Embed Size (px)
Citation preview
2011.07.16 第52卷第7期 311 ◆5
論
著
個人資料保護法之政策
與執行措施
—建構安全信賴的政府
壹
前言
99年12月,政府考察澳大利亞的隱私
保護制度,當時正值澳洲政府面對民眾資
訊需求的轉型時期,新設聯邦資訊專員辦公
室,在澳洲總理內閣部(Department of the
Prime Minister and Cabinet)隱私與資訊公
開政策司(Privacy & FOI Policy Branch)
的策定之下,由資訊專員、隱私專員及政府
資訊公開專員共同執行資訊公開與隱私保護
之相關法令,並由各個聯邦及州政府機關整
體性配合執行,以恢復人民對政府的清廉信
賴1。
1 參考Towards an Australian Government
Information Policy,Issues Paper 1, November
2010,Office of the Australian Information
Commissioner.
我國現行「電腦處理個人資料保護法」
自84年8月11日公布施行至今,已近16年,由
於資訊通信科技發達的結果,透過電腦及網
際網路處理與傳輸個人資料之情形已今非昔
比,系統的整合性及客製服務功能強大,現
行法的規範顯然已不足夠,且個人資料外洩
事件時有所聞,尤其是尚有龐大未適用現行
法的產業,影響個人資料本人的隱私權益甚
鉅。鑑此,法務部組成修法專案小組於93年
間完成修正草案,歷經數年審議未果,行政
院考量民情於97年初再送立法院審議,終於
99年4月27日完成三讀,同年5月26日總統公
布(目前尚未施行)。本法過去僅強調個人
資料的安全維護,新修正的「個人資料保護
法」(以下簡稱個資法)除了明確安全維護
的要求之外,更強調個人資料的蒐集者(例
如政府機關、企業)如何透過個資法取得人
黃荷婷■法務部法律事務司 科長
2011.07.16 第52卷第7期 3116◆
論 著
民的信賴,以降低損害賠償責任之風險並建
立政府信譽。
貳
立法目的與政府面對的責任
本次修正的重點主要在於擴大保護客
體,包括人工紙本的個人資料在內,以及
打破行業別限制,讓所有法人、團體及個人
的業務行為能公平地適用本法,此對於個人
資料保護的缺口,及時的補上最後一塊拼
圖。此次修法攸關人民隱私權益甚鉅,對於
憲法保障資訊隱私權的目標,更向前邁進。
為此,國家將從個資法之立法目的及責任出
發,整體性推動並逐步建制完善的個人資料
保護法制度及相關執行配套機制。
一、立法目的
個資法之立法目的,乃求取個人資料保
護與資料合理利用之衡平2,在多方利益折
衝權衡之下,同時兼顧人民知的權利與言論
自由。又網際網路與資訊科技發達之結果,
使得個人資料無國界,且就資訊自由性與有
用性的面向觀察,個人資料的傳輸亦勢所難
免,如何保護資料傳輸上之安全,尤其在資
料跨境流通需求上,如何減少資料跨境流通
的障礙與降低資料濫用的疑慮,讓個人資料
在合理流通之下亦能兼顧安全維護,個資法
均已注意資料隱私保護的國際要求並納入規
範。
二、政府面對的責任
2 參照個資法第1條規定。
由於個人資料之利用勢所難免,為強化
保護個人資料之責任,個資法提高民事損害
賠償最高總額且刑事與行政處罰均加重。政
府面對此相關的民事與刑事責任,該如何因
應,首應了解可能面對的責任內容。
(一)違法的民事責任
公務機關違反個資法規定,致個人資料
遭不法蒐集、處理或利用或其他侵害當事人
權利者,負損害賠償責任。但損害因天災、
事變或其他不可抗力所致者,不在此限3。由
於公務機關所負的是無過失損害賠償責任,
只要個資外洩事實與當事人權利損害間有直
接因果關係,公務機關均須負責,頂多可
以舉證減輕責任但無法舉證免責,除非損害
是因天災、事變或其他不可抗力所致者。又
當事人不易或不能證明實際損害額時,得以
