More Detail
一、保護個人資料之法制經過
我國司法院大法官於民國81年做成釋字第293號解釋,首揭憲法保護隱私權之觀念,[1]銀行客戶之資料乃隱私權保護之標的。我國在民國84年8月間公布「電腦處理個人資料保護法」,其立法目的乃:「為規範電腦處理個人資料,以避免人格權受侵害,並促進個人資料之合理利用。」惟因該法之適用,僅限於電腦處理之個人資料,不包含手寫之紙本資料,而且適用主體最初僅適用於徵信業者等八大行業,鑒於我國社會環境急速變遷,搜集、處理或利用之情形愈加普遍,而國際社會之亞太經濟合作組織,也體認到保護資訊隱私與維持亞太地區經濟體間及其貿易流通之重要性,確保電子商務之成長的重要關鍵,乃在於整合並促成有效率的資訊隱保護以及亞太地區資訊的自由流通,確立隱私之於個人資訊社會的價值[2]。民國93年司法院大法官在釋字第585號解釋理由書也謂:「隱私權雖非憲法明文列舉之權利,惟基於人性尊嚴與個人主體性之維護及人格發展之完整,並為保障個人生活秘密空間免於他人侵擾及個人資料之自主控制,隱私權乃為不可或缺之基本權利,而受憲法第二十二條所保障。」個人資料之自主控制權亦屬憲法所保障之基本人權。法務部於民國93年即著手修正「電腦處理個人資料保護法」,民國94年9月間司法院大法官在釋字第603號解釋就「個人資料之自主控制權」又予補充謂:「其中就個人自主控制個人資料之資訊隱私權而言,乃保障人民決定是否揭露其個人資料、及在何種範圍內、於何時、以何種方式、向何人揭露之決定權,並保障人民對其個人資料之使用有知悉與控制權及資料記載錯誤之更正權。」而後法務部參酌我國大法官之解釋及經濟合作暨發展組織(OECD)所揭示的保護個人資料八大原則[3],並將「電腦處理個人資料保護法」將「電腦處理個人資料保護法」之名稱改為「個人資料保護法」[4](下稱「個資法」),因影響層面頗大,在立法院一直無法取得共識,到民國99年11月月27日終於完成三讀,同年之5月26日總統公布,惟各界對「個資法」之施行,疑慮不少爭議不斷,因而施行細則遲遲無法公布施行,直到民國100年10月1日才正式施行,但其中第六條及第五十四條並未實施,天下雜誌514期中有一篇文章即以「最嚴厲的個資法 何去何從?」為標題撰文指出:「新法上路 馬上面臨修法 個資法卻締造了通過立法卻苦等兩年才上路、還沒上路就得再修法(第六、五十四條並未實施)的不輝煌紀錄,民間團體更痛批行政院違憲。」
二、個人資料之定義
依個資法施行細則第2條之規定:「本法所稱個人,指現生存之自然人。」而個資法本來分成第2條之一般個人資料與第6條之特種資料(或稱「敏感資料」),個資法第6條所定之特種資料包括:醫療、基因、性生活、健康檢查及犯罪前科資料,惟因個資法第6條目前尚未施行,因而前開六種資料仍適用個資法有關一般個人資料之規定。一般個人資料之定義為:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。條文係以例示方式舉出日常生活中經常被蒐集、處理及利用之個人資料,至於其他得以直接或間接方式識別該個人之資料,亦屬個資法所保護之個人資料,如信用卡上之亂碼,可利用機器設備而判定讀出其資料者,亦屬於可以間接方式識別之資料,個資法施行細則第3條規定:「本法第二條第一款所稱得以間接方式識別,指保有該資料之公務或非公務機關僅以該資料不能直接識別,須與其他資料對照、組合、連結等,始能識別該特定之個人。」。反而單純之姓名未必即屬個人資料,例如大學入學考試,即常有「菜市場名」之排行,名為「冠宇」者有156人、名為「雅婷」者有229人[5]。至於第6條所規定之特種資料,即使當事人同意,原則上亦不得蒐集、處理或利用,因而在適用上就會發生問題,例如:依保全業法第10條之規定,曾犯組織犯罪防制條例等罪而經判決有罪,受刑之宣告者,不得擔任保全人員,若保全業者僱用前揭有前科者充任保全人員,保全業者將會被依保全業法第16條之規定,而會被主管機關得處新臺幣十萬元以上五十萬元以下罰鍰,因而保全業者可否詢問應徵者之前科資料?即屬左右違法之窘境。又保險業者可否要求被保險人提供醫療病歷等資料?因保險法第177-1條配合個資法之施行而修正,其規定合該條第1項各款規定之一者,於經本人書面同意,得蒐集、處理或利用病歷、醫療、健康檢查之個人資料,因而保險業者依保險法前開之規定即可要求本人提供醫療病歷等資料,只不過前揭保險法修正第177-1條之施行日期,尚須由行政院定之。
