個人資料保護法面面觀 - 中彰投區身心障礙者職業重建服務資源中心
Download
Report
Transcript 個人資料保護法面面觀 - 中彰投區身心障礙者職業重建服務資源中心
個人資料保護法面面觀
華誠聯合律師事務所
蔡其龍律師
個人簡歷
私立東海大學法律系法學士
國立中興大學科技法律研究所
96年專門職業及技術人員高等考試及格(律
師)
專利代理人
法瑪國際律師事務所實習律師
群展國際法律事務所律師
德律專利商標法律事務所律師
財團法人法律扶助基金會台中分會扶助律師
財團法人法律扶助基金會彰化分會扶助律師
財團法人法律扶助基金會南投分會扶助律師
財團法人法律扶助基金會雲林分會扶助律師
台中律師公會公關組主任
2
現任職華誠聯合律師事務所律師
大綱
個資外洩案例
個人資料保護法修法進程
個資法概析
個資責任因子
3
個資外洩案例
4
5
國內新聞:處方箋外洩,醫院與
回收商均有責任
6
7
個人資料保護法修法進程
8
個人資料保護法修法進程
1995年,立法院三讀通過「電腦處理個人資料保護
法」草
案,同年總統公布施行
2005年,法務部研擬完成「電腦處理個人資料保護
法」草
案,並將法規名稱改為「個人資料保護法」,並送請
立法院
審議
2010年4月27日立法院三讀通過個人資料保護法
2010年5月26日總統府公布,施行日期尚待行政院訂
之
法務部業於2011年10月27日公告施行細則草案
法務部業於2012年4月11日提出修正草案
新版個人資料保護法已在2012年10月1日開始實施
9
個資法概析
10
個資法概析
整體架構
新法案例思考脈絡
修正重點臚列
責任規定
民事賠償規定、要件及責任性質
民事賠償金額之決定
刑事責任
非公務機關之行政責任
確保符合個資法要求之方案
11
個人資料保護法條文
共六章 56條
第一章 總則(第1條至第14條)
第二章 公務機關對個人資料之蒐集、處理
及利用(第15條至第18條)
第三章 非公務機關對個人資料之蒐集、處
理及利用(第19條至第27條)
第四章 損害賠償及團體訴訟(第28條至第
40條)
第五章 罰則(第41條至第50條)
第六章 附則(第51條至第56條)
12
13
14
新舊法之區別
新法適用主體即規範之對象
修正後
修正前
說明
第二條
七、公務機關:指依法行使
公權力之中央或地方機關或
行政法人。
八、非公務機關:指前款以
外之自然人、法人或其他團
體。
第三條
六、公務機關:指依法行使
公權力之中央或地方機關。
七、非公務機關:指前款以
外之左列事業、團體或個人
:
(一)徵信業及以蒐集或電腦
處理個人資料為主要業務之
團體或個人。
(二)醫院、學校、電信業、
金融業、證券業、保險業及
大眾傳播業。
(三)其他經法務部會同中央
目的事業主管機關指定之事
業、團體或個人。
修正前對於非公務機關是否適用個資
法上,僅限於其所列舉之事業、團體
或個人。
修正後則對於非公務機關不再侷限於
特定行業別,只要是公務機關以外之
自然人、法人或其他團體均有適用。
15
新法適用客體即受保護之範圍
修正後
修正前
說明
第二條
一、個人資料:指自然
人之姓名、出生年
月日、國民身分證
統一編號、護照號
碼、特徵、指紋、
婚姻、家庭、教育
、職業、病歷、醫
療、基因、性生活
、健康檢查、犯罪
前科、聯絡方式、
財務情況、社會活
動及其他得以直接
或間接方式識別該
個人之資料。
二、個人資料檔案:指
依系統建立而得以
自動化機器或其他
非自動化方式檢索
、整理之個人資料
之集合。
第三條
一、個人資料:指自然人之
姓名、出生年月日、身
分證統一編號、特徵、
指紋、婚姻、家庭、教
育、職業、健康、病歷
、財務情況、社會活動
及其他足資識別該個人
之資料。
二、個人資料檔案:指基於
特定目的儲存於電磁紀
錄物或其他類似媒體之
個人資料之集合。
三、電腦處理:指使用電腦
或自動化機器為資料之
輸入、儲存、編輯、更
正、檢索、刪除、輸出
、傳遞或其他處理。
一、修正後之條文另增加護照號碼、醫
療、基因、性生活、健康檢查、犯
罪前科、聯絡方式等個人資料,以
補充說明個人資料之性質。並將有
些資料雖未直接指名道姓,但一經
揭露仍足以識別為某一特定人,對
個人隱私仍會造成侵害而修正為
「其他得以直接或間接方式識別該
個人之資料」。
二、修正後之條文將修正前之第三款予
以刪除,並修正第二款之定義,即
不再侷限於數位資料,一般人工資
料亦包括在內。
16
新法將規範行為擴大
修正後
修正前
說明
第二條
三、蒐集:指以任何方式取得個人
資料。
四、處理:指為建立或利用個人資
料檔案所為資料之記錄、輸入
、儲存、編輯、更正、複製、
檢索、刪除、輸出、連結或內
部傳送。
五、利用:指將蒐集之個人資料為
處理以外之使用。
六、國際傳輸:指將個人資料作跨
國(境)之處理或利用。
