依據個人資料保護法第二條的定義,只要是得以直接或間接方式,能夠識別該個人之資料,就是屬於受到法律保護的個人資料。換句話說,除了最常見的姓名、電話、地址、身分證字號、出生日期之外,還有許許多多可連結識別到特定個人的資料,這些都是各行各業不可忽視的個人資料內容。
其中比較特別的是在個資法第六條中指出,有關醫療、基因 、性生活、健康檢查及犯罪前科等個人資料,除非符合了特定的要件,否則預設是不能夠任意的蒐集、處理及利用的,這也就表示,如果您的組織是屬於經常性的會接觸到這些資料的產業,像是醫院、保險公司、健檢中心等,就更必須明白有些法律針對特定的敏感資料,它的要求與一般的個人資料是不太一樣的。
醫療業的個資保護事項
對醫療業而言,保護病患的隱私,基本上已是醫療從業人員的義務和責任,尤其是關於醫生與患者之間的保密要求,更經常出現在世界各國的醫療法規之中。醫療資訊的重要性,不同於一般個人資料的原因,就在於它明顯的反應了一個人的內在,包括身體的情況和心理的狀態,若是受到不當的揭露,對於個人的衝擊,明顯地大於許多可識別至個人的資料。
換句話說,醫療業者必須要確保醫療資訊的安全和妥善的隱私保護,才能夠獲得患者的信任,使其願意提供個人的身體和心理的真實情況,才可有助於醫生判斷病情,讓病症獲得正確的診治。所以,醫療業者對於個人資料的保護責任不在話下,面對與醫療有關的個人資料蒐集、處理和利用,自是應該遵守個人資料保護法和相關醫療法規的要求,即使有些醫療資訊是為了提供給學術研究或疾病統計之用,也要注意是否已將資料作了適當的匿名化處理,使其無法識別至特定的個人,以免誤觸了法網。
此外,醫療資訊對許多職場工作者來說也是重要的,如果雇主能夠任意地取得員工的醫療記錄,對於評估為可能屬於高風險的員工,有些雇主為了避免付出過高醫療保險費用,可能就會實施惡意性的解雇,或是針對性向不同的員工,主觀認為可能會對其他員工造成影響,而將之惡意性的汰換,導致個人的工作權益受到損害。
金融業的個資保護事項
保護個人金融與信用方面的資訊,是金融業必須重視的要項之一,保護客戶的信用與借貸資料,目的是希望客戶能夠安心地揭露個人的資產與債務情況,有助於銀行業者來評估借貸者的還款能力。另外,確保個人信用資料的安全,也能夠避免個人的身分不會受到非法的冒用,或是個人金融交易受到不當的損害。
許多法規對於金融資訊的保護都有其要求,例如美國在1999年實施的GLBA法案,建立了針對金融機構一系列的個人資料保護要求;日本的個人情報保護法,針對屬於金融方面的個人資料,也有相關的使用規範。而為了進一步確保金融資訊的安全,各國針對銀行幾乎都有對應的法律要求,除了確保從業人員需盡到業務保密的責任之外,若是沒有正當的理由或未經個人同意之下,即使是政府單位想要調閱金融資訊,都可能受到限制,目的就是要保護個人的隱私。
不過近年來,為了反制恐怖行動和反制國際洗錢的犯罪行為,金融業者對於客戶金融資料的保護也面臨了種種的壓力與挑戰,因此在特定類型的交易資料方面,相關的安全機制和通報的要求,就需要多方的審慎考量。另外,透過網路的信用卡支付方面,也有別於傳統銀行業的交易模式,針對線上的身分驗證、資料傳輸及用戶端的個人資料保護,可以參考PCI-DSS標準的內容,實施對應的安全措施。
電子商務的個資保護要求
對電子商務業者而言,主要是透過網站來蒐集和個人有關的各項資料,一般可分為兩種方式來進行,第一種是主動式的蒐集,例如在進行線上交易之前,網站通常會要求消費者必須加入會員才能進行購物,因此就會在網頁上提供會員註冊表單,讓消費者可以採用選單選擇或直接依照項目說明填入所需的資料,最後按下送出即可完成。
第二種蒐集消費者個人資料的方法,是採取被動的蒐集方式進行,也就是電子商務業者會在消費者無法發覺的情況之下,透過網站互動技術像是Cookie,在背景之中蒐集消費者的瀏覽資訊,包括了瀏覽過的網頁、所使用的瀏覽器版本、作業系統,甚至所在的位置等,藉此來追蹤統計消費者的購物和網站使用習慣,作為後續的行銷之用或廣告點選次數計算等。
