個資法細則出爐，告知與書面同意2大限制放寬

▲法務部發布新聞稿宣示，新版個資法施行細則將於10月27日～11月9日期間，進行為期14天的草案預告，蒐集各界意見。

新版個資法施行細則草案日前出爐，從10月27日到11月9日期間，進行14天的草案預告。法務部法律事務司副司長鍾瑞蘭表示，預告期是為了蒐集各界對於細則草案的看法，回覆意見若不需召開專家會議，將如期將個資法施行細則送交行政院審查。

新版個資法於2010年5月26日由總統修正公布後，法務部為了草擬施行細則，已召開多次公聽會及專家會議。由於新版個資法適用所有行業，不論是電子或者是紙本個資也都在該法的適用範圍之內，再加上2億元的高額罰鍰，以及一般公司負責人需負連帶罰責，都讓臺灣企業莫不戰戰兢兢、審慎面對新版個資法帶來的衝擊。

由於新版個資法對個資的蒐集、處理、利用等，都有相當嚴謹的條文規範，許多企業期望施行細能讓實務上窒礙難行之處，有鬆綁的空間。其中，最為企業關注的就是告知義務與書面同意的執行方式。

根據目前出爐的新版個資法施行細則草案版本，可以看出細則中，對於告知義務的方式採用寬鬆的認定標準。至於書面同意可以採用電子文件表示時，原本企業擔心必須要採行數位簽章或憑證，而經濟部商業司也已回覆法務部，根據電子簽章法的精神，企業取得書面同意時，能以電子文件的形式表示，除特定情況需要數位簽章外，其餘的電子文件形式，只要企業自負舉證責任即可採用。

告知義務的作法放寬，一對一告知才是重點
新版個資法第54條規定，非公務機關對於先前間接收集、未告知當事人的個資利用，在新版個資法修正施行之日起，必須在1年內完成告知義務；如果逾期未告知當事人便加以利用個資時，將按次處新臺幣2萬元以上、20萬元以下罰鍰。

由於罰則是按次計算，讓許多企業都不敢掉以輕心。至於何種告知方式可以符合法規規定，又不至對企業在營運上，造成太大衝擊，法務部的施行細則草案版本，對於企業應盡的告知義務，採取較為寬鬆的認定。新版個資法施行細則第13條便明訂，「告知之方式，得以書面、電話、傳真、電子文件或其他適當方式為之。」

由於科技越來越進步，鍾瑞蘭認為，企業只要能夠做到「一對一」的告知，不應該限制告知的方式或型態，包括網站的契約規範、電子郵件、簡訊、MSN，甚至使用手機App軟體告知，例如WhatsApp等，這些都可以滿足一對一告知當事人的規定。

不論採何種告知方式，企業需自負舉證責任
鍾瑞蘭也提醒，雖然施行細則所規範的告知方式相當寬鬆，企業採用何種告知方式，還是必須要自負舉證責任。也就是說，企業在進行各種對當事人的告知義務時，都必須留存所有的軌跡記錄，證明企業的確已經盡到告知之責。

先前曾有企業提議透過「公告」的方式來進行告知，但在此次預告的施行細則草案中，並未納入公告的方式。鍾瑞蘭認為，公告的風險很高，目前沒有一個共通的平臺可以提供企業公告之用，企業想要利用間接蒐集的個資，以公告方式進行告知時，也可能揭露當事人不願被公開與該企業互動關係的訊息。為了做到避免人格權被侵害，並促進個人資料合理利用，鍾瑞蘭表示，這種事後追溯的告知方式，還是必須要能夠做到一對一的告知。

曾經擔任檢察官的電子商務業者飛翔駱駝執行長葉奇鑫表示，拿掉企業原本期待的「公告」方式，主要還是因為母法強調要個別通知當事人，在子法不得逾越母法的前提下，企業的期待勢必落空。

蒐集者與當事人同意，可用電子文件表示書面同意
由於新版個資法嚴格規範書面同意的意涵，必須符合當事人經蒐集者告知新版個資法所定的應告知事項，或者是經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後，所做的書面意思表示，才符合該法所規範的書面同意。嚴格的書面同意規範，讓許多企業擔心，取得當事人書面同意的方式，將增加企業營運的成本。