第三條
三、電腦處理:指使用
電腦或自動化機器
為資料之輸入、儲
存、編輯、更正、
檢索、刪除、輸出
、傳遞或其他處理
。
四、蒐集:指為建立個
人資料檔案而取得
個人資料。
五、利用:指公務機關
或非公務機關將其
保有之個人資料檔
案為內部使用或提
供當事人以外之第
三人。
一、修正後之規定對於蒐集,不
再限定以何種方式取得,
直接自當事人處蒐集或間
接從當事人取得者均受規
範。
二、修正前限於電腦處理,而修
正後則將電腦二字刪除,
即為建立或利用個人資料
檔案所為資料之記錄、輸
入、儲存、編輯、更正、
複製、檢索、刪除、輸出
、連結或內部傳送均屬之
,並增加跨國處理與利用
之規範,只要該資料作跨
國(境)之傳輸,不論是
屬處理或利用行為,皆屬
「國際傳輸」。
三、修正前對於直接對當事人本
人使用其個人資料,滋生
疑義。故修正後之規定予
以精簡,係指將蒐集之個
17
人資料為處理以外之使用
均屬之。
個資法概析
修正重點臚列I
擴大保護客體:
不再以經電腦處理之個資為限,含紙本個資
增訂§6特種個資蒐集限制
但自然人為單純個人或家庭活動目的、於公
開場合/活動蒐集處理利用未與其他個人資
料結合之影音資料→不適用
非公務機關適用主體不再限於八大行
業:
所有蒐集個資之公務機關、非公務機關及個
人均有適用
受委託蒐集、處理或利用個人資料者,視同
委託機關。
舊法除現行個資法明定之八大行業外,加上
法務部以行政命令僅有約二十種行業
18
個資法概析
修正重點臚列II
個資定義大幅擴張:
舊法→足資識別
新法→直接或間接(則§3)得以識別(類別新增:護照號
碼、醫療、基因、性生活、犯罪前科、聯絡方式幾項)
當事人自主原則及查閱更正原則:
當事人得行使之權利:查閱或閱覽、製給複製本、補充或
更正、停止蒐集處理利用、刪除
行使權利之程序及救濟:
19
個資法概析
修正重點臚列III
20
個資法概析
修正重點臚列IV
21
個資法概析
修正重點臚列V
22
個資法概析
修正重點臚列VI
強化行政監督:
對非公務機關個資相關事項,中央目的事業
主管機關或地方政府得強制檢查、處分或處
罰鍰
促進民眾參與(建立公益團體團體訴
訟機制):
財團法人:登記財產總額達新台幣一千萬元、
保護個資事項定於章程目的範圍內、許可設
立三年以上
社團法人:社員人數達一百人、保護個資事
項於章程所定目的範圍內、許可設立三年以
上
23
個資法概析
責任規定
提高民事賠償責任、新增刑責及
行政責任
24
違反修正後個資法之民、刑事責任
民事責任
修正後
第二十八條
公務機關違反本法規定
,致個人資料遭不法蒐
集、處理、利用或其他
侵害當事人權利者,負
損害賠償責任。但損害
因天災、事變或其他不
可抗力所致者,不在此
限。
被害人雖非財產上之損
害,亦得請求賠償相當
之金額;其名譽被侵害
者,並得請求為回復名
譽之適當處分。
依前二項情形,如被
害人不易或不能證明其
實際損害額時,得請求
法院依侵害情節,以每
人每一事件新臺幣五百
元以上二萬元以下計算
。
修正前
第二十七條
公務機關違反本法規定
,致當事人權益受損害
者,應負損害賠償責任
。但損害因天災、事變
或其他不可抗力所致者
,不在此限。
被害人雖非財產上之損
害,亦得請求賠償相當
之金額;其名譽被侵害
者,並得請求為回復名
譽之適當處分。
前二項損害賠償總額,
以每人每一事件新臺幣
二萬元以上十萬元以下
計算。但能證明其所受
之損害額高於該金額者
,不在此限。
基於同一原因事實應對
當事人負損害賠償責任
者,其合計最高總額以
新臺幣二千萬元為限。
第二項請求權,不得讓
與或繼承。但以金額賠
償之請求權已依契約承
諾或已起訴者,不在此
限。
說明
一、公務機關負無過失損害賠償責任;
非公務機關則負負過失責任,但
舉證責任倒置,由非公務機關證
明其無故意或過失。
二、將賠償總額新臺幣二千萬元之限
制,提高為新臺幣二億元。但如
其所涉利益超過新臺幣二億元者
,則不受二億元之限制。
三、如無法證明實際損害額時,得請
求法院依侵害情節,以每人每一
事件新臺幣五百元以上二萬元以
下計算。
25
修正後
修正前
對於同一原因事實造成
多數當事人權利受侵害
之事件,經當事人請求
損害賠償者,其合計最
高總額以新臺幣二億元
為限。但因該原因事實
所涉利益超過新臺幣二
億元者,以該所涉利益
為限。
同一原因事實造成之損
害總額逾前項金額時,
被害人所受賠償金額,
不受第三項所定每人每
一事件最低賠償金額新
臺幣五百元之限制。
第二項請求權,不得
讓與或繼承。但以金額
賠償之請求權已依契約
承諾或已起訴者,不在
此限。
第二十九條
非公務機關違反本法規
定,致個人資料遭不法
蒐集、處理、利用或其
他侵害當事人權利者,
負損害賠償責任。但能
證明其無故意或過失者
,不在此限。
依前項規定請求賠償
