今年4月27日立法院三讀通過了《個人資料保護法》(簡稱個資法),這個法案衝擊之大,遍及了臺灣123萬家企業和2,300萬民眾,無一倖免。
不論是一個人或一群人、中小企業或跨國企業、任何工作、任何活動,凡是需要蒐集、處理或利用到個人資訊的行為,包括紙本記錄和電腦資訊、甚至是隨手寫在便條紙上的聯絡資訊,若不留意,都有可能牴觸了個人資料保護法的規範。
對企業而言,個資法不僅會影響到未來企業蒐集顧客資料、利用個資行銷的作業方式,連企業現有的顧客資料都將受到影響,甚至在最嚴重的情況下,企業辛苦累積數十年的顧客名單將無法使用,企業可能面臨營運停擺的危機。
在新版個資法的規範下,一旦企業違法使用個資,顧客還能提出團體訴訟來求償,最高求償金額高達2億元。若因違法使用而對當事人產生損害時,老闆還得面臨五年以下的有期徒刑。這些都是個資法施行以後,企業立刻要面對的問題。
尤其是以往不受《電腦處理個人資料保護法》規範的企業,他們遭受的衝擊更大,例如,製造業者若無法符合新法規的要求,就不能使用往來廠商的聯絡資訊,這樣進一步就會影響到供應鏈系統的運作,生產線被迫停擺也是有可能的。
目前三讀通過的個資法只有基本條文,未來法務部還會擬定更詳細的施行細則,作為實際執行的參考依據。
這些細則更是直接影響企業處理個資的每一個決策,企業流程中有哪些個資需要保護?企業已經擁有的顧客資料要如何處理才能合法使用?如何降低告知當事人的費用?如何因應顧客要求刪除個資?等問題,甚至是法案何時實施,施行細則何時出爐,企業到底剩下多少時間可以準備?這些都是企業目前最關心的問題。
為此,我們特別採訪承辦個資法修法業務,也是推動施行細則草擬工作的法務部法律事務司科長黃荷婷,進一步了解個資法的實施時程和條文內容。
施行日期
個資法何時正式實施?
就黃荷婷的估計,在未來2周內,總統將正式公布新法案,而法務部預估以6~8個月的時間訂定施行細則的草案,待草案呈報行政院後,行政院審核時間約需2~3個月,這些加起來,幾乎需要1年時間才能完成。
目前法案已三讀通過,法務部立即展開擬定施行細則的相關作業。黃荷婷指出,施行細則將分成兩個部分進行。
第一部分,法務部預定在6月時舉辦,到臺灣北、中、南、東部舉辦公聽會,徵詢各界對法案中「不確定法律概念」的意見,這些概念包括了公共利益、公開場所、社交活動、家庭活動等。
法務部會依據公聽會的意見,來訂定不確定法律概念的相關條文,再邀請專家學者組成工作小組,確認這些條文不會違反法律上應保障的利益,也不會侵犯司法權。
另一方面,法務部還會成立施行細則修法小組,由各部會派員參加,共同來訂定執行面的施行細則。遇到與地方事務有關的條文時,也會邀請相關的地方政府參加會議。施行細則還會包括特定目的清單和資料類型供企業選用。
準備時間
最快1年後面臨新法衝擊
透過多管齊下的作法,黃荷婷表示:「希望在總統公布後的1年內,完成個資法施行細則的作業流程,再由行政院決定施行日期。」
倘若行政院比照《電腦處理個人資料保護法》施行細則的作法,在發布日時正式實施,以目前法務部的作業時程來看,行政院最快可以在1年後實施個資法,換句話說,企業最快一年後將面臨個資法的衝擊,因應時間從現在開始倒數大約只剩12個月。
規範對象
除了個人與企業,團體也受約束
更重要的是,新版個資法適用對象擴及各產業,不管是誰,1年後都需要面對個資法的衝擊。除了法人和自然人受個資法約束外,甚至包括各式各樣的團體都需要遵循個資法。黃荷婷解釋:「一般只要3人以上就可以稱為團體,或者是設有代表人的團體也是。」所以,舉凡任何個人、任何企業、任何形式規模的團體,哪怕是三五好友組成的私人讀書會,都在法條管轄範圍中。
個資定義
企業需要保護哪些個資?