許多企業則寄望這樣新版個資法規範的書面同意，可以改採成本較為節省的電子文件方式呈現；但這種電子文件的呈現，卻又面臨電子簽章法的規範，必須符合憑證或數位簽章的規定。

便有電子商務業者直言，一旦這種書面同意採電子文件方式表示，必須要有數位簽章或憑證才能符合法律規範，對於企業的實務運作，有高度的窒礙難行之處。他說，若以有800多萬用戶的集保公司為例，倘若書面同意不能採用電子文件方式的話，該公司光是取得當事人書面同意的成本，至少要花3億元以上。

為了解答多數企業的疑惑，鍾瑞蘭表示，施行細則在第11條明白規定，書面意思的表示方式，只要內容可完整呈現，且可以供日後查驗，經蒐集者與當事人同意後，可以採用電子文件的方式。

由於經濟部商業司是電子簽章法的主管機關，面對新版個資法施行細則對於書面同意的電子文件表現方式，經濟部商業司7科也於10月27日發公文給法務部，提供主管機關對於法規解釋的內涵供法務部參考。

經濟部商業司7科科員杜水龍表示，根據電子簽章法第4條的精神，只要這些代表書面同意的電子文件內容可以完整呈現，並可於日後取出供查驗者，經相對人同意，都可以採用電子文件的方式作為書面同意所需。他說，只有根據電子簽章法第9條規定，依法令規定應簽名或蓋章者，經相對人同意，才需要提供電子簽章。

杜水龍舉例表示，如果企業要獲得當事人對個資特定目的外利用的書面同意，只要當事人同意採用電子郵件的方式，企業便可以透過電子郵件方式，詢問當事人的意願。他說，此時，企業只需要能夠證明該封徵詢當事人同意的電子郵件，有具體收發對象、時間、主旨和內容，並能做到完整存檔和呈現，也可供日後取出查驗外，當事人的書面同意就可以採用這類電子郵件的電子方式表示。書面同意必須明顯獨立標示，避免混淆不清

▲法務部法律事務司副司長鍾瑞蘭表示，新版個資法施行細則草案中，也衡量企業能力和現行的IT技術水準，在識別個資時，技術上太複雜及經濟上不可行者，都可以視為無法識別的個資。

許多人在填寫各式各樣的同意書時，對於授權企業如何處理個資的選項，往往混雜在密密麻麻的字海中。鍾瑞蘭表示，新版個資法施行細則第12條便明訂，單獨所為的書面意思表示方式，如果和其他意思表示的內容，都載明在同一書面者，企業應於適當位置，使當事人得以知悉其內容後並確認同意。

她指出，為了保障當事人的合理授與企業運用其個資的權利，企業在提供各種定型化契約時，針對當事人所進行的各種個資蒐集、處理或利用，都必須要是單獨的意思表示。

也就是說，企業在提供當事書面人同意個資處理的方式時，必須是使用不同的紙張，或者是將當事人同意的區塊特別獨立標示出來，讓當事人一眼就清楚看到同意或不同意授與企業處理個資的意思表示區塊。鍾瑞蘭說，以往的定型化契約會將同意的欄位，混雜在繁雜文字的形式中，藉此混淆視聽，但這樣的作法，都不符合施行細則確保當事人個資使用權利的精神。

此外，新版個資法也賦予當事人拒絕企業利用其個資進行行銷的權力。新版個資法第20條第2項和第3項便規定，非公務機關利用個人資料行銷者，當事人表示拒絕接受行銷時，應即停止利用其個人資料行銷；且非公務機關於首次行銷時，應提供當事人表示拒絕接受行銷之方式，並支付所需費用。鍾瑞蘭表示，對於非公務機關針對當事人的行銷手法，非公務機關應該要提供給當事人免費拒絕行銷的管道。