者,適用前條第二項至
第六項規定。
說明
一、公務機關負無過失損害賠償責任;
非公務機關則負負過失責任,但
舉證責任倒置,由非公務機關證
明其無故意或過失。
二、將賠償總額新臺幣二千萬元之限
制,提高為新臺幣二億元。但如
其所涉利益超過新臺幣二億元者
,則不受二億元之限制。
三、如無法證明實際損害額時,得請
求法院依侵害情節,以每人每一
事件新臺幣五百元以上二萬元以
下計算。
第二十八條
非公務機關違反本
法規定,致當事人權益
受損害者,應負損害賠
償責任。但能證明其無
故意或過失者,不在此
限。
依前項規定請求賠償者
,適用前條第二項至第
五項之規定。
26
個資法概析
責任規定—民事賠償規定I
第28條
公務機關違反本法規定,致個人資料遭不法蒐集、處
理、利用或其他侵害當事人權利者,負損害賠償責任。
但損害因天災、事變或其他不可抗力所致者,不在此
限。
被害人雖非財產上之損害,亦得請求賠償相當之金額;
其名譽被侵害者,並得請求為回復名譽之適當處分。
依前二項情形,如被害人不易或不能證明其實際損害
額時,得請求法院依侵害情節,以每人每一事件新臺
幣五百元以上二萬元以下計算。
對於同一原因事實造成多數當事人權利受侵害之事件,
經當事人請求損害賠償者,其合計最高總額以新臺幣
二億元為限。但因該原因事實所涉利益超過新臺幣二
億元者,以該所涉利益為限。
同一原因事實造成之損害總額逾前項金額時,被害人
所受賠償金額,不受第三項所定每人每一事件最低賠
償金額新臺幣五百元之限制。
第二項請求權,不得讓與或繼承。但以金額賠償之請
27
求權已依契約承諾或已起訴者,不在此限。
個資法概析
責任規定—民事賠償規定II
第29條
非公務機關違反本法規定,致個人資料遭不
法蒐集、處理、利用或其他侵害當事人權利
者,負損害賠償責任。但能證明其無故意或
過失者,不在此限。
依前項規定請求賠償者,適用前條第二項至
第六項規定。
第30條:
損害賠償請求權,自請求權人知有損害及賠
償義務人時起,因二年間不行使而消滅;自
損害發生時起,逾五年者,亦同。
第31條:
損害賠償,除依本法規定外,公務機關適用
國家賠償法之規定,非公務機關適用民法之
規定。
28
個資法概析
責任規定—民事賠償要件及責任性
質
要件:
「違反本法規定」、「致個人資料遭不法蒐集、處
理、利用或其他侵害權利」:
範圍不是只有個資外洩之情形,如違法蒐集,應告知
未告知,應通知未通知,逾期保存或利用個資,當事
人請求更正、刪除卻未更正、刪除....皆屬之
責任性質:
公務機關採無過失責任:公務機關侵害→有無過失均
需賠償
非公務機關採舉證責任倒置:非公務機關侵害→由被
告證明侵害權利並無過失
無損害即無賠償原則(民事訴訟法§222):
原告仍需證明有損害發生及造成損害者為被告及因果
關係
29
個資法概析
責任規定—民事賠償金額之決定
有損害即有賠償原則:
如能證明損害額→即無§28III法官以自由心證酌定賠
償額之適用
不能證明損害額→用§28III酌定賠償額(自由心證):
「法院依自由心證酌定損害額時,就經濟分析之立場
而言,係一種在無法確定損害額之狀況下,依據具體
個案之週遭事實推估損害額之心智過程,自由心證形
成之過程中必須以具體個案之事實作為推估損害額之
依據,而不得以恣意推測之方式憑空猜測損害額...」
(智慧財產權法院100年度民著訴字第9號民事判決)
30
刑事責任
修正後
第四十一條
違反第六條第一項、第十五
條、第十六條、第十九
條、第二十條第一項規
定,或中央目的事業主
管機關依第二十一條限
制國際傳輸之命令或處
分,足生損害於他人者
,處二年以下有期徒刑
、拘役或科或併科新臺
幣二十萬元以下罰金。
意圖營利犯前項之罪者,
處五年以下有期徒刑,
得併科新臺幣一百萬元
以下罰金。
修正前
第三十三條
意圖營利違反第七條
、第八條、第十八條
、第十九條第一項、
第二項、第二十三條
之規定或依第二十四
條所發布之限制命令
,致生損害於他人者
,處二年以下有期徒
刑、拘役或科或併科
新臺幣四萬元以下罰
金。
說明
一、修正主觀構成要件,不具營利
意圖者,亦構成犯罪。
二、違法蒐集、處理或利用特種個
人資料)者,亦須處罰。
三、規定意圖營利犯前項之罪者,
刑罰提高到五年以下有期徒刑
,得併科新臺幣一百萬元以下
罰金,期能遏阻盜賣個人資料
之不法行為。
31
個資法概析
責任規定—刑事責任I
第41條:
違反第六條第一項(違法蒐集處理利用特種資料)、
第十五條(無特定目的/情形蒐集處理)、第十六條
(利用逾越特定目的)、第十九條(無特定目的/情
形蒐集處理)、第二十條第一項(利用逾越特定目的)
規定,或中央目的事業主管機關依第二十一條限制國
際傳輸之命令或處分, 足生損害於他人者,處二年
以下有期徒刑、拘役或科或併科新臺幣二十萬元
以下罰金。(新增規定!)
