個人資料保護法修正後之運用

引自:台灣法律網電子報 : 第3205期


文 / 簡榮宗律師



在此資訊快速流通的社會,民眾在運用個人資料、享受輕鬆掌握便利生活的同時,也擔心相關資訊會被不當蒐集、利用甚至洩漏、銷售;然而,原於1995年公布之《電腦處理個人資料保護法》(即現行個資法),不但規範之主體(僅規定8大行業及經指定之非公務機關)及客體(未保護特種資料及其他間接可識別之個人資料)有限,亦早已無法因應日新月異之利用行為,故經過多年努力及多次朝野協商,《個人資料保護法》草案,終於在2010年4月三讀通過。

三讀通過之《個人資料保護法》(即新版個資法),除了審議期間,曾產生間接蒐集個人資料,「告知資料來源」之條款,是否限制新聞自由之爭議外(第9條第5款後來將大眾傳播業者基於新聞報導之公益目的而蒐集之部份排除告知);法案中將個人資料保護的範圍擴及所有領域、加重民事及刑事的責任或對負責人科處同一額度之罰鍰等規定,雖然具有正面之宣示意義,但對於從事相關業務的企業、甚至個人而言,也可能產生了不斐之法規遵循成本,實應及早加以因應。

此次修法中,雖然將自然人對他人的個人資料利用行為也包括在內;但為了避免因而限制了個人日常生活中合理的利用行為,法案也將「自然人為單純個人或家庭活動之目的」而蒐集、利用之個人資料以及「於公開場所或公開活動所蒐集、利用未與其他個人資料相結合」之影音資料排除(第51條)。因此,若將朋友的電話製作成通訊錄,或在個人部落格及Facebook張貼一般日常生活或公共活動的合照或影音資料,亦不致於違法。

而於擴大保護個人資料之部份,此次修法參考歐盟之規定,規定「醫療、基因、性生活、健康檢查、犯罪前科」等屬於特種資料,除非法律明定、履行法定義務且有適當之防護措施、自行公開或已合法公開、統計或學術研究,否則不得蒐集、處理、利用(第6條)。因此,將來就此種特種資料之保護,會較其他個人資料更嚴謹,應可減少目前部份醫師拿名人之病歷或整型經過來炒作之亂象。

至於個人資料之運用,依新版個資法之規定不得逾越特定目的必要之範圍並應與蒐集之目的具有正當合理之關連(第5條)。所以實務上常見利用抽獎、填問卷,或類似Facebook上心理測驗所獲同意取得的個人資料,因為有當初蒐集目的之限制,所以不能擅自另做為其他用途。而一般來源即可取得的個人資料,雖然法條規定得蒐集或處理,但若有涉及其他更值得保護的個人利益,當事人也可以要求刪除或停止處理、利用(第19條)。

   在利用個人資料進行行銷之部份,法案亦規定非公務機關利用個人資料行銷時,若當事人表示拒絕,應立即停止使用其個人資料。於首次行銷時,並須提供民眾拒絕行銷之方式,以及支付所需費用(第20條)。換言之,日後業者於行銷時,即必須提供免費回郵信封或免費服務電話,讓民眾得以便利之方式表達拒絕行銷之意願。

    針對個人資料檔案之保護,新版個資法中要求應採取適當之安全措施以防止個人資料被竊取、竄改或洩漏;而政府相關單位亦得指定部份非公務機關訂定個人資料檔案安全維護計畫或業務終止後之資料處理方法(第27條)。若日後業者未依主管機關訂定之計劃或方法為之,即可能被認為未採取適當之安全措施,故不可不慎。

    若因個人資料遭不法侵害,難以證明實際損害金額時,民事途逕部份,可向法院請求每人每一事件500至20,000元賠償;但考量業者承受之程度,同一事件總額以2億元為限(第28條)。至於意圖為自己或第三人不法利益,違法蒐集、處理、利用或變造個人資料,足生損害於他人者,最高則可能面臨5年有期徒刑之刑責(第42條)。

《個人資料保護法》雖然已三讀通過,但因為正式施行日期尚待行政院定之(第56條),因此無論個人或相關業者都還有妥為因應的時間(目前預估為公告後1年後,約為2010年6月施行)。然而,對於從事電子商務的業者而言,因為行政院已於2010年2月公告部分無店面零售業,需自7月1日起適用現行的電腦處理個人資料保護法(即現行個資法), 則面臨包括可能需登記、取得執照後始得蒐集個人資料以及僅得於特定目的範圍內始得利用個人資料等措施,影響不可謂不大,值得電子商務業者多加留意。

【電子商務業者適用個資法之簡表】
時間
法規適用
重要規定
現在~
201071
除經指定之人力銀行或具有電信業執照之業者,不適用「電腦處理個人資料保護法」(現行個資法)

201071201161(假定之施行日期)
須遵循「電腦處理個人資料保護法」規定(現行個資法)
當事人權利行使(3)
蒐集處理之限制(第18條)
正當蒐集與處理行為(19)
利用之限制(第23條)
201161之後
須遵循「個人資料保護法」規定(新版個資法)
當事人權利行使(4)
正當蒐集與處理行為(19)
特種資料(6)
告知義務(8條、第9條、第12)
首次行銷之表示拒絕接受(20)