圖片來源: 

iThome

法務部正在緊鑼密鼓研擬新版《個人資料保護法施行細則》,法務部法律事務司科長黃荷婷表示,預計到8月底,各部會機關可以完成對施行細則的修改建議,接下來的9月、10月為一期,進行第一階段會議;11月、12月為一期,進行第二階段會議,預計在2011年,可以完成第三階段公聽會。屆時,距離施行細則公布的時間就更接近了。

看著政府公告施行細則的時程一天天接近,對於企業而言,這也意味著,企業面對新版個資法衝擊的日子也一天天逼近。

黃荷婷預估:「依照目前的時程安排,行政院最晚在1年或1年半後,公布完整施行細則後,新版個資法也將接著公告施行日期。」她認為,多數企業不能再以為新版個資法距離自己還很遙遠,如果要真正因應新版個資法對企業造成的衝擊,並有充裕時間將這一些衝擊降到最低,現在正是開始著手因應新版個資法的時候。

所有機關企業都受新版《個人資料保護法》規範

舊版《電腦處理個人資料保護法》的規定,主要是規範公務機關,以及包括徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業等八大行業以及其他指定適用的行業,在處理經電腦處理的個人資料時,受到該法的規範;至於,其他的非公務機關,都不受該法限制。

但新版《個人資料保護法》刪除行業別的適用限制,也就是說,每一個公務機關、非公務機關和接受委託的機關企業以及個人等,對於所擁有的個人資料的蒐集、處理和利用等,都必須受《個人資料保護法》的規範。

勤業眾信(Deloitte)會計師事務所副總經理萬幼筠指出,這一波新法施行適用的影響,對於公務機關影響較小,因為多數公務機關都是依法行政,若因此造成個資外洩或不當使用,可以直接循國賠途徑求償,若是公務員瀆職造成當事人個資外洩或不當使用,政府也可以向該公務員求償以填補國賠的金額。

但是,「新法施行後,受到衝擊最大的就是,先前沒有納入舊版《電腦處理個人資料保護法》的所有非公務機關,包括自然人、法人或其他團體等。」萬幼筠說,非公務機關公司大小和營運規模差異甚大,擁有的個人資料不一樣,連可能遺失個人資料甚至因此造成當事人損失的方式也不一樣,一旦成為新版《個人資料保護法》規範的對象,只要擁有1筆以上的個人資料,就必須遵照該法蒐集、處理、利用、傳輸甚至刪除的規範,否則,還有民、刑事的懲罰,對企業影響層面甚巨。

黃荷婷指出,新法通過後,公部門要制訂各機關個人資料保護政策,明確保護個人資料自主決定權,以及保護個人資料合理流通,並且制訂各目的事業主管機關,所發布事業的個人資料保護標準指針(Guidelines )。對於私部門而言,則要依據政府公布的施行細則或個資保護指南等規範,制訂個人資料保護政策及遵守相關法令要求。

個資使用或目的變更,必須告知當事人

國巨律師事務所合夥律師朱瑞陽表示,以前企業對於個人資料的使用沒有任何強制規範,只有舊版《電腦處理個人資料保護法》規範經過電腦處理過的個人資料的處理方式,甚至,擁有個人資料的公務機關和非公務機關,只要不販賣所擁有的個資、企圖營利,即使是非法擁有個人資料也沒有罪。

但是,最快在2011年新版《個人資料保護法》公布施行後,所有的個人資料,不論其存放的媒介與形式為何,只要是能夠辨別個人身分的個人資料,例如姓名加上手機號碼,或者是姓名加上身分證字號等2個以上,能夠辨識個人身分的個人資料組合,企業對相關個資的使用,就必須事先告知並獲得當事人的書面同意。

朱瑞陽表示,公務機關和非公務機關直接向當事人蒐集個人資料,或者是透過間接蒐集資料的方式取得當事人的資料時,都必須依照法條規定,告知當事人相關蒐集目的、機關企業名稱及個資使用方式等。他說,但若是間接蒐集個資,除了法律規定和公務執行等規定外,新聞媒體則可以基於新聞報導的公益目的去蒐集個人資料。

新版個資法當中也明文規定,公務機關或非公務機關因為違反規定,導致當事人個人資料外洩或遭不當使用,機關企業都應該在查明後,以適當方式通知當事人。也就是說,機關企業未來若有個資外洩相關事宜,都必須主動告知當事人。

此外, 新版《個人資料保護法》擴大保護客體,納入人工紙本資料,萬幼筠說,新法的規範則解決以往個資外洩,只要不及於電腦處理,及不適用舊版《電腦處理個人資料保護法》甚至無罪的怪現象。

根據北檢檢察官統計,依照《電腦處理個人資料保護法》起訴成功率只有15%,許多詐騙事件的犯罪首腦,因為事先銷毀電腦內的資料,只剩下紙本資料,罪責最後只剩下不當得利、妨害秘密罪等刑責較輕的罪。等到新法施行適用後,不論電子或紙本的個資外洩,都受到該法規範,就不會出現上述詐騙案件成功起訴的機率偏低的怪現象。

