「電腦處理個人資料保護法」(下稱「舊個資法」)係規範個人資料保護之主要法令,99年5月26日經全面修正,更名為「個人資料保護法」(下稱「新個資法」),但新個資法之施行日期則尚未決定,相關配套措施亦尚未公布。依據8月初之消息,新個資法有可能於101年10月1日開始實施。
由於所有行業均應遵守新個資法,業務上涉及大批個人資料之業別,例如如金融業、百貨零售業、不動產仲介業等等,執行時恐面臨許多問題,最好應先備妥因應措施。
謹就新個資法之重要事項說明如下:
新個資法之重要注意事項
l 適用主體
舊法適用於「公務機關」以及部分「非公務機關」。新法適用於所有「公務機關」及「非公務機關」。本文將以屬於「非公務機關」之一般公司作說明。
l 保護範圍
舊個資法僅適用於「利用電腦處理個人資料」之情形,且「個人資料」之範圍較為狹隘。
新個資法則擴大到所有蒐集、處理、利用個人資料之情形,無論是否透過電腦處理,均有適用。其所保護的「個人資料」,包括自然人之姓名、出生年月日、身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料(下稱「個資」)。
l 應具有「特定目的」並符合一定情形才可蒐集個資
依新個資法之規定,公司應有「特定目的」,並符合「一定情形」者,始得蒐集、處理個資。
政府就舊個資法有訂定「電腦處理個人資料保護法之特定目的及個人資料之類別」,規定「特定目的」之項目,但尚未就新個資法公告其適用之「特定目的」項目。「一定情形」則例如法律明文、契約關係、已合法公開、為統計或研究目的、經當事人書面同意、與公益有關、取自於一般可得來源等等。
l 蒐集個資時,應告知當事人
除有法定例外情形,公司於蒐集個資時應告知當事人,但會依「直接向當事人取得」或是「透過第三人間接取得」,告知事項略有不同,告知事項包括:資料來源、蒐集者名稱、蒐集目的、個資類別、個資利用範圍、當事人權利、不提供個資之權益影響等等。
一旦新個資法開始實施,公司於新個資法施行日前自第三人所取得之個資,應於處理或利用個資前先告知當事人,並且應於新個資法施行日起1年內完成告知,逾期未告知而處理或利用者,將有違法之虞。新個資法施行後取得個資時,公司均應履行告知義務。
告知方式,依新個資法施行細則草案第13條之規定,得以書面、電話、傳真、電子文件或其他適當方式為之。
l 特種資料
醫療、基因、性生活、健康檢查及犯罪前科等資料屬於特種個資,除有法定例外情形(例如執行法定職務或研究等等),原則上不得蒐集、處理或利用。但,公司可否要求員工提供健檢資料或犯罪前科資料?依新個資法之規定,恐尚難為此等要求,除非該員工所擬擔任之職務依法須符合一定條件,例如必須無犯罪前科紀錄,始可要求其提供該等資料。
l 利用個資不得超過「特定目的」範圍
除有法定例外情形,利用個資時,不得超過蒐集時所告知當事人之「特定目的」範圍。
此外,公司利用個資進行行銷者,應於首次行銷時,告知當事人表示拒絕行銷的方式,如果當事人拒絕,公司並應立即停止。
l 當事人之權利、個資之增修與刪除
當事人得查詢、請求閱覽、複製本、補充或更正,要求停止蒐集、處理或利用,或要求刪除。當事人如要求時,公司原則上應配合辦理,但如果因「執行職務或業務所必須」(例如法令或契約有規定個資保存期限、刪除個資將侵害當事人利益、儲存方式特殊致不能刪除或刪除費用過鉅或當事人書面同意等等),則不再此限。
l 安全保護措施
公司應有「適當安全措施」,避免個資被竊取、竄改、毀損、滅失或洩漏。依新個資法施行細則草案第9條規定,「適當安全措施」係指為防止個資被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之必要措施,包括:管理、資源配置、風險評估、事故預防、通報及應變、宣導及教育訓練、稽核、保存、維護等等
此外,如果公司委託他人蒐集、處理或利用個資時,公司應對受託人應進行適當之監督。
l 團體訴訟機制
個資外洩之受害者超過20人以上時,得進行團體訴訟。
l 行政及民刑事責任
1. 行政責任
公司如果違反新個資法時,主管機關或政府得禁止其繼續蒐集、處理或利用個資,或得沒收、刪除或銷燬個資,並可公布其違法情形、公司名稱與負責人,並得視違反之條款,處以2萬元至50萬元之罰鍰。公司之代表人、管理人或其他有代表權人,除能證明已盡防止義務者外,應一併處以罰鍰。
2. 民事責任
如個資外洩,受害者可請求損害賠償,無法斷定其受損金額時,法院可依其情形,以每人每一事件500元至2萬元計算;若同一事件有多位受害人時,賠償金額以2億元為上限,但如果涉及利益超過2億時,則以該利益為上限。
3. 刑事責任
違法蒐集、處理或利用個資者,如並無意圖營利,處2年以下有期徒刑、拘役或科或併科20萬元以下罰金;如果意圖營利,則處5年以下有期徒刑,得併科100萬元以下罰金。違法妨害個資正確性者,處5年以下有期徒刑、拘役或科或併科100萬元以下罰金。
因應措施
為因應新個資法及其相關規定,建議各公司之因應措施至少應包括下述事項:
l 制定內部個資作業程序。
l 考量是否指派專人或部門負責個資事務。
l 建立個資安全維護機制。
l 蒐集個資應向當事人告知:就新個資法施行前透過第三人取得的個資,應於新個資法施 行日起1年內完成告知義務;於新個資法施行日後取得之個資,應善盡告知義務。
l 審閱現行合約文件,修改或增列個資相關條款。