意圖營利犯前項之罪者,處五年以下有期徒刑,得併
科新臺幣一百萬元以下罰金。(現行規定即有、2年
→5年、刪除拘役、罰金4萬→100萬)
第42條:
意圖為自己或第三人不法之利益或損害他人之利益,
而對於個人資料檔案為非法變更、刪除或以其他非法
方法,致妨害個人資料檔案之正確而足生損害於他人
者,處五年以下有期徒刑、拘役或科或併科新臺幣一
百萬元以下罰金。(現行規定即有、3年→5年、罰金32
5萬→100萬)
個資法概析
責任規定—刑事責任II
第43條:
中華民國人民在中華民國領域外對中華民國人民犯前
二條之罪者,亦適用之。(新增規定)
第44條:
公務員假借職務上之權力、機會或方法,犯本章之罪
者,加重其刑至二分之一。(前二條→本章)
第45條:
本章之罪,須告訴乃論。但犯第四十一條第二項之罪
者,或對公務機關犯第四十二條之罪者,不在此限。
(新增但書規定,對公務機關為資料擅改、刪除等,
為非告乃論之罪)
第46條:
犯本章之罪,其他法律有較重處罰規定者,從其規定。
(同現行規定)
33
個資法概析
責任規定—刑事責任III
第41條第1項之構成要件:
客觀構成要件:
違反§6I、§15、§16、§19、§20I、§21、
足生損害於他人者
主觀構成要件:
行為人認知其行為符合以上要件
Q:可否以制定個資保護安全維護計畫、
購買資安設備或導入
ISO27001、TPIPAS(DPMARK)等國際
管理規範,主張阻卻故意因而無罪?
應經「個資查檢」才能確保遵法性!
34
個資法概析
責任規定—非公務機關之行政責任I
第25條(新增規定):
中央目的事業主管機關或直轄市、縣
(市)政府得處非公務機關: 禁止蒐
集處理利用、命令刪除、沒入或命銷
燬、公布
違法情形(姓名、名稱或負責人)
第47條(新增規定):
違反§6I、§19、§20I、§21(與§41I同)
→5萬-50萬元罰鍰、令限期改正、屆
期未改正者按次處罰之
35
個資法概析
責任規定—非公務機關之行政責任
II
第48條(新增規定):
違反§8、§9、§10、§11、§12、§13、§20II
或III、§27I或II→2萬-20萬元罰鍰、令限
期改正、屆期未改正者按次處罰之
第49條(新增規定):
無正當理由,違反§22IV →2萬-20萬元罰鍰
第50條(現行規定):
非公務機關之代表人、管理人或其他有代表
權人,因該非公務機關依前三條規定受罰鍰
處罰時,除能證明已盡防止義務者外,應並
受同一額度罰鍰之處罰。
36
個資法概析
確保符合個資法要求之方案I
個資法三大面向:
適法性、資安、管理缺一不可
37
個資法所規範之行為
蒐集:以任何方式取得個人資料。
一、直接向當事人蒐集。
二、間接從第三人取得,包括向他人購買名單。
處理:為建立或利用個人資料檔案所為資料
之記錄、輸入、儲存、編輯、更正、複製、
檢索、刪除、輸出、連結或內部傳送。
內部傳送:
公務機關將資料傳送給國外辦事處,
校總區將資料傳送給分部,
總公司將資料傳送給分公司。
38
利用:將蒐集之個人資料為處理以外之使用。
直接向當事人使用其個人資料,例如對當事人從事行
銷。
將資料提供當事人以外之第三人。
國際傳輸:將個人資料作跨國(境)之處理或利
用。
一、向大陸地區傳輸個人資料。(法務部94年08月26日
法律字第0940029553號)
二、外國在臺分公司將客戶資料傳遞予外國總公司。
(法務部90年04月27日法律決字第014746號)
39
個資法基本原則
應尊重當事人之權益。
應依誠實及信用方法為之。
不得逾越特定目的之必要範圍。
應與蒐集之目的具有正當合理之
關聯。
40
合法蒐集及處理之要件
蒐集或處理:
應有特定目的。
應符合第15條(公務機關)或第19
條(非公務機關)所定之情形。
41
特定目的外之利用
得為特定目的外之利用之情形:
公務機關:第16條。
非公務機關:第20條。
書面同意:當事人經蒐集者明確告知特定目
的外之其他利用目的、範圍及同意與否對其
權益之影響後,單獨所為之書面意思表示。
避免特定目的外利用個人資料之同意與其他
事項作不當聯結,或被列入定型化契約概括
同意條款,特定目的外利用個人資料,應獨
立作書面意思表示。
42
機關之義務
依當事人請求,答覆查詢、提供閱覽或製給複製本。
例外不答覆或提供之情形:
妨害國家安全、外交及軍事機密、整體經濟利益或其
他國家重大利益。
妨害公務機關執行法定職務。
妨害該蒐集機關或第三人之重大利益(如:檔案資料
自第三人取得,如應當事人之請求准予查詢、閱覽或
製給複製本,將損及保有機關與第三人之協助或信賴
關係者,或洩漏資料蒐集者之業務秘密等。)(§10)。