遠傳電信發言人高治華表示，該公司的確有觀察到，有越來越多的消費者逐漸願意接受企業異業結盟夥伴提供的消費資訊，但對電信業者而言，要如何做到確保消費者的個資安全，又能充分提供合作夥伴的優惠資訊，也是目前遠傳電信在進行各種個資保護作為時的重要任務。

Log檔案也是個資，定義間接識別個資標準
新版個資法施行細則第5條規定，個人資料檔案包括備份檔案及軌跡資料。所謂的軌跡資料則是指，個人資料在蒐集、處理、利用過程中，所產生非屬於原蒐集個資本體的衍生資訊（Log Files），包括（但不限於）當事人的帳號、存取時間、設備代號、網路IP位址等等。鍾瑞蘭說，這也是第一次將軌跡資料納入個資法保護的範圍中。

鍾瑞蘭表示，在召開施行細則專家討論會議時，有納入資訊專家的建議，認為許多的Log資訊，加上其他的參考檔案，還是可以回推當事人的身分。因此，施行細則對於企業在蒐集、處理、利用和儲存個人資料時，所產生的備份與Log資料，都視為個資的一部份，企業必須妥善加以保護。

此外，法務部法律事務司科長黃荷婷則強調，個資法的精神在於保護可供識別的個人資料。根據施行細則第3條規定，以間接方式識別的個資，是指該個資必須和其他資料作對照、組合、連結等，才能識別該特定對象的個資，屬於間接識別的個資。

黃荷婷舉例，若個別欄位無法直接識別出當事人，例如不規則的英文和數字組成的電子郵件，可以視為無法直接識別的個資；但若這些無法直接識別的個資，可以透過交叉和組合比對個資時，這些個資仍可視為間接可識別個資。

由於許多產業規模大小不一，所擁有的個資數量也不一樣，鍾瑞蘭坦言，不可能有一個標準適用全部的公務機關與非公務機關。所以，在施行細則中第3條、第14條和第18條也特別強調，如果在進行個資比對的過程中，會遭遇到「比對困難」、「耗費過鉅」及「需時過久」等問題，屬技術上太複雜及經濟上不可行，也可以視為無法識別的個資。

企業可按PDCA作法落實安全維護措施
新版個資法第18條和第27條規定，保有個資的公務與非公務機關，應該有適當的安全維護措施，以防止個人資料被竊取、竄改、毀損、滅失或洩漏。

施行細則第9條則明訂，安全維護措施或事項的基本內涵有11點，包括：成立管理組織，配置相當資源；界定個人資料之範圍；個人資料之風險評估及管理機制；事故之預防、通報及應變機制；個人資料蒐集、處理及利用之內部管理程序；資料安全管理及人員管理；認知宣導及教育訓練；設備安全管理；資料安全稽核機制；必要之使用紀錄、軌跡資料及證據之保存；個人資料安全維護之整體持續改善

面對明訂的11項必要措施，黃荷婷建議企業以P、D、C、A的方式，來釐清並區隔出企業應該承擔起的責任。

黃荷婷指出，「成立管理組織、配置相當資源」、「界定個人資料之範圍」、「個人資料之風險評估及管理機制」和「事故之預防、通報及應變機制」則屬於企業的規畫（P）之責。而「個人資料蒐集、處理及利用之內部管理程序」、「資料安全管理及人員管理」、「認知宣導及教育訓練」和「設備安全管理」則是企業必須要負擔的執行（D）之責。

至於安全維護措施中規定的「資料安全稽核機制」、「必要之使用記錄、軌跡資料及證據之保存」等，都是企業應負的稽核（C）之責；而「個人資料安全維護之整體持續改善」則屬於企業應該承擔的矯正（A）之責。

葉奇鑫認為，施行細則試圖解決母法中未盡詳細說明之處，包括放寬告知義務和書面同意的作法，以及明訂安全維護措施的具體內容，都有助於企業做好個資保護。不明定何謂公共利益
鍾瑞蘭表示，目前多數人希望施行細則能夠詳加說明的部分，仍與新版個資法通過時，多數人的疑慮雷同，最主要仍是公共利益的界定。