個資使用必須獲得書面同意

所有公務或非公務機關對當事人個人資料的蒐集、處理或利用,按照新法規定,都必須獲得當事人書面同意。「當事人書面同意是非常嚴謹的同意標準,」萬幼筠說,主要是讓當事人有充裕的時間,可以審慎評估是否同意個人資料被使用,這同樣也是一種人權保障的作為。

黃荷婷表示,嚴謹的書面同意對企業而言,當事人同意難度大為提升,另外也可能透過契約或類似契約的方式,作為另外一種書面同意的意思表達。另外,如果可以符合電子簽章法的法律效力,也同樣符合書面同意的規範。

除了蒐集個資前,必須徵得當事人的書面同意外,若原本蒐集個資的目的變更,按照新法規定,也必須徵得當事人的同意。例如,企業原先蒐集個資目的是A,後來要變更為B目的時,機關企業就必須告知當事人並徵得當事人的書面同意,才能在變更蒐集目的後,繼續使用該個資。

在新法中也規定,機關企業對蒐集、處理或利用的個人資料,只要經過當事人書面同意,非公務機關可以利用個人資料進行相關的行銷目的,但只要當事人表示拒絕接受行銷時,企業就應該立即停止利用當事人的個人資料行銷。《個人資料保護法》法條中也明文規定,非公務機關進行首次行銷時,也應該供當事人表示拒絕接受行銷的方式,企業也應該支付當事人拒絕行銷所需支付的費用。

新增敏感性個資類別

新版《個人資料保護法》除了舊版就有的一般個人資料,指自然人的姓名、出生年月日、國民身分證統一編號、特徵、指紋、婚姻、家庭、教育、職業、病歷、聯絡方式、財務情況、社會活動等,也將護照號碼列為一般個人資料項目中,更新增敏感性個資的資料類別。

敏感性個資包括:醫療、基因、性生活、健康檢查、犯罪前科等5項資料。這5項敏感性個資,除了法律明文規定,或者基於公務執行、學術研究且無法識別個人身分等前提下,可以做相關的蒐集、處理或利用外,即使是當事人同意,一般的公務或非公務機關都不能蒐集、處理或利用。

萬幼筠也說,以往有些企業會要求員工提供良民證,證明沒有犯罪記錄,或者是,掌握員工健檢報告、了解員工健康狀況等情況,基於新版《個人資料保護法》的規範,未來所有的機關企業,除基於法律規範的前提下,都不得跟客戶、員工和第三者合作夥伴蒐集上述的敏感性個資。

主管機關和地方政府皆有權查核企業個資使用狀態

新版個資法規定,包括中央目的事業主管機關或者是直轄市、縣市政府,為了確定企業是否有個資外洩或不當使用個資的情況下,都可以率同資訊、電信或法律等專業人士,都可以攜帶職務證明文件,進入企業作檢查的規定表達擔心之意。

電子商務業者Payeasy公共事務推廣部協理陳中興表示,新版《個人資料保護法》規定,只要是主管機關對於企業個資使用狀況有疑慮,都可以派員進入公司查核,這也意味著,未來在個資使用狀況的查察上,多數企業都會面臨有2個以上有權查核的機關到場稽查。他擔心,「這種公公婆婆主管機關都有權查核企業的個資使用狀況,將可能對機關企業的正常營運造成影響。」

萬幼筠則說,根據該法規定,包括中央目的事業主管機關或地方政府都有權派員對企業進行個資安全的檢查,這也意味著,政府將資料保護查察措施的權力,擴及到非司法警察機構。萬幼筠提醒,根據地方自治的精神,民選首長必須對選民負責,如果出現民選首長為了為民眾謀福利,積極行使地方政府對企業查察資料保護作為的權力,對於企業營運將造成一定程度的衝擊。

黃荷婷表示,以行政機關而言,類似的個資檢查不會出現主管機關或地方政府爭相主動請纓對企業進行個資檢查,最終會推派單一機關行使資料保護措施的權力。根據個資法第22~26條,將規定行政機關規定執行檢查、扣留或複製的權限,期待能發揮執行效率;對於接受委任或委託執行事務而知道他人資訊的執行者,也都應該肩負起個資保密的責任。

建立團體訴訟機制

從資料的蒐集、處理或利用、傳遞到刪除的生命周期來看,萬幼筠坦言,目前新版《個人資料保護法》中,對於資料刪除的部分提及不多,仍需要透過施行細則來補充。

所有的資料保存都有生命周期,而企業對於個資的擁有和使用,在新法中雖然沒有明確規定,依照法條規定,損害賠償期限自損害發生起5年內,或得知受損害的2年內,受損害的當事人一定要進行求償,否則,將喪失求償權力。企業對於個人資料的保存責任雖然是永久的,但若針對法律上規範企業保存個資的年限訂於「受損害事件發生的5年內」,萬幼筠指出,這也意味著,企業若要永久保存的個人資料,要承擔個資外洩的風險越高。