新版個資法規範了企業必須保護的個人資料類型,包括了個人的姓名、出生年月日、身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動,以及其他可以直接或間接識別出個人的資料都屬於個資法的保護範圍。企業蒐集、處理和利用這些個資時,必須特別遵循個資法的規範。
不過,並非所有個人資料都可以識別出所對應的個人,這類無法識別的個資,就不屬於個資法的保護範圍。黃荷婷舉例說明,比如透過網路暱稱或網路代號不一定能識別出背後所代表的個人,或是部分數字模糊的身分證號也無法識別出對應的當事人。
她進一步解釋:「如果有些類型的個人資料,一般人無法用一般方式查出對方是誰,這類資料就可以歸入無法識別的資料範圍,不受個資法的管轄。但是,如何判斷個人資料是否可以識別,未來將會由主管機關認定。在施行細則中也會盡量訂定出直接或間接識別的分辨標準。」
最低管轄數量
只要擁有1筆個資就得遵循新法
特別注意的是,臺灣個資法沒有最低資料筆數的限制,不像日本個資法只能管轄5千筆以上的資料。
未來法案實施後,臺灣企業只要擁有1筆以上的顧客資料,企業就必須符合個資法的規範。
而且也不只是儲存在企業伺服器中的數位資料需要守法,連書寫在任何紙本文件上的個人資料,不論形式或載體,企業所擁有的任何1筆個資都必須遵循個資法的規範。
個人可行使權利
企業為滿足個人請求,勢必得改變流程
在個資法中也明定了個人可以對自身資料可以行使的權利,包括了查詢、更正、要求停止蒐集、處理或利用,甚至是個人可以要求企業刪除等。企業為了滿足個人提出的請求,勢必得改變現有的個人資料作業流程。例如過去企業為了充分運用顧客資料,往往會盡可能保存,不會輕易刪除。
現在,企業必須回應顧客的請求,甚至得刪除資料庫中的顧客記錄。企業為了日後舉證確實執行顧客的請求,除了要記錄顧客提出的個資請求外,還得記錄執行請求的過程,各種與個資相關的作業流程都會受到影響,必須重新調整作法。
不過,企業若是依據其他法律規定而蒐集或使用個資,例如財務資料依法必須保存7年,企業就有權拒絕使用者的刪除要求。「若有其他法律明文規定者,企業運用個資時,可不受個資法的限制。」黃荷婷說。
告知義務
個資蒐集或利用前須告知當事人
在使用行為的規範上,個資法從蒐集、處理和利用三大面向來要求個資法的合理使用範圍。
當企業直接向顧客蒐集個人資料時,除了法定例外情況外,都必須盡到告知義務,企業必告知當事人,包括了蒐集目的、企業名稱、資料類別、資料利用期間、地區、方式、當事人權利,以及當事人不提供個資時,對其權益的影響等。
如果企業委託第三方機構向顧客蒐集個資,委託機構所作所為視同企業,所以,企業利用這些委託機構蒐集的個資之前,也必須告知每一位當事人。
現今不少企業擁有的個人資料動輒數十萬、數百萬筆,若每一筆資料都需要告知當事人,多數企業擔心未來必須負擔龐大的告知費用。黃荷婷表示,法條中並未限制企業採取的告知方式。企業可以透過各種方式告知,電子郵件、簡訊、電話等方式,而且告知不需要對方回應,只要有記錄能事後舉證,證明企業確實有告知即可。
除了告知方式不限外,「企業若曾對這些現有資料庫的顧客行銷,就不符合個資法第20條規定的首次行銷情況,企業不用再提供拒絕行銷的方式給顧客。」她補充。
利用限制
利用個資須符合特定目的
但是,黃荷婷也提醒,若是企業利用個資的目的,已經和當時蒐集的目的不同時,企業就必須符合蒐集要件的規定。除了不受限的情況下,個資法第5條規定,企業只能在特定目的範圍內,才能蒐集和使用個人資料。
