒐集、處理或利用者,亦適用本法。

 

 專家解說  達文西個資暨高科技法律事務所主持律師葉奇鑫:

第51條規定不適用個資法的除外情況,也強調只要是對不特定多數公開的個人資料,包括公開場所的活動資料等,都可不適用個資法。

 

第54條

本法修正施行前非由當事人提供之個人資料,依第九條規定應於處理或利用前向當事人為告知者,應自本法修正施行之日起一年內完成告知,逾期未告知而處理或利用者,以違反第九條規定論處。

 

 專家解說  理律法律事務所合夥律師曾更瑩:

第54條規定,若使用間接蒐集的個資,在處理或利用前,應該要告訴當事者徵求其同意。由於該法的規定對多數企業都窒礙難行,除了行政院未來可修法外,非公務機關應該回頭審視這些間接蒐集的個資,是否可以有成立合約關係。假若有合約關係,就可以透過成立合約,達到免告知當事人的個資處理和利用。

 


相關報導請參考「快速了解個資法」


熱門新聞

Advertisement