每人每一事件新臺幣500元以上2萬元以下計
算,但能證明其所受損害高於該金額者,不
在此限。基於同一原因事實應對當事人負損
害賠償責任者,其合計最高總額以新臺幣2
億元為限,但所涉利益超過者,以該所涉利
益為限;此併輔以團體訴訟與專屬管轄之機
制4,以便利當事人提起訴訟救濟及法院審判
程序。
(二)違法的刑事責任
刑事處罰乃以行為人為對象,個資法
僅處罰故意犯與意圖營利犯,處罰對象為
中華民國領域內或外而對中華民國人民犯本
法之罪之「中華民國人民」,違法侵害不限
境內,以強化個資保護。又本法所定刑事犯
3 參照個資法第28條規定。4 參照個資法第32條至第40條等規定。
2011.07.16 第52卷第7期 311 ◆7
論
著
罪,原則上為告訴乃論之罪,例外如屬意圖
營利而犯罪者或對公務機關犯妨害個人資料
檔案正確性而足生損害於他人之罪者,為非
告訴乃論之罪。公務員如假借職務上之權
力、機會或方法而犯個資法刑事之罪者,乃
加重其刑至二分之一5;如所犯者,係意圖營
利之罪,除本法罪責之外,更有貪污治罪條
例重罪之適用。
(三)其他責任
由於政府為提供民眾更多的服務,經常
保有龐大的個人資料且經常需互為利用,而
各機關通常係依法令規定而蒐集或利用個人
資料,因無需經資料本人之同意,民眾感受
不是良好或無法信賴,未來向機關陳情或訴
願之情形,短期內會倍增,進而影響公務效
率,且民眾經常會監督政府之作為,如有未
盡其保護能事或處理未當而致違法失職者,
公務員可能會有懲戒或懲處之責任。
綜上,政府在不得不承受的責任之下,
應如何因應,並開始規劃並採取積極的應對
措施,接下來須了解個資法的資料保護立法
原則。
參
資料保護原則
現行「電腦處理個人資料保護法」係參
考OECD所揭示隱私保護暨個人資料國際傳遞
指導綱領的8原則(限制蒐集原則、資訊內容
完整正確原則、目的明確化原則、限制利用
5 參照個資法第41條至第46條等規定。
原則、安全保護原則、公開原則、個人參加
原則、責任原則)6。新修正個資法之立法原
則則參考1995年歐盟資料保護指令(資料品
質原則、資料處理合法原則、敏感資料之處
理、告知當事人、當事人之權利、當事人的
反對權與自動化的個別決定、資料保密與安
全、向國家主管機關登記與處理作業公開、
國際資料傳遞等原則)之9項要求而修訂7。
另外,我國為APEC會員經濟體之一,法制上
亦符合APEC資訊隱私保護9原則(預防損害原
則、告知原則、蒐集限制原則、個人資料利
用原則、當事人自主原則、個人資料完整性
原則、安全管理原則、查閱及更正原則、責
任原則)8。以下就我國法所採用的資料保護
原則,簡要加以說明:
一、預防損害原則
公務機關保有個人資料檔案者,應防
止個人資料被竊取、竄改、毀損、滅失或
洩漏,並應指定專人辦理安全維護事項9。
從而公務機關應採取防止損害發生之適當保
護措施,並應設置專人辦理安全維護事項。
該專人得以團隊之形式呈現,並須具有個人
資料管理及維護之專業能力,以專業分工之
方式,始足以承擔機關日常性資料之安全管
理維運,防止個人資料遭到濫用及其所生損
害。
對於公務機關因違反個資法規定,致
個人資料遭不法蒐集、處理、利用或其他侵6 參考http://www.oecd.org/documentprint/0,345
5,en_2649_34255_1815186_1_1_1_1,00.html。7 參考http://ec.europa.eu。8 參考http://www.apec.org/apec/apec_groups/
committees/committee_on_trade。9 參照個資法第18條規定。
2011.07.16 第52卷第7期 3118◆
論 著
害當事人權利所生之損害,應有適切之損害
填補機制。個資法就此定有民事損害賠償責
任,並輔以團體訴訟與專屬管轄之機制。
二、告知原則