黃荷婷指出:「特定目的是個資法限制蒐集、限制利用的重要機制,也是主管機關監督管理的制度。」
目前在《電腦處理個人資料保護法》中訂定了101項特定目的,黃荷婷表示,新法將由各產業主管機關和所屬產業共同提出需要的特定目的項目。再由法務部和主管機關共同公告。「最後訂定的特定目的數量不限,原則是讓每一個目的明確和清楚。企業可以同時告知多個目的,但不是全部的目的。」
有效同意
書面同意須用紙本,不能用電子文件
除了符合特定目的以外,企業蒐集或處理個資還要符合個資法第19條的蒐集要件。
例如其中一個要件是企業必須取得顧客的書面同意,黃荷婷解釋:「法條中的書面同意是嚴格的紙本書面同意書的意思。不能使用電子文件或透過電子簽章的同意書,因為電子同意只符合同意的意思,但不是書面同意。」
若不易取得書面同意,黃荷婷建議企業可以使用另外一項蒐集要件,也就是「契約或類似契約的關係」的要件。「這項要件不限形式,只要符合契約的法定規範,透過網頁同意按鈕的使用者條款也可以成立。」她說。
不過,企業從「一般可得來源,例如網際網路」蒐集來的個人資料,因為無法查證資料是否合法,個資法同樣將這類型為視為合法蒐集,但「企業若後來發現這些資料不合法,或者使用者要求企業禁用時,企業就必須刪除或停止使用。」黃荷婷說:「施行細則中會定義一般可得來源。」
取得個人資料後,黃荷婷指出,只要企業利用資料的目的和當初蒐集資料的目的相同,企業就能在當初告知的特定目的範圍中利用。
如果蒐集目的和使用目的不同時,企業必須重新取得當事人的書面同意,「即使是同一家公司裡的不同單位,只要目的不同,企業都要重新取得書面同意,除非符合其他例外條件,例如另有法律明文規定。」她說。
不過,對於個人自行公開的個資,或是其他合法公開的個人資料,企業就可以自行運用,不需要取得書面同意,也不用與當事人建立契約關係。但是,黃荷婷補充:「若是第三方公開的個人資料,企業必須確認這些公開資料的合法性後才能利用。」
企業蒐集了個人資料後,如果是利用這些資料對新顧客進行第一次行銷時,還得提供顧客有拒絕行銷的方式。「即使已取得當事人同意,首次行銷時要提供拒絕行銷的機會,這是企業應盡的義務。」黃荷婷說。
現有顧客資料
不是向顧客蒐集的個資,沒告知前無法使用
個資法訂定了許多企業未來必須遵循的規定,但其中一條特別不同,個資法第54條特別溯及過往,規範了企業在法規實施前擁有的個人資料。企業如果是向當事人取得個資,而且使用上沒有超出當初告知的目的,就不用依據54條規定再次通知當事人。
但企業若不是直接向當事人蒐集的個人資料,例如透過委託機構取得,企業必須在法案實施一年內告知當事人,在沒有告知當事人前,企業無法使用這些資料。
在個資法中也律定了企業其他告知義務,例如企業有維護個人資料正確性的義務,若資料有錯,企業必須告知曾經提供資料的對象,要求對方更新,例如子公司必須告知母公司資料有誤必須更新。若發生資料外洩事件,企業也要主動告知當事人。
罰則
求償金額最高2億元,企業主最多5年刑責
如果企業外洩個資,導致顧客遭受損害時,個資法也提供了權益受損顧客可以透過團體訴訟向企業求償。若無法估算損害金額時,每人每件可求償500~20,000元,相同原因造成的事件總求償金額最高2億元。
蒙受損失的當事人若要進一步向違反個資法的企業求償,必須在違規事件發生後5年內向企業提出求償,而且當事人得知違規事件的消息後,必須在2年內提出求償,否則就會失去求償的權力。
