個資法變革及企業因應對策
一、修法概述
原電腦處理個人資料保護法,自民國(下同)84 年即公布施行。然因近年民眾個人資料外洩案例層出不窮,法務部自民國92 年即將所研擬之電腦處理個人資料保護法草案(三讀通過條文名稱改為「個人資料保護法」),呈報行政院核轉立法院審議。歷經立法院多年多屆之審議,終於民國99 年4月27日三讀通過,並於同年5月26 日由總統公布(惟截至本刊出刊日止,行政院仍未決定新法施行日期)。新法除強化針對個人資料揭示、查詢及更正之控制外,亦將「亞太經濟合作會議隱私保護綱領」所揭示之預防損害、告知、資料蒐集限制等原則,納入規範,以期建構安全之資訊生活環境。
二、重要修法介紹及其影響暨因應對策
(一) 修法介紹
1. 擴大適用主體及保護客體
原電腦處理個人資料保護法之適用主體,主要僅限於公務機關,以及徵信業、醫院、學校、電信業、金融業、證券業、保險業與大眾傳播業等八大行業,在保護客體方面,亦僅及於經電腦或自動化機器處理之個人資料,對個人隱私之保護尚嫌不足。因此,本次修法打破上開限制,將所有涉及個人資料蒐集、處理、及利用之個人或機關或企業,均納入個資法規範,保護客體亦擴及所有可直接或間接識別個人之資料。
2. 禁止敏感性資料之蒐集、處理、利用
有關醫療、基因、性生活、健康檢查、及犯罪前科等個人資料,因較其他種類之個人資料更接近隱私權核心,故本次修法特別明定除有法定特殊事由外,一律禁止對該種敏感性資料之蒐集、處理、及利用,以強化對於個人隱私之保護。
3. 增加衡平條款
本次修法突破行業別之限制,將所有公務及非公務機關均納入規範,可能導致新聞媒體進行採訪與播報以及民眾於日常生活之網路使用行為受到嚴格限制。為避免產生遏制言論自由之疑慮,本次修法即規定大眾傳播業者基於新聞報導之公益目的而蒐集個人資料,得免向當事人進行告知,並加上民眾於社交活動或家庭生活範圍內蒐集、處理或利用個人資料時,不受個資法規範之條文,以確保民眾日常生活,以及新聞媒體之監督功能不受影響。
4. 踐行告知義務
本次修法,明定不論公務或非公務機關,向個人蒐集資料時,均應將蒐集機關名稱、蒐集目的、資料類別、個人資料利用期間、地區、對象及方式、當事人權利之行使、以及不提供資料對其權益之影響等事項對該個人進行告知;若公務或非公務機關欲處理或利用之資料,並非向該個人蒐集者,除法令另有規定外,亦應於處理或利用前向其告知上開事項。
5. 明定取得當事人同意之法定程序
原電腦處理個人資料保護法中,已將當事人同意之取得,列為公務或非公務機關對於個人資料進行蒐集、處理、及特定目的外利用時法定要件之一。本次修法除維持上開規定外,另明確將當事人同意定義為「經告知法定事項後所為之書面同意」,以確保資料當事人係在明確認知相關情況並經審慎決斷後,始對公務或非公務機關就其資料進行蒐集、處理、及特定目的外利用之行為表示同意。
6. 賦予機關合法蒐集、處理及利用個人資料之義務
為強化各公務或非公務機關之法令遵循義務,本次修法乃規定,不論公務或非公務機關,於其違法蒐集、處理或利用個人資料時,原則上均應主動刪除、停止蒐集、處理或利用該個人資料;如致個人資料被竊取、洩漏、竄改或其他侵害者,公務或非公務機關亦應查明後以適當方式通知當事人,以避免擴大違法造成之影響。
7. 提高違法之責任
除前述之修法內容外,本次修法亦加重各機關違法時之民事、刑事、及行政責任。在民事責任方面,於機關違法造成損害時,若實際損害不易或不能證明,每人每一事件之賠償總額,以新台幣(下同) 五百元以上二萬元以下計算;基於同一原因事實對當事人應負之損害賠償責任上限,亦提高至二億元。