個人資料之蒐集,事涉當事人之隱私權
益。為使當事人明知其個人資料被何人蒐集
及其資料類別、蒐集目的等,個資法乃規定
蒐集時應告知當事人之事項,俾使當事人能
知悉其個人資料被他人蒐集之情形。又個人
資料除向當事人直接蒐集外,亦得自第三人
取得之,此等間接蒐集個人資料,尤需告知
當事人資料來源及其相關事項,俾使當事人
明瞭其個人資料被蒐集情形,並得以判斷提
供該個人資料之來源是否合法,以便及早採
取救濟措施,避免其個人資料遭不法濫用而
損害其權益10。
告知方式並未限制,得以書面、網路、
電話等媒介個別為之,俾使當事人有知悉之
可能,以採取相關措施。另外,個資法就蒐
集、處理及特定目的內利用之要件「經當事
人書面同意」,該書面同意指當事人經蒐集
者告知本法所定應告知事項後所為允許之書
面意思表示。又特定目的外利用之要件「經
當事人書面同意」,亦指當事人經蒐集者明
確告知特定目的外之其他利用目的、範圍及
同意與否對其權益之影響後,單獨所為之書
面意思表示。因此,未來對於取得當事人之
書面同意書,將較為慎重,希望當事人在知
悉蒐集者蒐集的相關資訊之下,能依其自由
意願自己判斷是否提供該個人資料11。
10 參照個資法第8條及第9條規定。11 參照個資法第7條規定。
然而在部分特別情形下,或當事人已
明知,或履行告知義務恐有礙職務之執行或
無必要,乃於個資法第8條第2項及第9條第2
項規定免告知事項,蒐集者得免為告知。如
當事人不認同蒐集者適用上開規定而免為告
知時,仍得依個資法第3條規定請求查詢或
閱覽;被請求之蒐集者,則依第13條規定辦
理。當事人亦得以其蒐集不合法為由,請求
補為告知,或依第11條第4項規定,請求蒐集
者刪除、停止處理或利用該個人資料。
一般而言,公務機關係為執行法定職務
而蒐集民眾個人資料,只要蒐集有其必要性
或告知將妨礙執行職務者,公務機關通常均
得依法免為告知,惟為使民眾有獲悉公務機
關蒐集個人資料之情形,以落實其個人資料
之自主決定權,乃以公告「個人資料檔案名
稱」、「保有機關名稱及聯絡方式」、「個
人資料檔案保有之依據及特定目的」及「個
人資料之類別」等公開事項為之12,並需常時
揭載,儘量以透明的政府及保護資料的政府
形式呈現,獲得民眾的信賴。
三、蒐集限制原則
個資法為區分不同的資料保護措施,
在資料屬性上乃區分為一般資料及敏感性
資料,而敏感性資料(指醫療、基因、性生
活、健康檢查及犯罪前科之個人資料),因
該資料性質較為特殊或具敏感性,如任意蒐
集、處理或利用,恐會造成社會不安或對當
事人造成難以彌補之傷害,故原則上不得蒐
集、處理或利用,例外於符合法律所規定之
12 參照個資法第17條規定。
2011.07.16 第52卷第7期 311 ◆9
論
著
要件者,始得為之13。
公務機關蒐集或處理個人資料之合法要
件,須有特定目的及符合法定所列情形(執
行法定職務必要範圍內、經當事人書面同
意、對當事人權益無侵害)之一14。該蒐集之
特定目的,係為限制蒐集並避免濫行蒐集,
故特定目的須為具體、明確,始能降低不確
定的法律風險。公務機關的特定目的,乃依
其業務職掌之範圍,此可從其組織法及作用
法定之。
非公務機關蒐集或處理個人資料之合
法要件,亦須有特定目的及符合法定所列情
形(法律明文規定;與當事人有契約或類似
契約之關係;當事人自行公開或其他已合法
公開之個人資料;學術研究機構基於公共利
益為統計或學術研究而有必要,且資料經過
提供者處理後或蒐集者依其揭露方式無從識
別特定之當事人;經當事人書面同意;與公
共利益有關;個人資料取自於一般可得之來
源)之一15。雖個人資料取自於一般可得之來
源而得為合法蒐集與處理,但當事人對該資
料之禁止處理或利用,顯有更值得保護之重
大利益者,而蒐集或處理者知悉或經當事人
通知禁止對該資料之處理或利用時,應主動
或依當事人之請求,刪除、停止處理或利用
該個人資料。
四、個人資料之利用原則
