時光飛逝,個人資料保護法即將在一個多禮拜後,上路滿周年。去年8月30日,前任行政院長陳沖終於拍板定案,宣佈個資法除了暫緩實施第6條與第54條之外,其餘法條定於10月1日正式施行,並且,上路之後沒有法規寬限期。

永豐金控總機構法令遵循主管簡榮宗表示,個資法2010年5月公告後,旋即引起企業間的關注,積極的討論,但這股熱潮僅維持到同年年底,因為個資法沒有立即施行,企業因應的態度轉變成觀望的心態。

永豐金控總機構法令遵循主管簡榮宗表示,金管會透過行政函要求金融業者因應,銀行公會也提供各項範本,讓業者能夠有所遵循。甚至,為了配合美國的外國帳戶稅收遵從法(FATCA,俗稱肥咖條款),金管會也將與美國政府簽訂協議,保障金融業外傳資料時,擁有使用個資的豁免條款,不至於牴觸個資法的規範。

延宕2年之久,企業心態逐漸鬆懈,因此,行政院確定了個資法的施行日期之後,毫無疑問帶給企業莫大的衝擊,企業深怕若是一不小心外洩他人個資,不幸要上法庭對簿公堂,企業還必須身負舉證的責任,要能夠證明已經善盡個資保管的義務,才有可能免於遭受鉅額的罰款,以及刑事上的責任。

前臺北地檢署主任檢察官,現為合盛法律事務所律師的張紹斌表示,從個資法的法條來看,除了刑事責任之外,還有連帶的行政罰則,況且臺灣刑事控告的標準過低,幾乎人人皆可提告,這讓企業對於個資法其實是戒慎恐懼的。

合盛法律事務所律師的張紹斌表示,從個資法的法條來看,除了刑事責任之外,還有連帶的行政罰則,況且臺灣刑事控告的標準過低,幾乎人人皆可提告,這讓企業對於個資法其實是戒慎恐懼的。

所以,在這一年之內,有的中央事業目的主管機關在北中南三地輪番舉辦研討會,協助企業因應;有些大型企業也委託顧問公司,輔導企業取得國際證照,或是研擬個資法的因應辦法。

多位個資法專家皆表示,個資法剛上路時,企業常詢問的問題,多半圍繞著法條的解讀;經過一年後,企業提出的問題,變成個資的使用有沒有問題,企業的做為更為具體,也就是說,企業更了解何謂個資法,能夠將法條的規範,實際套用在企業業務流程上。

各產業因應情況落差大,金融業和電信業最為積極

個資法上路後,許多企業都展開因應個資法的步伐,對於個資的使用也更為謹慎,不過,各產業因應的步調落差極大,達文西個資暨高科技法律事務所主持律師葉奇鑫表示,歷經一年,許多企業在保護個資的意識上都大有進步,但要說防護已經完備則還早,因為仍在觀望的企業還是占多數。

就目前各產業因應情況來看,專家們不約而同地表示,以金融業和電信業的因應腳步較快,落實較為完善。這是因為金融業和電信業都擁有大量的個資,風險性高,所以主管機關原先的管理要求就相較其他產業較為嚴格。

以金融業來說,簡榮宗表示,金管會透過行政函要求金融業者因應,銀行公會也提供各項範本,讓業者能夠有所遵循。甚至,為了配合美國的外國帳戶稅收遵從法(FATCA,俗稱肥咖條款),金管會也將與美國政府簽訂協議,保障金融業外傳資料時,擁有使用個資的豁免條款,不至於牴觸個資法的規範。

雖然,由金管會管理的中國信託網站繳費中心在今年5月爆發個資外洩案,網路可上查詢到包含繳費用戶的姓名、手機號碼、身分證號碼、信用卡卡號等資料,共有33,320用戶,共計57,297筆資料受到影響。

不過,金管會再接獲中信金回報後,要求中信金最遲一周內提出整體事件調查報告給金管會。金管會更在8月底經調查後確認,中信金內部程式設計、驗證,及內控程序上有缺失,導致大量用戶資料外露,依違反銀行法第45條之1第1項與第129條第7款規定裁罰400萬元。