她進一步說明，因為公共利益是不確定的法律概念，會因為產業別和應用的不同，而有不同的界定，若以人肉搜索為例，是否違法還是得看這樣的人肉搜索是否符合公共利益而定。因此，法務部在召開新版個資法施行細則制定的會議中，多數專家仍傾向不界定公共利益的意涵與判斷標準，避免窄化了公共利益的範圍。

憂員工外洩個資刑責過重
新版個資法施行細則進行草案預告，有許多企業表示，還在進行內部評估中，是否對於原先的個資保護作法造成衝擊，有不少業者表示還不便表示意見。像是中華無店面零售業協會副秘書長柏幼林則表示，該單位也正發函給相關會員，彙整相關意見中。

而針對新版個資法第41條規定，違反個資保護規範者，將處2年以下有期徒刑、拘役或科或併科新臺幣20萬元以下罰金。若有意圖營利者，則處5年以下有期徒刑，得併科新臺幣100萬元以下罰金。由於民刑事罰則比現行法重，企業很緊張。

葉奇鑫認為，新版個資法對外洩個資的罰則，定義過於粗糙，有許多個資外洩或意圖營利，可能是員工承上命執行，受命執行的員工或許不知道該作為已經違反個資法規範，而需負起相關的刑責，葉奇鑫表示，這對於企業內的基層員工會造成較大風險。

黃荷婷表示，若是主管授意員工執行外洩或販售個資，對於外洩個資或意圖營利的行為人所需要承擔的刑責，除了看是誰外洩或販售個資外，對於授意的主管除了是共同正犯外，若是具有教唆或幫助犯的意圖，也需承擔相同的刑責。

除了刑事責任外，新版個資法中也規定，企業負責人對於企業外洩個資，除了能證明已經負起監督之責，也需負連帶民事賠償責任。葉奇鑫指出，對企業而言，不論是導入何種個資管理規範或措施，如果無法提供一個可行的參考規範，可以降低企業損害賠償責任的話，無法提高企業保護個資的動力。

葉奇鑫引述一場個資座談會中對185家與會企業所做的問卷調查結果，其中有80家企業具名表示，企業導入個資管理制度，無法確保個資不會外洩，仍然要面臨高額民事損害賠償風險，是企業導入相關管理制度時，面臨的最大瓶頸。也就是說，如果企業個資保護的作法沒有一個參考指南做為基準，不論做到什麼樣的保護程度都必須受罰，將大幅降低企業落實個資保護的動力。

視回覆意見而定，才知11月底是否如期送行政院
新版個資法施行細則草案共28條，從2010年6月到12月底，蒐集各界對施行細則的建議，並於今年2月召開專家會議，就施行細則條文進行研究討論，前後總共召開17次會議，並進行3遍草案條文的討論。

葉奇鑫認為，施行細則出來後，即便之後仍有修改，但也意味著企業如果還沒開始著手個資盤點等個資保護措施的企業，已經到箭在弦上、不得不發的時候了。

勤業眾信副總經理萬幼筠表示，施行細則出爐後，大致符合多數人原本的期待，但該條法律執行面的重點在於，企業要花多少錢，以及要怎麼做才能落實新版個資法的規範。他認為，企業法規遵循的程度，往往與各目的事業主管機關的管理強度有關，如果有第一起以新版個資法起訴的案例，對企業才是更有力的驅動力。

鍾瑞蘭說，如果各界對於施行細則回饋的意見不多，無須召開專家會議進行討論審查時，有可能如預期在11月底前，送交行政院進行審查；但若各界反映意見太多，為了完善施行細則，勢必得在召開專家會議，相關的時程將可能往後順延。

在完成施行細則草案的預告後，鍾瑞蘭表示，新版個資法第6條第2項規定，針對特種資料的蒐集、處理和利用，法務部和各機關都必須制定相關的子法；另各目的事業主管機關也必須根據第27條第3項規定，制定個人資料檔案安全維護計畫及處理方法標準等相關辦法。文⊙黃彥棻

個資法施行細則草案重點