公務機關利用個人資料之合法要件,
原則在特定目的內利用,例外得為特定目
的外之利用,惟須符合特定目的外利用之要13 參照個資法第6條規定。14 參照個資法第15條規定。15 參照個資法第19條規定。
件(法律明文規定;為增進公共利益;為免
除當事人之生命、身體、自由或財產上之危
險;為防止他人權益之重大危害;公務機關
或學術研究機構基於公共利益為統計或學術
研究而有必要,且資料經過提供者處理後或
蒐集者依其揭露方式無從識別特定之當事
人;有利於當事人權益;經當事人書面同
意)16,始得為之。
非公務機關利用個人資料之合法要件,
原則在特定目的內之利用,例外得為特定目
的外之利用,惟須符合特定目的外利用之要
件(法律明文規定;為增進公共利益;為
免除當事人之生命、身體、自由或財產上之
危險;為防止他人權益之重大危害;公務機
關或學術研究機構基於公共利益為統計或學
術研究而有必要,且資料經過提供者處理後
或蒐集者依其揭露方式無從識別特定之當事
人;經當事人書面同意)17,始得為之。
五、比例原則
個人資料之蒐集、處理或利用,應尊重
當事人權益,以(1)誠實及信用方法為之;
(2)不得逾越特定目的之必要範圍;(3)應與
蒐集之目的具有正當合理之關連18。主要係為
避免資料蒐集者巧立名目或理由,任意的蒐
集、處理或利用個人資料。準此,各公務機
關在蒐集、處理或利用個人資料時,應謹慎
運用比例原則(手段目的妥當性、最小侵害
性、利益衡量性),以做出最正確、妥適的
判斷而避免濫用個人資料。
六、當事人自主原則及查閱更正原則16 參照個資法第16條規定。17 參照個資法第20條規定。18 參照個資法第5條規定。
論 著
2011.07.16 第52卷第7期 31110◆
本人對於自己的個人資料享有自主控制
權,即個人得自行決定是否行使揭露、知悉
與控制及更正等權利(參照司法院釋字第603
號解釋)。個資法第3條規定,當事人得行
使查詢、閱覽、製給複製本、補充、更正、
停止蒐集或處理或利用、刪除等權利,且不
得預先拋棄或以特約限制之。當事人請求刪
除、停止處理或利用個人資料時,如屬蒐集
之特定目的尚未消失、期限尚未屆滿、執行
職務所必需(包括依法規所訂保存期限)或
經當事人書面同意(以書面或契約約款再約
定保存期限之同意)者,則得以上開事由合
法拒絕當事人之請求19。
受理當事人查詢、閱覽及製給複製本之
請求,應於15日內,為准駁之決定;必要時
得予延長,延長之期間不得逾15日,並應將
其原因以書面通知請求人。如受理當事人補
充、更正、停止蒐集或處理或利用、刪除之
請求,應於30日內,為准駁之決定;必要時
得予延長,延長之期間不得逾30日,並應將
其原因以書面通知請求人20。公務機關如有拒
絕或未於規定期限內處理者,當事人得依相
關法律提起訴願等行政救濟。
七、個人資料之完整性原則
公務機關應維護個人資料之正確性,並
應主動或依當事人之請求更正或補充之。如
有可歸責於公務機關之事由,未為更正或補
充,應於更正或補充後通知曾提供利用之對
象21。為履行上開資料正確性與通知之義務,
公務機關應規劃定期檢視個人資料檔案及建19 參照個資法第3條、第10條及第11條等規定。20 參照個資法第13條規定。21 參照個資法第11條第1項及第5項規定。
制利用追蹤紀錄等機制。
八、安全管理原則
個人資料保護措施應結合資訊安全技
術,妥為整體性考量,使公務機關資源利用
更具效率性22。
九、處理過程之公開原則
未來公務機關在個人資料外洩23與緊急
應變處理上應有相關之通報機制,以便國家
適時管控全國之資料安全與督促規劃改善措
施。
十、責任原則
公務機關為個人資料之利用或國際傳輸
時,應取得當事人之同意或盡力確保第三人
將採取與我國個人資料保護法一致的保護措
施24,以維護個人資料隱私之安全。
肆
國際傳輸之資料保護原則
個資法對於公務機關為個人資料國際