無論是採取了主動或被動的資料蒐集方式,只要蒐集的資料可以識別到特定的個人,這種行為就屬於個人資料保護法中所定義的蒐集個人資料,因此必須依照法律的要求,除了要說明蒐集的目的,同時也要盡到所謂告知的義務。目前最簡單的實務作法是在網站上提供適當的聲明或是附上隱私政策的宣告,讓消費者可以知道其個人資料是如何被蒐集、處理和利用的。
除此之外,電子商務業者針對網站所蒐集到的個人資料,也必須採取適當的安全措施來加以保護,至少包括了網站本身的主機安全、應用程式與資料庫的安全,以及資料在傳輸時的安全。如果線上交易的對象跨越國界,也不要忘了注意跨國購物和資料跨國傳輸的相關法規要求。
電信業的個資保護要求
憲法第十二條中規定:「人民有秘密通訊之自由。」目就是在確保人民就通訊之有無、對象、時間、方式及內容等事項,有不受國家及他人任意侵擾之權利。依據大法官的解釋,即使國家採取各項限制手段時,除應有法律依據外,限制之要件應具體、明確,不得逾越必要之範圍,所採行之程序也應合理、正當,才能符憲法保護人民秘密通訊自由之意旨。
目前電信業者對於和個人資料保護與隱私維護的重點,大致涵蓋了三個方向,首先是通訊的內容保護,包括了語音通話和傳真數據的內容,還有簡訊或電子郵件的訊息安全;其次是可識別至特定個人的資訊,包括了發話者和受話者的身分,所使用綁定的電話號碼等;最後則是各項的通聯記錄和歷史軌跡資料,從中可以得知過去通訊的時間、使用的設備,甚至所在的地點等。
對於政府和執行單位而言,這些與個人有關的資料是非常具有價值的,尤其是在防制非法活動和犯罪行為調查方面,提供了一個有效而明確的偵辦方向,但從另一個角度來看,這些資料都是屬於個人私密的訊息,而且是憲法所賦予的通訊自由。因此,有關通聯記錄的調閱、通話內容的監聽等行為,應該受到明確的規範、限制授權和合理的實施程序,尤其是非政府單位所提出的通訊監控要求,或是存取相關的通訊記錄,更應該受到嚴格的禁止。
近年來,人們的通訊隱私更是受到一大挑戰,因為只要連接上了網際網路,地理位置等相關資訊就可能受到蒐集和利用,尤其是行動裝置的普及,更可以精確的鎖定精準的位置,所以對於電信業者來說,如何加強內部人員的管理,避免相關的個人資料受到不當的存取,勢必是未來要妥善因應的重要關鍵。
人力派遣業的個資保護要求
目前有許多的公司行號,採用了人力派遣業者所提供的人力資源,所以這些業者手上握有最多的商業資訊,就是各種不同工作者的履歷資料。這些履歷資料可能是工作者自行提供,或是來自於和人力銀行的合作,所包括的個資,除了姓名、連絡電話、學經歷、個人照片之外,可能還包括了親屬聯絡人和身高體重等健康資料。
對人力業者而言,為了符合個人資料保護法的規定,一開始在蒐集個人資料時,就要注意內容是否與該當事人所應徵的職務,有著明顯和正當的關聯,除了工作所需的必要資料之外,其他可能無關的政黨支持、宗教理念、性別傾向及身體特徵等,就不需要過度的蒐集,以免因保護或利用不當而導致不必要的損害發生。
在處理個人資料時,除了要求內容的正確性和確保資料存放的安全外,針對內容的新增、修改、刪除,以及查詢、記錄和更正,都需要有相關的回應處理方式,以符合法律所賦予當事人可對其個人資料主張的權利。
在利用個人資料時,則必須確實遵守與當事人告知的使用目的,如果與當初蒐集的目的不符時,就必須要重新獲得當事人的書面同意。如果相關的履歷資料需要提供給可能的雇主參考時,也別忘了提醒對應的企業人力資源部門,對於所交付的個人資料,也必須盡到所需的保護責任。(本文刊載於2013年4月號網管人雜誌)
[參考資料]
IAPP - Information Privacy (Official reference for CIPP)
沒有留言:
張貼留言