機關得酌收必要成本費用。(§14)
機關受理當事人請求答覆查詢、提供閱覽或製給複製
本,應於15日內為准駁之決定;必要時,得延長15
日,並應將原因以書面通知請求人。(§13)
機關拒絕或未於期間內決定時,當事人得提起訴願或
訴訟。
43
維護個人資料之正確,並主動或依當
事人之請求更正或補充之。(§11)
個人資料正確性有爭議者,停止處理
或利用(但因執行職務或業務所必須,
並註明其爭議或經當事人書面同意者,
不在此限)。(§11)
因可歸責於機關之事由,未為更正或
補充之個人資料,於更正或補充後,
通知曾提供利用之對象。(§11)
44
個人資料蒐集之特定目的消失或
期限屆滿時,刪除、停止處理或
利用該個人資料(但因執行職務
或業務所必須,或經當事人書面
同意者,不在此限)。(§11)
違反本法規定蒐集、處理或利用
個人資料,應刪除、停止蒐集、
處理或利用該個人資料。(§11)
45
公務機關應將下列事項公開於電
腦網站,或以其他適當方式供公
眾查閱;有變更者亦同:
個人資料檔案名稱。
保有機關名稱及聯絡方式。
個人資料檔案保有之依據及特定
目的。
個人資料之類別。(§17)
46
個資法概析
確保符合個資法要求之方案II
由個資法及施行細則規定所建構之個資責任
因子,涵括三大面向要求,可創造民眾、企
業法人、法院三贏局面!
對企業而言:可降低風險,因而勇於投資個
資保護(問卷調查結果:82.1%的單位認如有
具體標準可依循,將導入例如ISO27001,
Dpmark或其他有助遵循個資法規定之制度)
對法院而言:判斷民事無過失及刑事無刑責
標準更具體,可杜絕恐龍之譏
對民眾而言:數位時代個資外洩或被侵權,
甚難維權,如企業能盡力遵循個資法,民眾
之資訊隱私權將受保障、不再受個資外洩之
苦
可符合個資法三大面向要求之隱私標章或個
資稽核
47
公務機關保有個人資料檔案者,應指定專人
辦理安全維護事項,防止個人資料被竊取、
竄改、毁損、滅失或洩漏。(§18)
非公務機關保有個人資料檔案者,應採行適
當之安全措施,防止個人資料被竊取、竄改、
毁損、滅失或洩漏。中央目的事業主管機關
得指定非公務機關訂定個人資料檔案安全維
護計畫或業務終止後個人資料處理方法。前
項計畫及處理方法之標準等相關事項之辦法,
由中央目的事業主管機關定之。(§27)
48
機關受理當事人請求答覆查詢、提供
閱覽或製給複製本,應於15日內為准
駁之決定;必要時,得延長15日,並
應將原因以書面通知請求人。(§13)
機關受理當事人請求更正、補充、請
求刪除、停止蒐集、處理或利用其個
人資料,應於30日內,為准駁之決定;
必要時,得延長30日,並應將原因以
書面通知請求人。 (§13)
機關拒絕或未於期間內決定時,當事
人得提起訴願或訴訟。
49
合理使用範圍
第五十一條
有下列情形之一者
,不適用本法規定:
一、自然人為單純個人
或家庭活動之目的,而
蒐集、處理或利用個人
資料。
二、於公開場所或公開
活動中所蒐集、處理或
利用之未與其他個人資
料結合之影音資料。
公務機關及非公務機關
,在中華民國領域外對
中華民國人民個人資料
蒐集、處理或利用者,
亦適用本法。
一、有關自然人為單純個人(例如:
社交活動等)或家庭活動(例如:
建立親友通訊錄等)而蒐集、處
理或利用個人資料,因係屬私生
活目的所為,與其職業或業務職
掌無關,則予以排除。
二、另外對於一般人在其個人社群網
站上,如部落格或Facebook等張
貼與朋友間一般日常生活或公共
活動的合照或影音資料,亦加以
排除。
50
個資責任因子
51
個資責任因子
管理組織及資源配置
個人資料範圍
風險評估機制
事故預防通報及應變機制
個資內部管理程序
資料安全管理及人員管理
設備安全管理
資料安全稽核機制及所有相關紀錄留存
個資安全維護計畫之整體持續改善
認知宣導及教育訓練
委外處理個資時之責任因子
52
個資責任因子
資料安全及人員管理I(§18、27、
則§9II➄)
資料安全管理:
個人資料儲存媒體部分:
個資儲存媒體(如伺服器、磁片、隨身碟、攜帶式硬碟等)
是否妥善保管訂定使用規範
個資之紙本或儲存媒體是否未置放於桌面或其他隨手可得
之處、電腦是否設定螢幕保護程式予以鎖定、是否每日檢
查環境周遭有未妥善保管之個人資料
儲存個資之「系統網路」是否進行網路區隔、限制連線,
就公用程式應用(如遠端連線程式)或連線時間等,是否
進行管制;「個人資料庫」是否建有連線管制、存取控制
機制
於廢棄或移轉他人前,是否確實刪除個資,或是否以適當
方式銷毀:如電腦磁片硬碟等使用格式化或其他整體破壞
方式銷毀、欲廢棄或不再持有之紙本資料,是否使用碎紙