企業若因違反個資造成他人損失時,相關人員也會面臨2年以下的有期徒刑、拘役或併科20萬元以下罰金。若是企業為了營利而違反個資法,相關人員刑期還會加重為5年以下有期徒刑、拘役或併科1百萬元罰金。
當事人也可以向各行業主管機關投訴企業違反個資法,主管機關會進一步派人稽查企業法規遵循的情形。若發現企業有違反個資法,限期改善無效後,主管機關會對企業處以行政罰鍰,依違法罰款從2萬~50萬元不等。
若企業老闆不能證明自己盡力防止違法事情發生,也要接受同一額度的行政罰鍰。換句話說,企業被罰多少錢,老闆也會被罰多少錢。
企業舉證責任
企業必須自行舉證沒有違反個資法
在新版個資法中,企業必須證明自己確實符合法規要求。當企業進行各項遵循個資法的行動時,不論是各種告知義務、爭取當事人同意或回應個人請求等行為,都必須記錄,以作為未來事後舉證之用。
黃荷婷表示:「個資法要求企業必須舉證說明自己沒有過失或故意違反法律。這可以讓企業更加重視隱私權和個人資料的保護。」
不過,在個資法大幅增加企業保護個資的義務以外,政府也同步規畫了協助企業的配套措施。針對個資法要求企業舉證的要求,經濟部商業司已經規畫了一個隱私權標章制度。
這套隱私權標章制度提供了一套驗證機制,可以用來檢驗企業是否符合個資法的隱私權要求,符合者發放合格標章,而且驗證機構還會定期複查企業是否持續執行。
驗證機構由各產業工會擔任,商業司則會另外訂定驗證機構的資格。黃荷婷說:「隱私權標章可以作為企業非故意或過失違反的舉證之一。」
新通過的個資法雖然只有56條,但是規範了所有人處理個人資料的方式,面對如此龐大的管轄範圍,黃荷婷坦言,個資法很難做到鉅細靡遺的要求,法務部會盡可能地透過施行細則完善各項個資規範。
若實行細則還有不足,黃荷婷說:「考慮在施行細則中,授與各主管機關可以透過行政命令補充規範的權限,一來主管機關最了解產業實況,另一方面也能讓法規快速因應各種新科技衍生的個資問題。」
未來,個資保護議題勢必成為企業必須長期關注的焦點,不但要了解個資法法條和施行細則,還需要隨時掌握主管機關對於個資保護的最新要求。
個人資料保護法案預估實施時程
個資法不只衝擊企業,連老闆與員工都會受罰
新通過的《個人資料保護法》比過去法規更嚴厲,若違反個資法,不只企業面臨更高的罰則,連老闆和員工都會受罰,甚至要入獄服刑。
個資法新增加了團體訴訟求償的規定,受害當事人可集體向違反個資法的企業求償。每人每次可求償500~20,000元,相同原因產生的賠償金額合併計算,最高可以達到2億元,這個金額是舊有法規的10倍。
當企業違法使用個資造成當事人損失,除了賠償當事人以外,經手個資的員工也要面臨2年刑期或20萬元以下的罰金,若是故意違法利用個資來營利,刑期更是加重到5年以下有期徒刑,或併科罰金1百萬元。
平時,各行業的主管機關可以派員檢查企業是否符合個資法的規範,發現有違法情況,除了可以扣留違法使用的顧客資料外,主管機關還可以限期要求企業改善,若不改善則可以按次罰鍰,依違反情節不同,從2萬元到50萬元不等。如果企業老闆若沒有盡力避免違法情況發生,主管機關也會用同一額度罰鍰來處罰企業老闆。上至老闆、下至每一位員工,都必須清楚了解個資法的影響,才免於觸法的風險。
企業必知的個資法重點
個人資料保護法規範對象包括了公務機關、自然人、法人和其他團體。其中只有部分條文與企業有關,我們從這些條文中彙整出14項企業必知的個資法重點,這些都是企業因應個資法時必須了解的法條內容。
規範行為
● 蒐集、處理及利用個資。
個資定義