三、個資法之適用主體與除外規定
個人資料保護法所規範的主體,僅分成公務機關與非公務機關,非公務機關不論是自然人、法人或其他團體均受到法律規範,個資法第51條第1項規定之情形不適用個資法之規定:一、自然人為單純個人或家庭活動之目的,而蒐集、處理或利用個人資料。二、於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料。因此社交活動場所交換名片之行為,或者建立親友通訊錄等)而蒐集、處理或利用個人資料,因係屬私生活目的所為,與其職業或業務職掌無關,並不受個資法之規範,但如果職員因業務需要而蒐集之通訊錄、名片資料,即非屬於單純個人或家庭生活之目的,非屬社交生活,而應受個資法之規範。現今資訊科技及網際網路發達,在網際網路上或個人部落格及Facebook張貼一般日常生活或公共活動的合照或影音資料,乃屬表現自由之一部分,並不受個資法之規範,但須注意者乃:前揭之影音資料,未與其他個人資料結合之始可,若有具其名在影音資料上者,因會與個人資料相結合,因而恐有個資法之適用餘地。
四、個人資料之蒐集、處理與利用
依個資法第2條之定義,蒐集:係指以任何方式取得個人資料。處理:係指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。利用:係指將蒐集之個人資料為處理以外之使用。其中就蒐集係指以任何方式取得,原來法務部草案中尚有「指為建立或利用個人資料檔案所為」之字語,到了行政院被刪改為「任何方式取得」,則路上拾得之通訊錄,是否亦為「蒐集」?而「處理」部分,仍保留「為建立或利用個人資料檔案所為」之字語,因而在解釋上似應就「蒐集」之定義採目的性限縮,亦即「蒐集」係為建立或利用個人資料檔案所為資料而取得較符合原意。
(一)、蒐集個人資料之告知義務:
1、法定應告知事項有六項:
依個資法第8條第1項之規定,公務機關或非公務機關向當事人蒐集個人資料時,應明確告知:A、公務機關或非公務機關名稱。B、蒐集之目的。C、個人資料之類別。D、個人資料利用之期間、地區、對象及方式。E、當事人依第三條規定得行使之權利及方式。F、當事人得自由選擇。其中第3條之所稱當事人之權利係者:A、查詢或請求閱覽。B、請求製給複製本。C、請求補充或更正。D、請求停止蒐集、處理或利用。E、請求刪除。而上揭權利不得預先拋棄或以特約限制之。本條之規定屬法定應告知事項,所規定之事項實在嚴格且煩雜,但是違反告知義務時,個資法尚無處罰條文,當事人得以其蒐集不合法為由,請求補為告知,或依第11條第4項規定,請求蒐集機關刪除、停止處理或利用該個人資料。
2、告知方式:
依個資法施行細則第16條之規定:「依本法第八條、第九條及第五十四條所定告知之方式,得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。」
(二)、蒐集個人資料免予告知之事由:
依個資法第8條第1項之規定蒐集個人資料免予告知之事由有:A、依法律規定得免告知。B、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。C、告知將妨害公務機關執行法定職務。D、告知將妨害第三人之重大利益。E、當事人明知應告知之內容。其中第二之「非公務機關履行法定義務所必要」例如:金融機構依據洗錢防制法第7條之規定,對於達一定金額以上之通貨交易,應確認客戶身分及留存交易紀錄憑證。又第六項之當事人明知應告知之內容,似應採較寬鬆之解釋,若可預期當事人知悉之事項,應可不踐行告知義務。
(三)、間接蒐集個人資料之告知義務與免予告知之義務:
個人資料若係從第三人處取得者,即屬間接蒐集之個人資料,更需告知當事人資料來源及其相關事項,俾使當事人明瞭其個人資料被蒐集情形,並得以判斷提供該個人資料之來源是否合法,並及早採取救濟措施,避免其個人資料遭不法濫用而損害其權益,此乃個資法第9條規定告知義務之目的。非由當事人處蒐集之個人資料,應於處理或利用前,向當事人告知個人資料來源,並踐履前揭蒐集個人資料之法定告知義務。惟在部分特別情況下,告知恐有不宜或無必要,個資法第9條第2項亦規定有五種免為告知之事由。其中大眾傳播業者基於報導新聞之目的,經常以間接方式蒐集特定人之個人資料,如需依第一項規定告知當事人資料來源等相關事項,恐會造成新聞報導之困擾。因而大眾傳播業者基於新聞報導之公益目的而蒐集個人資料,得免為向當事人告知。本次個資法修法未施行之第54條規定:「本法修正施行前非由當事人提供之個人資料,依第九條規定應於處理或利用前向當事人為告知者,應自本法修正施行之日起一年內完成告知,逾期未告知而處理或利用者,以違反第九條規定論處。」由於各行各業所擁有之個人資料繁雜,若要一筆一筆去分辨其所蒐集之個資究係直接或間接蒐集,誠屬不易更非短時間內可以完成,因而各界之反彈聲浪不小,因而第54條就成為「還沒上路就得再修法」之條文。