機或其他破壞方式予以確實銷毀、是否委由專業廠商於專
人監督下銷毀
刪除或銷毀是否留存相關紀錄
53
個資責任因子
資料安全及人員管理II (§18、§27、
則§9II➄
資料安全管理:
蒐集處理利用個人資料部分:
如含機敏性資料(如身分證字號、信用卡卡號等資
訊)而有加密屏蔽之必要,是否採取適當之加密或
屏蔽機制(如身分證字號部分或全部屏蔽、網路傳輸
以SSL機制加密等)
傳輸個人資料時是否確認資料收受者之正確性,如傳
真號碼之正確,傳真前通知收受者於傳真機前等待,
避免他人誤收而造成資料外傳等、電子郵件之寄送應
確認信箱正確,最好附檔加上密碼控管等
是否據保有資料之重要性,採取適當之備份機制
54
個資責任因子
資料安全及人員管理III (§18、27、
則§9II➄
資料安全管理:
電腦系統部分:
於測試蒐集處理利用個資之系統時,使用虛擬個資,
或於使用真實個人資料時訂定使用程序
適當管制作業系統之升級或更新;程式碼是否僅可由
授權管理人員方得存取,並於存取時留存相關紀錄
採取適當安全機制,因應惡意程式與系統漏洞所造成
之威脅,定期檢查是否遭木馬程式植入、防火牆(如
經由ICSA認證之SONICWALL或FORTIGATE等)及路由器
規則設定、或裝設防毒軟體並定期更新等,定期確認
蒐集處理利用個資之電腦、相關設備或系統具備必要
之安全性,並留存紀錄
電腦系統及網路服務有足夠強度之帳號申請及管理規
定、使用者或系統管理者帳號及權限須申請核准方得
使用、離調職時是否確實取消帳號,且申請及取消帳
號是否均留有紀錄
55
個資責任因子
設備安全管理(§18、§27、則
§9II➇ )
是否依據作業內容及環境之不同,實施必要
安全環境管制,如門禁保全、裝設監視器、
滅火器等
是否妥善維護並控管蒐集處理利用過程中所
使用之實體設備,如個人電腦、儲存紙本個
資之加鎖抽屜櫃等
針對不同作業環境,建置必要之防災設備,
如機房恆溫系統、不斷電系統、異地備援系
統等
蒐集處理利用過程中所使用之實體設備外送
或淘汰前,是否進行安全措施,防止資訊外
洩
存放個資檔案之主機、周邊設備、機敏抽屜
櫃、保險箱或相關設施等,是否為內部至少
第二層門禁管制之安全作業
區域或上鎖、建立完整管理監督程序、留存 56
紀錄
個資責任因子
資料安全稽核機制及所有相關紀錄
留存
資料安全稽核機制(§18、§27、則
§9II➈):
是否設定必要之存取權限控管機制,且定期
確認控管機制之有效性,及權限內容設定之
適當與必要性。就上開事項,是否留存相關
紀錄
是否定期檢查蒐集處理檢查蒐集處理利用個
人資料之電腦、相關設備或系統之使用及個
人資料存取之情形,並留存相關紀錄
以個資查檢作為外稽、機關自行執行相同程
序則為內稽
相關應留存之紀錄,是否均有保存
(§18、§27、則§9II➉)
57
個資責任因子
個資安全維護計畫之整體持續改善
(§18、§27、則§9II⑪)
是否定期檢視各行業所應遵循之
個資保護法令,並基此訂定或修
訂個人資料檔案安全維護計畫
是否定期檢查計畫是否落實執行、
留存紀錄
是否建立計畫之改善或變更程序,
並留存計畫改善或變更之紀錄
58
個資責任因子
認知宣導及教育訓練(§18、§27、
則§9II➆)
依單位特性訂定經負責人核可之下列維護管
理政策應以教育訓練,確認所屬人員確已了
解:
遵守我國個人資料保護法令規定
於特定目的範圍內,蒐集處理利用個人資料
以合理安全水準技術保護個人資料
設置供當事人行使關於個人資料之權利或提出相關之
申訴與諮詢之聯絡窗口
規劃緊急應變程序
妥善監督委外蒐集處理利用個人資料之廠商
持續維運計畫
相關認知宣導及教育訓練之狀況,是否留存
紀錄
59
委外處理個資時之責任因子
與委託單位vs.受託廠商之實力有關
施行細則§8所定應注意之責任因子:
挑選委外廠商或合作夥伴(受託人)時充分考量資安
能力
確認所委託蒐集處理利用之個資範圍、類別、特定目
的及其期間
確認受託人採取必要之個人資料檔案安全維護措施
有複委託者,確認其複委託之對象及確認複委託對象
蒐集處理利用之個人資料之範圍、類別、特定目的及
其期間
受託人或其受僱人違反個資保護法令或委託契約時,
是否有向委託人通知之程序及確實通知
委託關係中止或解除時,是否要求受託人返還或銷毀
因委託事項所交付之個資儲存媒體或紙本,及確認因
委託事項所儲存於受託人處之個資確已刪除
以適當方式確認受託人具體執行前六點程序,並留存
相關記錄以供查驗
60
受託人之事故通報程序是否建立且留存相關記錄
維護個資法十大要點
含有個人隱私資料的取得來源是否合法?(必要時取
得當事人書面同意)
資料處理及利用範圍是否符合蒐集目的之必要範圍內?
