延宕多年的電腦處理個人資料保護法修正案,總算在今年4月27日順利三讀通過,除了將名稱正式更改為「個人資料保護法」,在法條內容方面也做了一些修訂。尤其在二讀時,針對新聞報導自由的部份,在過程中引起了社會關注與媒體的討論,因此對於媒體報導的內容,是否需要事先取得當事人的同意,還有在Facebook上面分享拍攝的照片,會不會有洩露個資之虞,也作了適當的澄清,以避免民眾誤觸法網。
個資法修正前後的差異
過去在1995年公佈實施的電腦處理個人資料保護法,主要是參照經濟合作發展組織(OECD)所提出的個人資料保護八大原則,也就是要求限制蒐集、資料正確完整、具明確目的、限制利用、安全保護、公開、個人參與及責任義務等原則,以避免個人人格權受到侵害,或是個資遭到不當利用。
當初,因考慮此法頒布實行之後,將會對民間業者衝擊過大,所以將適用範圍限縮在只經電腦處理的資料,適用行業除了公務機關之外,僅有特定的八大行業(徵信業、醫院、學校、電信業、金融業、證券業、保險業、大眾傳播業)受到規範,後來,雖然也陸續透過指定方式,將期貨業、百貨公司、零售業、不動產仲介經紀業、人力銀行等九個行業納入適法範圍,但還是有許多會蒐集、處理、利用個資的企業和團體不在此法律適用範圍內,仍然有不夠完善之處。
新版個資法的修正原則,參照了亞太經濟合作論壇(APEC)隱私保護綱領,將取得個資的事先告知、蒐集限制和預防損害,納入個資保護的規範之內,並且要求各事業主管機關需要負起監督之責,以防範個人資料的不當使用與外洩,其修正重點與前後的主要差異如下:
- 資料類型與保護範圍擴大 - 電腦處理個人資料保護法的保護客體為經過電腦處理的資料,新法則擴大為不管是電腦處理或人工紙本的資料,統統都受到法律規範。至於適用的行業,過去只有公務機關及八大行業受到法令要求,新版個資法則包括所有個人、法人團體、一般企業等(第2條),只要擁有個人資料的單位和組織,一律都要遵守個資法的規範。
- 刑責加重和罰責提高 - 過去若是發生個資外洩事件,民事損害賠償的總額上限為2千萬元,新法則提高至2億元,若被害人不易或不能證明實際損害的金額時,可以請求法院依照受害的情節以5百元以上2萬元以下來計算(第28條),同時為了方便受害者提出救濟賠償,新法還增加了團體訴訟機制,可透過眾人的力量來集體控訴(第34條)。至於刑事責任方面,若是犯罪人意圖將個資用於營利行為,則可能受到5年以下有期徒刑,併科1百萬元以下罰金,並且被提起公訴(第42條)。
- 個資蒐集限制與告知義務 - 新法中要求若是有關醫療、基因、性生活、健康檢查及犯罪前科等特種個資,必須在符合法律明文規定的嚴格要件下,才能進行蒐集、處理和利用(第6條)。未來無論是直接或間接地蒐集個資,都必須要盡到對當事人的告知義務(第8條),也就是要說明蒐集的目的和利用的方式,若是個資遭到不當外洩,資料保有者也必須依法查明後盡快通知當事人,以避免災害的擴大。
- 個人隱私與新聞自由的兼顧 - 新法二讀之後,在媒體上引起了一陣抗議波瀾,原因是個資法對於隱私的保護太過,若報導時都要對當事人告知並取得同意,在實務方面將會引起爭議與困難。因此在三讀時,為了基於對新聞自由的尊重,特別說明對於大眾傳播業者在進行新聞報導時,若基於「公益目的」(第9條),則可免為告知當事人,若是和公共利益有關或個資來自於一般可得之來源,也可以進行蒐集或處理。
- 網路使用個資行為之澄清 - 民眾在部落格或facebook張貼與他人合影的照片,若是屬於單純個人或是家庭生活的目的,則可適用第51條的排除規定。若是蒐集、分享沒有和其他資料結合而可識別出特定個人的影音資料,只要是基於便利性及合照本身的合法使用目的相當明確,也可排除在法規之外。至於人肉搜索的行為,若是屬於公共利益或取自於一般可得之來源,也屬於個資法主張的合理使用範圍內。