在刑事責任上,如係出於意圖營利者,提高至處五年以下有期徒刑,得併科一百萬元以下罰金;如非意圖營利者,亦從不罰調整為處二年以下有期徒刑、拘役或科或併科二十萬元以下罰金。而在行政責任方面,對違法機關所課之總體罰鍰額度,亦提高至提高至二萬元以上五十萬元以下。
(二) 可能因應之道
1. 制定個人資料保護內規
新法由於詳細規範個人資料蒐集、處理及利用之相關程序,並要求企業應採行適當安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏,因此,企業宜依新法架構及隱私權保護之觀點,制定個人資料保護內規,以確立機關或企業內部對於個人資料管理、保護、及利用之原則。
2. 加強教育訓練
除制定個人資料保護內規外,企業得另就隱私權保護議題,對內部員工進行教育訓練,以強化員工保護當事人權益之意識。
3. 建立告知當事人之標準程序
依新法規定,企業對個人資料進行蒐集、處理或利用,不論該資料是否由當事人自行提供,均須負一定之告知義務,因此,企業得針對修正條文中明定之告知事項,建立標準告知程序,藉符法規之要求;此外,本法修正前非由當事人提供之資料,亦應於施行日起一年內補行告知程序。
4. 迅速檢視個人資料內容
本次修法規定,凡涉及醫療、基因、性生活、健康檢查、及犯罪紀錄等敏感性資料,原則上不得予以蒐集、處理或利用。因此,企業得針對既有及新接受之資料儘速進行檢視,確認個人資料內容是否包括敏感性資料。此外,亦得於檢視資料內容後,針對資料屬性進行分類建檔,以增進資料管理之效率。
5. 建立資料管理之標準作業流程
基於維護資料正確之義務,資料蒐集機關須主動或依當事人請求,就個人資料為補充或更正,因此,企業得建立標準作業流程,以隨時檢視所管理之資料是否有進行更新之需求。
6. 強化內控及稽核制度
企業保有之個人資料是否安全,多與資料管理流程是否確實執行有關,因此,蒐集資料之企業得定期或不定期檢查內部資料管理流程是否完善、適當;如發現不足,亦應立即為適當之補救措施,以確保個人資料之安全。
7. 建置違法蒐集、處理或利用資料之處理機制
新法規定,個人資料之蒐集、處理或利用等行為為違法時,應主動或依當事人請求刪除、停止蒐集、處理或利用該資料,因此,企業宜事先建置標準處理機制,以便發現有違法情事時,得立即為相應之處理。
8. 提高危機處理能力
在現今通訊科技發達的時代,資料傳輸往往相當迅速,因此,一旦個人資料外洩或遭竊取,該資料當事人之隱私在短時間內恐即遭侵害,從而,企業如發現個人資料已外洩或遭竊取,宜立即採取相應之措施,以維護資料當事人之權益。
9. 就無保存需求之資料,制定作業準則
如個人資料之保存目的消失,或已屆保存期限,機關即無保存該資料之需求,此時,如就該資料未予以妥善處理,恐致當事人資料不當外流。因此,企業得事先制定資料刪除或銷毀之作業準則,以避免資料流出後,對於當事人權益造成損害。
三、 企業因應策略彙總建議
本次個人資料保護法之修訂,不論係適用主體、保護客體以及行為規範,均較現行之電腦處理個人資料保護法更為嚴格,對於企業日常營運將產生一定程度之影響。因此,對於個人資料有蒐集、處理或利用需求之企業,宜於新法施行前,先行檢視企業之內部控制相關規定及實施,對於個人資料之保護均以採取必要之因應措施,以確保日常業務之進行均符合新法規定,以避免新法施行後對於業務造成過大衝擊。