傳輸時,未有相關規範,僅於修正理由中說
明,公務機關執行法定職務,將個人資料作
跨國(境)之處理或利用,原本即應依相關
法規辦理,在此應無庸另作規定。另對於非
公務機關,僅於個資法第21條定有中央目的
事業主管機關得以行政處分限制其為國際傳
輸之事由,對於國際傳輸應遵循之資料保護
要求則未做進一步規範。
歐盟1995年資料保護指令生效於1998
22 參照個資法第18條規定。23 參照個資法第12條規定。24 參照個資法第18條規定。
2011.07.16 第52卷第7期 311◆11
論
著
年10月,依該指令第25條規定禁止傳遞個
人資料至不符合歐洲聯盟(歐盟)對隱私
保護「適足」標準(adequate level of
protection)之非歐洲聯盟國家。我國新修
正之「個人資料保護法」(尚未施行)係參
考1995年歐盟資料保護指令所修訂,原則上
在我國國情相當之範圍內符合該指令之各項
要求。我國與歐盟之立法方式相同,均採用
全面性立法方式,以法律完整保護個人資料
之安全,對於國際傳輸亦應要求第三國採取
符合我國對隱私保護「適足」標準。然而該
標準為何且實際上做法如何,此部分可參酌
美國商務部在諮詢歐洲委員會之後所制定「美
國-歐盟安全港隱私保護原則(U.S.-EU SAFE
HARBOR PRIVACY PRINCIPLES)」的框架25,
提供美國商業性組織一個精簡的方式以遵守
歐盟1995年資料保護指令,由美國相關部門
採用監管及自律的混合立法方式,並在美國
和歐盟公司之間提供參與該安全港計畫之重
要利益或好處。美國與歐盟間對於個人資料
國際傳輸為符合歐盟法律適足的要求,乃提
供一個更簡單、便宜的方式,以落實資料保
護原則之要求,雖與我國個資法相關要求屬
強制之他律性質不同,然在確實落實執行隱
私保護之作法上,可提供我國規劃個人資料
安全維護措施之隱私保護標準時參考,此參
考作法尤其有利於國內中小型企業遵法之模
式。以下就我國、歐盟及美國安全港原則之
三個隱私保護法制度加以比較:
25 參考http://www.export.gov/safeharbor/eg_
main_018236.asp。
法制度
項目歐盟1995年隱私
保護指令我國個人資料保護法
美國歐盟安全港隱私保護原則
立法方式 全面性立法 全面性立法 部門監督及業者自律
(一)告知 第10、11條 第8、9條 告知原則
(二)選擇 第6、7、8條第5、6、1 5、 1 6、
19、20條選擇原則
(三)傳輸 第16、17、25、26條 第4、18、21、27條 傳輸原則
(四)查詢 第12、13、14、15條第3、10、11、13、14
條查詢原則
(五)安全 第17條 第18、27條 安全原則
(六)資料完整性 第6條 第11條 資料完整性原則
(七)執法 第22、23、24、28條第22-26、28-40、41-
46、47-50條執法原則
論 著
2011.07.16 第52卷第7期 31112◆
美國為了確保企業遵守安全港原則,企
業必須是(1)已提供現成且負擔得起的獨立
申訴機制,以便使每個人的申訴和爭議得以
被調查與解決,以及在適用法律或私部門的
主動提議給予損害賠償;(2)驗證公司已落
實遵循安全港原則的承諾之程序;(3)不
遵守原則所產生救濟問題的義務。組織未能
提供年度自我認證的文書,將不再出現於參
加者名單及安全港效益將不再獲得保證。準
此,我國執法之相關目的事業主管機關得參
酌安全港原則之精神,輔導業者或團體透過
「隱私權聲明」,建制並提供消費者或客戶
申訴與損害賠償機制,並建立公正第三人驗
證企業遵循個人資料保護法之程序與機制,
以及後續明確簡便之救濟程序。另外,公務
機關亦得參酌上開確實執行之作法,強化個
人資料隱私保護之相關措施。
伍
個人資料保護之執行措施
從上述資料保護原則可知,個人資料保
護與資料合理利用均是個資法立法之目的,