新版個資法全文分為六章共56條條款,第一章為總則(第1~14條),第二章為公務機關對個人資料之蒐集、處理及利用(第15~18條),第三章為非公務機關對個人資料之蒐集、處理及利用(第19~27條),第四章為損害賠償及團體訴訟(第28~40條),第五章為罰則(第41~50條),第六章為附則(第51~56條)。
關於新法修訂的目的,在第一章第一條開宗明義即提到「為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。」至於個人資料涵蓋的範圍,第二條明確指出個人資料是「指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、 指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。」
其中有關個人之醫療、基因、性生活、健康檢查、犯罪前科等,必須在法律明文規定之下,或是公務機關執法或非公務機關履行法定義務,並有適當的安全保護措施下才可進行,若是公務機關或學術研究機構為了醫療、衛生或犯罪預防的目的,也必須經過一定之程序才能蒐集、處理或利用個人資料作為統計或學術研究之用。
個資法實施之後的衝擊
對公務機關而言,在新版個資法實施之後,有許多和過去不同的要求,包括必須要將個人資料保有的依據和特定目的、檔案名稱和類別、機關名稱和聯絡方式公布在網站上(第17條),換句話說,相關單位如何進行個資的清查和制訂公布的程序,就顯得十分重要。
另外,保有個人資料檔案的公務機關,必須要指定專人來負責個資安全維護事項,以防止個資受到竊取、竄改、毀損或洩漏(第18條),也就是說,這位專人勢必要對資安防護具有相當的專業知識,才足以擔負起個資維護的重責大任,這對於某些資安專才不足的單位,恐怕也需要一番的規劃與考量,才可推派出適當人選。
對於非公務機關來說,尤其是不屬於舊法適用的企業,由於以往從未受到要求,恐怕在個資相關的作業流程和維護方式,往往是聊備一格的,所以特別需要熟悉新法中的種種要求。例如新法中提到,非公務機關利用個資進行首次行銷時,應提供當事人表示拒絕接受行銷之方式,若當事人表示拒絕接受行銷時,就要停止利用其個人資料來進行行銷活動(第20條)。
新法第27條則要求,「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」也就是說企業必須要制訂「個資安全維護計畫」,並且說明業務終止後個人資料的處理方法。未來若是其事業所屬的主管機關或縣市政府,接受檢舉或認為該企業有違反個資法之虞時,可以依照法定程序派員進行檢查,要求相關人員進行必要的說明配合,並提出已盡到個資保護的相關佐證資料(第22條)。若是有違反個資法行為而遭糾舉且屆期未改正者,將會按次處以2萬元以上,20萬元以下的罰鍰(第48條)。
此外,如果發現企業有違法的情形,將會公布違反人員之姓名和負責人(第25條),若是導致個人資料遭到不法蒐集、處理、利用或其他侵害當事人權利者,還要負起損害賠償責任(第29條)。當然,如果企業能夠自行舉證並證明無故意或過失的責任,則不在此限,但這也就表示,企業若缺少適當的管理制度和表單記錄,要舉證恐怕不是一件容易的事。
請提早因應並做好準備
雖然,目前新版個資法的施行細則尚未完成,還須等待法務部參考多方意見來制訂並進行審查,預估最快也要到明年才會公布實施,因此對於公務機關和一般企業組織,還有一些因應的準備時間,但在此還是要提醒眾多單位主管及企業負責人,個資保護已有如箭在弦上,不得不發,所以提早因應做好準備,才是最佳的應對之道。
如果還不清楚該從何著手,建議先將法條內容瀏覽一遍,明瞭所處單位所受的規範要求,這是初步且必要的工作,然後去清查目前所保有的個資內容與評估其可能的安全風險,接著還需要針對個資蒐集、處理、利用的各個階段,將相關人員應扮演的角色責任明訂清楚,日後一旦施行細則公布之後,就可以參照必要的規範來運作,相信就能大幅降低觸犯法規的風險。(本文刊載於2010年6月號網管人雜誌)
沒有留言:
張貼留言