新法為了促進民眾參與,新增條文中,設立了「團體訴訟」的機制。根據立法意旨說明,為了便利被害民眾能行使《個人資料保護法》相關法律求償規定,也鼓勵民間公益團體能參與個人資料的保護,便增訂團體訴訟的相關規定,發揮民間團體的力量,做到個人資料保護的工作。

有些IT主管便感憂心,政府為了便民而開團體訴訟的大門,容易造成訟棍和濫訟的情形,但黃荷婷認為,能夠承攬團體訴訟的公益團體的門檻規定頗高,加上還有主管機關的把關,濫訟情形不容易發生。

加重刑事責任並提高民事損害賠償總額

現行《電腦處理個人資料保護法》在刑事責任上,只有蒐集個資並意圖營利者,會處2年以下的有期徒刑;妨害個人資料正確性者,則處3年以下有期徒刑。至於民事賠償,每一人每一案件賠償金額2萬元~10萬元,但最高賠償總額上限為2千萬元。

但朱瑞陽指出,新版《個人資料保護法》民、刑事的刑責,都較舊法大幅提高。不論是公務或非公務機關,不當蒐集、處理或利用個資時,如非有意圖營利者,將判處2年以下有期徒刑,若有意圖營利或妨害個人資料正確性,都將處5年以下有期徒刑。至於民事求償上,每一個人每一案件的賠償為500元~2萬元,比舊法單一案件賠償金額還低;但對民意賠償總額上限則提高為2億元。

新版《個人資料保護法》除了加重刑事與民事責任外,朱瑞陽說,對於非公務機關一旦有違法使用個資事實確認,其代表人和管理人除非能證明已經善盡防止的義務外,和公司一樣,都受到每次2萬元~50萬元行政罰鍰的處分。

企業只剩下1年因應時間

從1995年舊版《電腦處理個人資料保護法》暴露出種種不合時宜的法條規定後,新版《個人資料保護法》終於在今年4月27日在立法院三讀過關,並於5月26日由總統公布。但是,朱瑞陽說,《個人資料保護法施行細則》的制訂,才真正是挑戰的開始。

立法院在《個人資料保護法》三讀的附帶決議案中有規定,對於該法中包括「公共利益」、「一般可得之資料來源」等不確定的法律概念,必須邀集民間團體、專家學者召開公聽會進行討論、並納入相關施行細則中。

黃荷婷表示,目前施行細則修法上共識在於,不確定法律概念的具體化,可以透過建立次標準和定義性規定的方式進行;但若是不確定法律概念的內容,以個人資料保護與新聞自由或言論自由之界線為例,就得透過建立公共利益之概念的次標準,以及讓個案判斷回歸司法審查。

若是其他包括識別、刪除、銷燬、聯絡方式等技術性概念,或者是病歷、醫療、基因、性生活、健康檢查、犯罪前科、為單純個人或家庭活動目的等定義性概念,以及書面同意、國際傳輸、行政檢查、團體訴訟等程序性概念等,法務部在施行細則制定時,都會提供程度性或定義性的明確規範,或者是建立標準化作業流程形塑相關標準。

明沂律師事務所律師簡榮宗表示,新版個資法在制定時,為了強化企業或公務機關落實個資保護,而有舉證責任倒置的作法。他說,現行《電腦處理個人資料保護法》採用一般民事賠償作法,提告的受害者必須證明,被告企業有外洩提告者個資的確切行為和證據,才能順利提告,要求企業支付相關的損害賠償責任。

但在新版個資法的規定中,簡榮宗指出,法務部為了保護原告,在個資法的求償規定,企業則必須反過來證明自己並無過失。這樣的法律設計,讓企業承擔更高的個資保護責任。但他說,「舉證之所在、敗訴之所在」,許多企業因為缺乏證據保存的概念,要證明企業無過失的難度更高。

根據新版《個人資料保護法》第55、56條規定,本法施行細則,由法務部定之;本法施行日期,由行政院定之。黃荷婷說,按照行政院期望的進度,希望最遲在今年底前,法務部能完成施行細則的制訂,行政院最快可以在半年後,大約2011年年中,最遲則不拖過2011年年底,能順利公布《個人資料保護法》的施行適用。

也因為《個人資料保護法》過關後,企業必須重新全盤審視手邊所擁有的個人資料到底有哪些,必須有個資清冊外,也必須擬定如何保護企業手邊的個人資料的保護策略。根據法務部的規範,最遲1年到1年半後,行政院就會公佈實施《個人資料保護法》。那也意味著,多數企業,只剩下1年左右的時間,有時間去因應《個人資料保護法》過關後對企業造成的挑戰與衝擊。

 

法務部法律事務司科長黃荷婷表示,距離新版個資法公告施行還有1年時間,相關企業應趁此做好因應措施,以免新法上路後而有違法之虞。

 

勤業眾信副總經理萬幼筠指出,企業對於個人資料的保存責任是永久的,當企業想要永久保存個資,所需承擔個資外洩的風險就越高。

 

個人資料保護架構

 


相關報導請參考「學習英國個資保護標準,從根本做好個資保護」

熱門新聞

Advertisement