組織成員是否能隨意取得、複製含有個人隱私資料?
(由USB裝置攜出)
組織成員是否能隨意傳送含有個人隱私資料?(email
寄出)
組織是否有適當的控制措施防範駭客入侵?(建置防
火牆、防毒軟體)
個人資料之利用、修改、複製是否有留下稽核紀錄?
(啟用Log機制)
組織是否有適當的控制措施防範未經授權人員進入取
得資料或操作系統?(實體安全控管)
組織是否有持續進行資料安全認知訓練?
個人隱私資料存放位置及取用限制是否已經識別與規
範?
個人隱私資料銷毁是否已建立適當的程序?
61
結論
此次修法中,已將修正前之個資法大多數不
足之處予以修正,包括規範之主體不再有行
業別之限制,規範之客體亦不再限於數位資
料,將任何自當事人處蒐集或間接從當事人
取得資料均加以限制,不再限定於電腦處理
範圍內,亦將民事罰則由新台幣二千萬元提
高至二億元,並將刑事責任及範圍擴大,加
重處罰並且將不具營利意圖之行為亦納入規
範當中,至於針對一般人所擔心之人肉搜索
問題,即將自然人對他人的個人資料利用行
為也包括在內,但如為個人日常生活中合理
利用行為或是公開場所或公開活動中所蒐集、
處理或利用之未與其他個人資料結合之影音
資料,則予以排除。
惟因為新修正之個資法不再限制產業及一般
人,為避免政府公務機關及一般私人企業或
個人無法於時間內將所有相關因應措施予以
完成,因此將正式施行日期於今年2012年1062
月始正式公告施行。
常見問題解析
一、平常基於社交禮儀,雙方交換
名片,是否有個資法適用?
答:個資法所稱非公務機關雖包括
自然人,惟有關自然人為單純個
人社交活動而蒐集、處理或利用
個人資料,係屬於單純個人活動
之私生活目的行為,依個資法第
51條第1項第1款規定,並不適用
個資法。
63
二、民意代表基於問政需要,要求
公務機關提供資料,公務機關可
否提供?
答:
一、民意代表要求提供受公務機關補助之法人資料:
行政機關及其內部單位名稱等有關法人之資料,並非個資法所欲規範之個人
資料,不適用個資法。另公務機關有關支付或接受補助之資料,屬於政府資
訊公開法所定應主動公開之政府資訊,自應予以公開之。
二、民意代表或民意機關要求公務機關提供聘用人員名單:
公務機關將已聘用人員名單,提供民意代表作為審查公務機關預算使用時,
雖屬特定目的外之利用,惟係為落實民意機關之監督,符合為增進公共利益
之必要,公務機關並無違反個資法。
三、民意代表或民意機關要求公務機關提供懲處人員名單:
公務機關將其懲處人員名單,提供民意代表作為監督公務機關施政使用時,
係為增進公共利益,屬於個人資料之合理利用,應符個資法。
四、惟民意機關或民意代表就所取得(蒐集)之上開個人資料,仍應在使用(處理、
利用)手段、方式等層面,注意比例原則,避免無端外洩,以符個人資料保
64
護目的。
三、個資法施行後,考生參加考試
院舉辦之國家考試發生違規事件,
一律不得公布違規考生姓名?
答:公務機關如係依特別法應公布之個
人資料類別,尚無庸依個資法衡酌公
布個人資料範圍。例如:依典試法第
21條規定訂定之「試場規則」,應考
人若有違反者,查該規則第8條第1項
規定,由辦理試務機關在試區公告違
規者之試場、姓名、座號、違規事實
及處分。
65
四、個資法施行後,學校張貼榮譽
榜,一律需匿學生姓名?
答:學校為達成教育或訓練行政目
的,於其必要範圍內所為獎勵學
生行為,如張貼榮譽榜揭示姓名,
符合個資法第16條、第20條利用
規定,無需過度遮掩姓名,否則
有違個資法第1條規定所稱「促
進個人資料之合理利用」意旨。
66
五、個資法施行後,公務機關不得
將個資提供予非公務機關(如廟
宇),作為發放敬老金使用?
答:個資法並未規範公務機關一律不得利用個
人資料,例如:縣市政府為使轄區內慈善團
體(如廟宇)等發放敬老金,為增進公共利
益,或有利於當事人權益時,例如單純係提
供慈善團體按符合資格之老人名冊發放敬老
金使用,即可認為屬於個資法第16條但書特
定目的外之利用。又該廟宇或其他慈善團體
取得上開之老人資料後,自不得非法移作他
用,自不待言。
67
六、內政部警政署將司法機關公告
通緝之部分內容,公開於該署網
站提供不特定民眾查詢,是否違
反個資之利用規定?
答:內政部警政署將司法機關公告通緝
之部分內容,公開於該署網站,提供
不特定民眾查詢,於個資法第6條特
種資料未施行前,可認屬符合個資法
第 16 條前段「於執行法定職務必要
範圍內為之,並與蒐集之特定目的相
符合」之目的內利用情形。
68
七、直轄市、縣(市)政府為辦理徵
兵檢查,得否請衛生單位提供精
神疾病役男病史資料?