● 包括個人的姓名、出生年月日、身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動,以及其他可以直接或間接識別出個人的資料,不論紙本或數位形式,都屬於個資法的保護範圍。
個人權利
● 個人可向企業請求查詢、閱覽、提供複製副本、更正或補充、停止蒐集、停止處理或利用、請求刪除。個人請求後,企業需於時限內回覆。
規範對象
● 公務機關、自然人、企業法人、其他團體(三人以上即可視為團體)。代理蒐集機關則視同委託者。
主管機關
● 由目的事業主管機關管轄,而非事件發生地主管機關。多個主管機關或管轄者不明則透過協調聯繫機制決定。
告知責任
● 蒐集個資時應向當事人告知企業名稱、蒐集目的、資料類別、當事人權利、利用時間、地區、對象與方式、不告知的影響等。
● 使用目的改變時,企業應告知當事人。
● 非向當事人蒐集的現有顧客資料庫,必須在法案施行1年內告知。
● 個資異動後,應告知提供過個資的對象。
● 發生個資外洩情事後,應告知當事人。
● 告知形式不拘,有記錄可供事後舉證即可
免告知情況
● 法律明文規定/依法執行公務。
● 告知將妨礙第三人重大利益。
● 當事人明知這些應告知內容。
● 當事人自行公開或其他合法公開內容。
● 無法告知當事人或法定代理人。
● 學術研究之必要,且無法識別之個資。
● 大眾傳播業為公共利益而蒐集。
可蒐集或處理的條件
必要條件:
● 應有特定目的,且只能在該目的範圍內利用。
● 不得蒐集醫療、基因、性生活與犯罪前科的個資。
多擇一條件:
● 法律明文規定。
● 與當事人有契約關係,契約形式不限,可用電子契約。
● 當事人自行公開或其他合法公開,企業需確認合法性。
● 當事人書面同意。
● 取自一般可得來源(如搜尋引擎)。
● 公共利益相關。
● 學術研究之必要,且無法識別之個資。
書面同意
● 意指紙本同意書,不能透過電子文件或電子簽章取得同意。
不適用個資法狀況
● 無法識別該個人的個資。
● 個人為了個人或家庭活動的蒐集、處理或利用。
● 公開場所或公開活動中的影片、圖像與聲音資料(未與其他個資結合)。
損害賠償
● 當事人可向違反個資法的企業求償,每人每次5百元~2萬元,相同原因合計最高求償金額2億元。
罰則
● 違法蒐集、處理或利用個資而產生損害時,處2年以下有期徒刑、拘役或併科20萬元以下罰金。
● 違法蒐集、處理或利用個資,意圖營利者處5年以下有期徒刑、拘役或併科100萬元以下罰金。
行政罰鍰
● 違反蒐集、處理與利用相關法規,限期未改善,每次可罰5~50萬元。
● 違反告知義務、維護義務、個人請求相關法規,限期未改善,每次可罰2~20萬元。
● 拒絕主管機關檢查者,每次可罰2~20萬元。
● 企業代表人未盡力防止發生上述違反事項,處相同額度之罰款。
企業現有個資(顧客與員工)處理原則
● 企業非直接向當事人蒐集的個人資料,必須在法案實施後一年內告知當事人,未告知前不能處理或利用。
● 現有行銷資料庫可視為非首次行銷的個資,不用提供拒絕行銷的管道。
資料來源:法務部,iThome整理,2010年5月
法務部法律事務司科長黃荷婷表示:「希望在一年內完成個資法施行細則的作業流程,再由行政院決定施行日期。」
企業蒐集個資時的目的必須符合「特定目的」的內容,就像是過去的《電腦處理個人資料保護法》施行細則訂定了101 項特定目的,法務部將修訂這些項目,再彙整主管機關建議項目,在個資法施行細則中詳列。
熱門新聞
2024-05-12
2024-05-13
2024-05-14
2024-05-13
2024-05-13
