個資法施行細則擬11月25日公布

法務部法律事務司司長周志榮表示，6月將完成個資法施行細則草案送交行政院審查，預計11月25日公布新版個資法施行細則，屆時，行政院也會發布適用時程。此外，法務部也將於該日同步公布個資法規定連帶修訂的子法，包括個資法第六條第二項法規命令、第廿七條第三項法規命令，及修正個人資料的特定目的與個人資料類別。

新版個資法施行細則有幾大修正重點。周榮志指出，首先是要兼顧個人資料保護與合理利用，例如，間接識別個人資料就必須做到匿名處理、編碼加密以及碎片化，讓相關個人資料無法直接或間接識別個人身分。至於，對於業者收集個資的告知異議上，對於以往間接收集並沒有告知的個資擁有者，都必須補行告知義務，各部會對於施行細則應該規範如何公告的方式，意見看法不一，在避免增加業者負擔並達到保護個人資料合理使用的前提下，這仍是施行細則討論的重點項目。

新版個資法通過後，受委託人如果有外洩個資，委託人將負起全部責任。周志榮建議，施行細則建議委託人與被委託人之間的委託契約應該明確制定，內容應該包括個資範圍、類別、特定目的、期間、受委託人的個資保護措施、再委託的約定、受委託人的定期報告義務、委託關係終止或解除的資料返還與資料刪除，以及委託者行政監督義務等。

再者，施行細則對於醫療、基因和健康檢查概念也會清楚界定。周志榮表示，對於敏感性資料的使用，即使個人同意也不得蒐集、處理和利用，公務機關執行法定職務或非公務機關履行法定義務前，對於相關的敏感性資料都必須有適當安全維護措施才能使用。

周志榮表示，許多網路與社交媒體，例如臉書的發達，都促使歐盟預計今年將要大幅度的修法，臺灣在制定新版個資法時，也特別著重人格權與個人資料合理利用的平衡點。

除此之外，周志榮說，法務部也同時修訂其他的子法與配套措施，各機關將針對特種資料使用訂定相關法規命令。對於其他擁有大量個人資料的產業，各目的事業主管機關也要訂定安全維護管理計畫與終止；此外，也將由各機關修正個人資料的特定目的與個人資料類別。周志榮表示，上述的配套措施都將預計於11月25日完成修訂公告。

隨著新版個資法施行細則的進展，經濟部商業司委由資策會科技法律研究所研擬一套「臺灣個人資料保護與管理制度（TPIPAS）」，預計在今年內，免費協助10家電子商務業者，導入並建置個人資料管理制度與規範，通過驗證後，就可以取得「個人資料隱私保護標章」（DP Mark）。不過，今年試辦階段仍以電子商務業者為主，其他產業將視各目的事業主管機關規定，是否採納此一制度與標章規範。

資策會科技法律研究所代主任邱映曦表示，企業導入臺灣個人資料保護與管理制度後，就可以向第三方驗證單位申請取得「個人資料隱私保護標章」，該標章有效期間2年，企業必須於效期屆滿之前，向授證機構（目前為經濟部商業司）提出申請；若取得標章的企業發生個資外洩的事故，授證機構可以暫停或取消此一標章。文⊙黃彥棻