答:個資法第6條特種資料(即醫療、基因、性生活、健
康檢查及犯罪前科)規定,仍適用個資法有關一般個
人資料之規定。依兵役法第4條及第31條規定,各直
轄市、縣(市)政府辦理各該轄區兵役行政及其有關
事務,故其於辦理徵兵檢查時,基於「兵役」之特定
目的,執行法定職務必要範圍內,依個資法第15條規
定,得蒐集個人資料。衛生主管機關提供個人資料予
各直轄市、縣(市)政府執行徵兵檢查法定職務,避免
入營服役影響軍中安全,就衛生主管機關而言,係符
合個資法第16條規定條但書第2款「為維護國家安全
或增進公共利益」及第4款「為防止他人權益之重大69
危害」規定,故得予提供。
學員問題回覆
一、對於專業人員在案主資料收集、
處理、利用等資料時,當收集非
個案本身之資料,比如監護人資
料、前份工作經驗之資訊等,萬
一資料外洩,而造成對方困擾而
提告,但因非我們服務對象,請
問也要承擔法律責任嗎?
答:刑事責任§41 、42
民事責任§28、29
行政責任§47~50
70
二、服務過程中,若需向與個案曾經接觸之資
源相關資料,專業人員可以拒絕提供嗎?
還有若提供資料後產生觸法時,責任歸屬?
答:§3 、 5 、10
三、職業重建過程中,可能有不同專業人員提
供協助,請問,當觸犯個資法時,是所有
專業人員都要承擔嗎?抑或現階段服務提
供者呢?
答:刑事責任係依據何人觸犯即由何人負責
民事責任可能機關及個人視情況均須負責
71
四、建議在整個職業重建服務流程
中,擬定個人資料收集、處理、
利用之告知同意書,以能保障專
業人員之權益。
答:是,§8。
五、關於我們做評估、評量時,個
案資料如需傳閱借閱,該如何確
保?
答:建議有專責機關負責§18、27
72
六、做研究案時,有時必須要蒐集個案資料,
該如何做處理?
答: § 5、8
七、我們中心有自己的教學網站,請問網站上
的會員資料要如何確保安全?
答:採取適當安全機制,因應惡意程式與系統
漏洞所造成之威脅,定期檢查是否遭木馬程
式植入、防火牆(如經由ICSA認證之
SONICWALL或FORTIGATE等)及路由器規
則設定、或裝設防毒軟體並定期更新等,定
期確認蒐集處理利用個資之電腦、相關設備
或系統具備必要之安全性,並留存紀錄
73
八、關於日前新聞報導,因應個資
法,報告只要遇到名字都是OOO,
請問這樣是否又太過頭?要如何
拿捏個資法的界線?
答: 政府資訊公開法
個資法§16、20
74
九、因要確認新進員工是否有法定傳染病,所
以晉用時都會要求提供健檢資料(機構評鑑
指標)
答:同前所述
十、機構評鑑指標有被要求要將健檢資料完整
建檔存查,組織如何因應「員工健康檢查」
答:同前所述
十一、機構服務對象也被要求每年要作健康檢
查,並要存檔與追蹤處遇
答:同前所述
75
十二、依照身心障礙福利機構疑似性侵害事件處理原則
修正規定:第六條:
六、機構僱用之工作人員,應遵守機構之
工作守則,包括不得對服務對象有性侵害或有其他相
關情事等之約定。
機構僱用專職、兼職人員或召募志願服務人員應向目
的事業主管機關申請核轉所在地直轄市、縣(市)主
管機關查閱應徵者或應從事服務者有無性侵害犯罪加
害人登記資料,或要求應徵者應向警察機關申請刑事
紀錄證明。並得送教育主管機關查閱是否有疑似性侵
害或其他相關事件所致之不適任教師之情形。
機構辦理第二項情形,應納入機構評鑑項目。
以上是否符合個資法第六條第四款
答:個資法第六條第一款
76
一、對於有毒癮、更生人等特殊服務對
象,案主已表明不想告訴雇主,請
問就服員應如何處理?
答:就業服務法§5:「為保障國民就業機會平等,雇主對求職人或
所僱用員工,不得以種族、階 級、語言、思想、宗教、黨派、
籍貫、出生地、性別、性傾向、年齡、婚 姻、容貌、五官、
身心障礙或以往工會會員身分為由,予以歧視;其他法 律有
明文規定者,從其規定。 雇主招募或僱用員工,不得有下列
情事: 一、為不實之廣告或揭示。 二、違反求職人或員工之
意思,留置其國民身分證、工作憑證或其他證明 文件。 三、
扣留求職人或員工財物或收取保證金。 四、指派求職人或員
工從事違背公共秩序或善良風俗之工作。 五、辦理聘僱外國
人之申請許可、招募、引進或管理事項,提供不實資料 或健
康檢查檢體。 」
就業服務法§ 9 :「就業服務機構及其人員,對雇主與求職
人之資料,除推介就業之必要外, 不得對外公開。 」
77
二、服務過程中,因為案主可能有
些病情隱瞞(如癲癇),致在
職場發生意外,若遇家長提告,
請問雇主、就服員、相關專業
人員在法律責任分攤比例或應
如何處理?
答:需視實際情況而定
78
FIN~
79