金管會採取正面的態度徹查外洩事件,而且,金管會並非使用個資法第48條的規範,開罰中信金20萬元罰鍰,反而以銀行法的罰則從重處份,此舉也能夠讓其它金融業者有所警惕,葉奇鑫也相當肯定金管會嚴謹的態度。

除了金融業與電信業之外,NII產業發展協進會執行長吳國維表示,直銷業因為數家知名龍頭業者帶頭因應,如安麗NuSkin等,反而變成產業之間另類的競賽,透過積極地因應個資法提升企業知名度,這點反而是令人出乎意料地。

NII產業發展協進會執行長吳國維表示,直銷業因為數家知名龍頭業者帶頭因應,如安麗NuSkin等,反而變成產業之間另類的競賽,透過積極地因應個資法提升企業知名度,這點反而是令人出乎意料地。

吳國維也提到,多數學校單位因為擁有大量的師生資料,也想要積極地因應個資法,但礙於學校預算有限,心有餘而力不足,只能在現有的資源下盡力落實個資保護。

中小企業的落實,是未來個資法最大的挑戰之一

從各產業的因應情況可以發現,不外乎是中央事業目的主管機關有嚴加要求,或是擁有大量個資且預算充足的產業,因應步伐較快,簡榮宗表示,中小企業礙於預算與人力等資源的限制,因應的腳步相對較慢,主要以核心業務為優先。

資策會科法所科技應用法制中心組長郭戎晉表示,大型企業或是上市櫃公司,若是發生大量個資外洩事件,企業聲譽會大受影響,所以,對於個資法的因應不需過多的鞭策,就會自動自發地去執行,而該如何讓更多的中小企業落實個資保護,確實是未來個資法最大的挑戰之一。

資策會科法所科技應用法制中心組長郭戎晉表示,大型企業或是上市櫃公司,若是發生大量個資外洩事件,企業聲譽會大受影響,所以,對於個資法的因應不需過多的鞭策,就會自動自發地去執行,而該如何讓更多的中小企業落實個資保護,確實是未來個資法最大的挑戰之一。

郭戎晉指出,姑且不論企業規模大小,對於個資法的因應,仍舊是取決於業者的態度。勤業眾信副總經理萬幼筠也表示,一年下來,重視的企業願意投入資源,不重視的仍舊沒有太多改變。

除了資源分配、業者心態等問題之外,尚有兩項關鍵因素影響企業主的態度,其一是尚未有大型的個資法判例,其二則是企業的中央事業目的主管機關歸屬仍相當混亂。上路至今,雖然也發生過臺灣Nokia與中信金等大型個資外洩案件,但不如預期,並未有民眾組團委由公益團體提出團體訴訟。

目前至少有2起個資法判例,不過皆是個人案件,尚未出現企業外洩個資的訴訟案,這也讓企業摸不著法官判決時的準則,不能回頭檢驗內部個資保護制度是否已經完善,證據的留存是否妥當,無法確切了解個資保護該落實至什麼程度,才不會誤觸法律規範。

也因此,不乏企業仍心存僥倖,觀望著事態的變化,等到真有判決成立時,才願意加緊腳步因應。簡榮宗建議,企業不論企業規模大小,都必須針對法規因應,不能再有僥倖的想法,因為難保外洩事件發生在自家,屆時想要亡羊補牢就為時已晚。

至於中央事業目的主管機關歸屬混亂的情況,儘管法務部總計規範了235個行業的主管機關,不過,經濟部工業局知識服務組副組長林俊秀表示,有些業者的業務性質橫跨多個主管機關,確實接獲不少產業反應,認為主管機關難以明確區分,不僅業者無法區分,連民眾向工業局投訴案件,有些產業也並非由工業局所掌管。

