新版個資法,將個人資料保護的範圍擴及所有行業及資料類型、增加應盡告知義務之態樣以及加重民事及刑事的責任或對負責人科處同一額度之罰鍰等規定,雖然具有保護個人資料之正面宣示意義﹔但外界一直期待的《個人資料保護法施行細則》(下稱細則)文字,遲至預定的施行日前(2012年10月1日)才底定,使得相關的企業(尚包括企業若採委外辦理時,應對於受託者適當之監督。細則第8條),產生了不斐之法規遵循成本,甚或不知如何加以因應。
台灣原於1995年公布之 《電腦處理個人資料保護法》(即現行個資法),不但規範之主體(僅規定8大行業及經指定之非公務機關)及客體(未保護特種資料及其他間接可識別之個人資料,且僅及於經電腦處理而未及於紙本資料)有限,亦早已無法因應日新月異之利用行為,故經過多年修法之進程,《個人資料保護法》(即新版個資法),終於在2010年5月26日修正公布(然其中第6條、第41條、第45條及第54條,因應各界反應,將再次修正文字,不於此次施行)。
在擴大規範主體之部份,新版個資法中,雖將自然人對他人的個人資料利用行為也包括在內;但為了避免因而限制了個人日常生活中合理的利用行為,法案也將「自然人為單純個人或家庭活動之目的」而蒐集、利用之個人資料以及「於公開場所或公開活動所蒐集、利用未與其他個人資料相結合」之影音資料排除(第51條)。因此,若將朋友的電話製作成通訊錄以方便連繫,或在部落格(Blog)及Facebook張貼一般日常生活或公共活動中與他人的合照或影音,亦不致於違法。然而若保險業務員個人蒐集相關資訊之目的在於推銷保險或理財商品,則其仍需履行個資法中相關程序,始得為之。
而於擴大保護客體之部份,此次修法參考歐盟之規定,規定「醫療、基因、性生活、健康檢查、犯罪前科」等屬於特種資料,除非法律明定、履行法定義務且有適當之防護措施、自行公開或已合法公開、統計或學術研究,否則不得蒐集、處理、利用(第 6條)。因此,將來就此類特種資料保護之程序,會較其他一般個人資料更嚴謹。然實務上,保全業者或金融業者常要求其從業人員提供良民證(刑事紀錄證明),但於前述條文之下,將涉及犯罪前科之搜集,為免運作困難,故第6條將再修正,將經當事人書面同意而提供,亦列為除外之事項。
至於個人資料之運用,依新版個資法之規定應依誠實及信用方法為之,不得逾越特定目的必要之範圍並應與蒐集之的具有正當合理之關連(第5條)。所以實務上常見利用抽獎、填問卷,或類似Facebook上心理測驗取得的個人資料,因為有當初蒐集目的之限制,所以不能擅自另做為其他用途。而一般來源即可取得的個人資料(例如自大眾傳播、網際網路可取得之資料。細則第27條),雖然法條規定得蒐集或處理,但若有涉及其他更值得保護的個人利益,當事人也可以要求刪除或停止處理、利用(第19條)。
在利用個人資料進行行銷之部份,法案亦規定非公務機關利用個人資料行銷時,若當事人表示拒絕,應立即停止使用其個人資料。於首次行銷時,並須提供民眾拒絕行銷之方式,以及支付所需費用(第20條)。換言之,雖然業者依第19條之規定(契約關係、當事人同意或與公共利益有關等)已合法蒐集或處理個人資料﹔但於日後首次要用做行銷時,即必須提供免費回郵信封或免費服務電 話,讓民眾得以便利之方式表達拒絕行銷之意願,且民眾一表達拒絕之意願,業者即應立即停止利用其個人資料。
而在業者告知義務之部份,新版個資法第8條(向當事人蒐集資料時)、第9條(間接取得個人資料時)、第12條(個人資料遭洩露或侵害時)以及第54條(現已持有非由當事人提供個人資料時)等條文,均規定應向當事人為一定內容之告知(即時以言詞、書面、電話、簡訊、電子郵件等方式,細則第16條)。然而,於第54條之情況,要求持有個資之業者應於本法施行後一年內告知當事人,實際上將產生困難(例如銀行信用卡申請時客戶所填寫之緊急連絡人之資料可能就有數百萬名)。故第54條將再修正,刪除一年期間之規定,而規應業者於要處理及利用時再告知即可。
針對檔案之保護,新版個資法中要求應採取適當之安全措施以防止個人資料被竊取、竄改或洩漏;而政府相關單位亦得指定部份非公務機關訂定個人資料檔案安全維護計畫或業務終止後之資料處理方法(第27條)。若日後業者未依主管機關訂定之計劃或方法為之,即可能被認為未採取適當之安全措施,而具有過失。另細則第12條規定,非公務機關應有適當之安全措施(配置管理人員、進行風險評估、內部管理程序、設備安全管理、稽核機制以及證據保存等)﹔雖同條放寬認為該措施及欲保護之個人資料間得採比例原則認定,但前述綱要或概括性之規定,仍造成相關業者不知應如何具體辦理。
若因個人資料遭不法侵害,難以證明實際損害金額時,民事途逕部份,可向法院請求每人每一事件500至20,000元賠償;但考量業者承受之程度,同一事件 總額以2億元為限(第28條)。至於意圖為自己或第三人不法利益,違法蒐集、處理、利用或變造個人資料,足生損害於他人者,最高則可能面臨5年有期徒刑之刑責(第42條)。而非意圖營利而違法之部份,新版個資法第41條本亦規定有2年以下有期徒刑之刑責,但考量各界反應該條文失之過苛,故亦將修正僅限於意圖營利而違法之行為。
新版個資法雖早於2010年5月即修正公布,理論上至將施行之2012年10月,相關業者有2年以上之因應期間。然而,由於法條修正幅度過大,施行細則又遲未出爐,加上「個資盤點」、「風險評鑑」、「流程建立」、「資訊安全」及「內部評核」等程序均屬高度專業,故實際上除受主管機關高度規管之金融業者外,其他大量使用個人資料於行銷或提供服務之業者,甚至公務機關,均尚未確實做好確實準備工作。 企業內部面臨新法上路可能產生之組織或流程調整,外部則有虎視眈眈準備訴訟高額求償的個資團體,實不得不審慎加以因應。本文建議大型企業應成立跨部門之專案小組(包括法務、人資、資訊、作業及稽核等部門)進行討論,中小型企業則可尋求外部專業人士之協助,以期能在兼顧企業經營成本之下,降低所可能面臨之法律風險。 本文為律師投稿文章簡榮宗律師