國家在界定個人資料保護政策時,均應求取
個人資料保護與資料合理利用之平衡,以兼
顧資料之保護性及有用性,並在資料保護原
則之要求下開展各項保護措施。各機關在蒐
集、處理或利用個人資料時,均須符合個資
法第15條、第16條(敏感性資料為第6條)及
第5條(即現行電腦處理個人資料保護法第7
條、第8條及第6條)之合法要件與比例原則
的規定,合法要件固然容易符合,但是「不
得逾越特定目的之必要範圍」此比例原則之
要求,仍存有手段目的是否妥當、最小侵害
手段及利益衡量要求之不確定法律判斷風
險,而比例原則亦是最難適用的法律原則,
需個案加以衡量判斷。面對此不確定的法律
風險,必須透過更多程序的規劃與作為,始
能降低公務機關適用上的困難與避免風險責
任。
目前法務部為規劃國家個人資料保護之
整體性執行措施,分年逐步落實推動保護工
作26,已於98年7月函請各機關設置個資保護
專人,以規劃及監督執行機關之個人資料保
護事項;99年函請各機關訂定機關之個人資
料保護管理要點,參酌個資法所揭示資料保
護原則,規範機關內部個人資料之保護與管
理程序;100年為配合個資法修法通過,法務
部著手研修「個人資料保護法施行細則」修
正草案、中央目的事業主管機關須訂定「個
人資料保護法」第6條第2項與第27條第3項
法規命令、各機關須修正個人資料之特定目
的與個人資料類別及各機關須檢視主管法規
有無配合修正之必要等相關子法之建制,以
及各機關儘速完成專人與個資保護聯絡窗口
之設置、訂定公務機關個人資料保護管理要
點、機關個人資料保護專區網頁之規劃、法
務部協助經濟部推動零售業「隱私權認證標
章」制度27、支持行政院發展數位鑑識技術與
26 相關資料可參考http://www.moj.gov.tw/lp.asp?
ctNode=28007&CtUnit=805&BaseDSD=7&mp=001。27 最新進度可參考臺灣個人資料保護邁向新紀元!
制度標章雙管齊下 建全電子商務個資管理,天下
雜誌第474期,第100至104頁。
2011.07.16 第52卷第7期 311◆13
論
著
扶植產業、建立院級跨部會協調聯繫機制及
持續專業的教育訓練與法令宣導活動等配套
措施。預訂明(101)年規劃公務機關個人資
料保護管理的標準化作業程序(SOP),以明
確簡便的方式協助所有公務人員遵守法令。
希望透過更多的程序與作法,儘量降低不確
定法律風險及損害賠償責任風險。
個資法所規定之「適當安全維護措
施」,目前方向上將界定為必要之組織;界
定個人資料之範圍;個人資料現況評估及短
中長期因應措施;個人資料蒐集、處理或利
用之程序;當事人行使權利之處理程序;資
料安全;資料稽核;人員管理及教育訓練;
設備管理;紀錄與證據之保存;緊急應變措
施及通報;改善建議措施等12項基本必要的
安全維護要求,建議各公務機關應立即依上
開事項要求檢視內部安全控制管理程序與措
施是否足夠,以便達到個資法所定「適足或
適當」的安全維護措施之善良管理人之注意
義務。
陸
結語
政府在面臨人口爆炸、資源匱乏的危機
現狀中,永續經營才是經濟成就與生死存亡
的關鍵密碼。策略大師麥可波特(Michael
Porter)指出,「企業的業務必須將公司成
就,與社會進步重新連結起來,必須創造共
享價值(shared value)。」28 永續經營的
策略,就是體認「永續的價值」,並將「永
續」納入政府服務與管理的流程中思考。而
政府永續的價值,就在於「民眾的信賴」。
政府的永續經營,就必須將政府資源與民眾
個人資料保護的人權理念需求重新連結起
來,以民眾服務為導向,創新機關內部服務
品質管理的程序,真正落實服務程序中個人
資料保護的管理,減少侵犯隱私的民怨,共
同創造親切便捷服務與資料隱私保護的安全
信賴政府。
28 參照謝明玲著,永續經營 未來百年存活門檻,
天下雜誌第472期,2011年5月,第50-54頁。