經過一年之後,仍舊有些產業的主管機關仍處於模糊地帶,郭戎晉更表示,有2個原因讓各產業管理辦法並沒有如期出爐,第1個原因是產業業者數量難以認定,民國90年公司法修正後,只要不是特許行業,是不用將產業別寫入公司章程,像是網路購物業者等;第2個原因是,行業認定難以區分,以無店面零售業來說,就包含了網路購物、型錄購物、電視購物,在個資法前身電腦處理個人資料保護法,是將網路購物業者與型錄購物業者交由經濟部管理,而NCC則是負責電視購物業者,到了新法的時代,若是經濟部或是NCC要撰寫產業管理辦法,是該上述三種業者都要納入,還是選擇其中幾個就好?就是個未解的問題。

專責機構盡速成立,統一掌管個資法相關事務

回歸這個問題本身,之所以會有這種情況,正是因為臺灣沒有專責機構來負責處理個資法相關事務。郭戎晉指出,目前全世界有個資法的國家,僅臺灣和日本沒有專責機構,不過,日本將於明年成立,也就是說,倘若到了明年,臺灣仍舊沒有個資法專責機構,就變成全球僅有的作法。

少了專責機構,交由法務部與各中央事業目的主管機關來負責,不免有人力與資源不足的情況,除了造成主管機關認定混亂之外,簡榮宗表示,法務部雖然設有個資法網站,不過內容更新的速度與廣度不足;吳國維更認為,個資法對於人民的宣導不足,配套措施不夠完善,甚至,目前法務部針對企業或是個人的問題,回覆內容不夠具體,更無法明確指出企業個資保護作法是否合法。

所以,多位專家皆建議,臺灣應該盡快成立個資專責機構,可以借鏡像是香港的個人資料私隱專員公署 、德國聯邦資料保護與資訊自由委員會等國的作法。

就現況而言,萬幼筠建議,主管機關應該更積極,採取多種做法,像是建立績效指標、頒發獎項等,透過獎勵的辦法,提升各產業因應個資法的意願。

葉奇鑫也建議,主管機關應該懂得行使行政檢查的權力,實地走訪之後,才能了解產業目前因應的狀況,防微杜漸,而不是等到事發後再採取行動,就為時已晚了。

仿照國外作法,每2年舉行總體性調查作為修改依據

總括來說,一年來下來,個資法確實讓各產業使用個資時更為小心,民眾接到莫名奇妙的行銷電話,機率也下降不少,不過,個資法仍存有許多問題,吳國維建議,法務部也應該在滿周年時,舉辦公聽會,聽聽各界意見,作為日後修法或是執行上的參考。

葉奇鑫也表示,法務部應該比照其他國家的作法,對於先進的法律,應該在實施2年後,進行總體性的調查,像是各項數據的統計,或是民意調查,並根據臺灣的時勢變化作出修正,才能讓個資法更適用於臺灣社會。


快速掌握個資法上路一周年現況

1.企業與政府單位使用個資時確實更為小心,民眾意識也有所提升。
2.產業因應情況以金融業與電信業腳步最快,直銷業者意外地積極。
3.中小企業的落實擺在核心業務之後,是未來個資法最大的挑戰之一。
4.產業主管機關歸屬仍混亂,專責機構應盡速成立,統一掌管個資法相關事務。
5.個資法修正草案進度仍停留在立法院審議中。
6.僅4個中央目的事業主管機關,正式頒布產業安全維護辦法,有多數目前處於草案階段。
7.團體訴訟案件0,以個資法判決的案例至少5件。
8.獲得BS 10012驗證的企業個數約30家,年底通過數量預計達45家
9.通過BS 10012驗證的產業比,金融保險業約占51%、資訊服務業約占15%、政府單位約占13%、電信業約占7%、學校約占4%、其他約占10%。
資料來源:法務部、達文西律師事務所、臺灣BSI,iThome整理,2013年9月


管道不暢通,團體訴訟案件零

個資法在去年10月正式上路,讓企業最為擔憂的就是天價的罰則,根據個資法28條第4項明定,若是公務機關或是非公務機關發生個資外洩事件,造成多數當事人權利受侵害,最高罰則可達新臺幣2億元。

