個資法窒礙難行

新版個人資料保護法又有新發展了，部分條款有可能暫緩實施。法務部在上周2月16日的行政院院會上，提議暫緩實施部分爭議較大的條款，包括1年內完成書面告知、不得使用敏感性個人資料，以及罰則過嚴的問題，並且進行修法。

新版個人資料保護法在2010年4月27日三讀通過，再過2個月，距離三讀通過也就滿2年了。然而，現在個資法施行細則只公告了草案，轉眼間2年就快要過了，但個資法仍無法上路。

其中一個主要原因當然是新版個資法規定嚴格。基於保護人民的人格權，個資法自當從嚴規定，但規定過嚴的結果，在現今的社會則是窒礙難行。

相較於鄰國日本，其個人資料保護法是適用於擁有超過5千筆個資的組織，而臺灣則是沒有此一門檻限制，任何組織只要擁有個資法所規範的個人資料，就算只有1筆資料，也得遵守個資法的規範。

在這樣的情況下，臺灣沒有一家公司能躲得過個資法。就算你的公司沒有任何顧客資料，但你總有員工資料，在最基本的員工資料表中，一定有緊急聯絡人資訊，通常員工會在這一欄填寫家屬或朋友的姓名與聯絡方式，而這就構成了個資法所規範的個人資料。

照個資法的規定，在正式實施的1年內要以書面告知個資當事人，那麼企業也得逐一通知員工的緊急聯絡人，取得當事人的書面同意，才能合法擁有這些個人資料。

由此小地方即可了解個資法對企業衝擊之大。不論公司的規模大小，每一家公司都得好好面對個資法。大公司如臺灣證券集中保管公司，他們有8百多萬筆證券戶個資，有人算過若全以書面通知取得個資當事人同意，起碼就需要3億元以上的成本，還好個資法實行細則草案允許可以使用電子文件通知的作法，這個成本可大幅降低，但如何有效取得8百多萬戶同意，仍是一件大工程。而小公司，也不能置之不理，因為新版個資法的規定，對於違法的公司不只可以處上限2億元的高額罰金，而且若是故意違法，那麼違法的員工與企業老闆不只罰錢，還有可能要坐牢。

除此之外，個資法第6條對於敏感性個人資料的使用限制，過於嚴格。當中的規定是，醫療、基因、性生活、健康檢查與犯罪前科等敏感性個資不得蒐集、處理、利用，除非是法律明文規定、執行法定義務而有必要使用、學術研究或統計之需，以及當事人自行公開。

這個保障人民個人隱私的立意沒有錯，但在現今社會型態多樣的情況下，有些產業就會面臨實際作業上的困難。例如計程車公司若要嚴格挑選司機，要過濾其是否有前科就會變得不可行。

這些種種爭議都突顯了實務上難以執行的問題，因而有些人開始呼籲要修法，而法務部也不得不建議暫緩實施第6條敏感性個資的合理使用範圍、第41條第1項規範的2年以下徒刑，以及第54條的1年內完成告知當事人。

在行政院院會上，行政院院長陳冲則要求法務部在2個月內提出評估報告，並指示法務部評估電腦大量處理個資的特性，是否要以專章來規範，以及在境外使用個資的情況。

因此，個資法引起重大爭議的部分，由法務部的態度來看，似乎會有緩衝的解決方法，不過2個月後的評估報告是否會再轉彎，則仍是變數。

吳其勳／iThome電腦報周刊總編輯