不少企業憂心,如此高額的賠款,會造成許多人故意興訟或濫訟,進而妨害正常的企業運作。不過,個資法上路至今將滿一年,也發生過多數起大型個資外洩事件,像是臺灣Nokia、中信金等,受害者人數都遠遠超過法定的20人,不過,至今,卻沒有民眾組團發起團體訴訟案,仍未出現首宗團體訴訟案件,達文西個資暨高科技法律事務所主持律師葉奇鑫認為非常弔詭。

毫無案例,代表團體訴訟管道不順暢

葉奇鑫表示,雖然過往臺灣的確較少團體訴訟的案件,不過,若是有1~2起,就代表民眾尋求團體訴訟的管道是暢通的,但倘若是毫無案例,就是民眾尋求團體訴訟的管道並不暢通。

達文西個資暨高科技法律事務所主持律師 葉奇鑫

雖然過往臺灣的確較少團體訴訟的案件,不過,若是有1~2起,就代表民眾尋求團體訴訟的管道是暢通的,但倘若是毫無案例,就是民眾尋求團體訴訟的管道並不暢通。

長期關注個資法議題的專家們,分析了目前毫無團體訴訟的情況,歸納出3種情況,分別是個資法法規上的限制、臺灣團體訴訟不成熟,以及民眾爭取自身權利的意識不足。

根據個資法對於團體訴訟的規範,除了受害者人數必須超過20人以上之外,還必須委由財團法人或是公益社團法人提起訴訟。

而且,個資法對於可提出訴訟的團體,另有限制。根據個資法第32條,要提起訴訟的團體必須符合以下3點,第一,財團法人之登記財產總額達新臺幣一千萬元或社團法人之社員人數達一百人;第二,保護個人資料事項於其章程所定目的範圍內;第三,許可設立三年以上。

無酬現制,或多或少限制團體提出訴訟意願

從第3點來看,個資法2010年頒布至今,尚未期滿3年,所以能夠承擔訴訟責任的團體並不多。此外,個資法第39條規定,提出訴訟的財團法人或公益社團法人,均不得請求報酬。

無法請求報酬,對於有資金壓力的團體來說,是一大考驗,雖然可以打響知名度,但仍舊必須面對現實的生存壓力,葉奇鑫推測,或許這是團體訴訟的另外一個阻礙。

法規上的限制之外,簡榮宗表示,相較於美國,臺灣的團體訴訟運作仍不成熟,而且,訴訟期若耗時過長,也會是影響民眾提出團體訴訟的因素之一。

目前臺灣較為耳熟能想的團體訴訟案件,就是921地震新莊「博士的家」一案,此案例由消基會基代替受害者,於2000年時,向板橋地院提起訴訟,更是國內首宗消費團體訴訟案。除此之外,就是9月底將由臺北市政府委由消基會提出的パン達人案。

不過,就算是克服了法條上的限制、團體訴訟的不成熟,仍需要有受害民眾挺身而出,為了自身權益奮鬥,團體訴訟才會成真,所以,民眾對於個資保護的意識是否足夠,才是最重要的關鍵。

外洩個資若是切身之痛,情況就會有所不同

多數專家皆認為,民眾對於個資法的了解程度,比起一年前有所提升,資策會科法所科技應用法制中心組長郭戎晉表示,根據輔導的經驗來看,企業遇到當事人權利行使的事件比例,確實慢慢地在增加。但是,因為法條生硬不易解讀,多數仍不了解如何使用個資法捍衛自身的權利。

勤業眾信副總經理萬幼筠更表示,除了不懂如何捍衛之外,以目前外洩的個資案來看,多半是姓名、連絡電話、身分證字號等等,皆是單筆個資,並非具有故事性的個資,所以,一般民眾並不會覺得個人隱私權真的遭到侵害了,他相信若是有真的觸及個人隱私的外洩個資案發生,按鈴控告的情況就會有所不同。

勤業眾信副總經理 萬幼筠

除了不懂如何捍衛之外,以目前外洩的個資案來看,多半是姓名、連絡電話、身分證字號等等,皆是單筆個資,並非具有故事性的個資,所以,一般民眾並不會覺得個人隱私權真的遭到侵害了,他相信若是有真的觸及個人隱私的外洩個資案發生,按鈴控告的情況就會有所不同。


Advertisement

更多 iThome相關內容