(四)、非公務機關蒐集、處理個人資料之要件:
非公務機關蒐集、處理個人資料應有特定目的,並符合:A、法律明文規定。B、與當事人有契約或類似契約之關係。C、當事人自行公開或其他已合法公開之個人資料。D、學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。E、經當事人書面同意。F、與公共利益有關。G、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。非公務機關蒐集個人資料,大多是屬於「與當事人有契約或類似契約之關係」,依據個資法施行細則第27條規定:本法第十九條第一項第二款所定契約關係,包括本約,及非公務機關與當事人間為履行該契約,所涉及必要第三人之接觸、磋商或聯繫行為及給付或向其為給付之行為。本法第十九條第一項第二款所稱類似契約之關係,指下列情形之一者:一、非公務機關與當事人間於契約成立前,為準備或商議訂立契約或為交易之目的,所進行之接觸或磋商行為。二、契約因無效、撤銷、解除、終止而消滅或履行完成時,非公務機關與當事人為行使權利、履行義務,或確保個人資料完整性之目的所為之連繫行為。又個資法施行細則第28條規定:「本法第十九條第一項第七款所稱一般可得之來源,指透過大眾傳播、網際網路、新聞、雜誌、政府公報及其他一般人可得知悉或接觸而取得個人資料之管道。」有疑義者乃所謂「當事人自行公開」為何?「公開」係採全面性或是部分性公開?例如:某甲明星僅在其某特定人參與之活動中,公開其已婚及其配偶姓名、年齡等資料,則是否屬於「當事人自行公開」?又前揭「經當事人書面同意」者係指經蒐集者先踐行個資法第8條應告知之事項後,當事人再以書面方式同意非公務機關得以蒐集而言。
(五)、非公務機關個人資料之利用:
1、目的內利用:
個資法第20條本文規定:「非公務機關對個人資料之利用,除第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。」因而在蒐集之特定目的必要範圍內得利用個人資料,惟利用時應受個資法第5條之規範,即:應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。因個資法之施行,民眾過度恐慌,目前常見有人以個資法為由,在文件上打「000」,以示尊重個資而不違反個資法,但其實個資法之立法目的,不僅在避免人格權受侵害,也是在促進個人資料之合理利用,有人詢問法務部個資法之問題,即有「可否將員工資料提供予其他內部員工查詢使用?」法務部的回答是:「公司將員工編號、公務電子郵件信箱等資料提供予其他員工,或供相關員工查詢系統登錄帳號等資料,係屬原蒐集個人資料之特定目的(人事管理)必要範圍內之利用行為。惟提供查詢個人資料時,仍應注意比例原則,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。」
對於個資法之施行,實無庸過度反應,首應辨別個人資料之來源是向當事人搜集或是間接搜集(參個資法第9條),向當事人搜集資料時,有無履行個資法第8條應告知之事項?然後再處理及利用個資時,應判斷係屬目的內之處理、利用或係目的外之處理、利用(參個資法第20條第1項但書)?目的內為處理、利用時,仍應受個資法第5條之規範,不得逾越特定目的之必要範圍,例如公布姓名即已足者,則再將該人之出生年月日,身分證字號、住所等資料一併公布,當屬不符比例原則,並非正當合理地利用個人資料。又非公務機關利用個人資料行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。非公務機關對當事人若係進行首次行銷時,為便利當事人表達拒絕接受行銷之意思表示,個資法第20條第3項爰規定應支付當事人拒絕行銷之費用,例如,提供免付費電話、免費回郵等。至於當事人日後得隨時以自費方式,表示拒絕再接受行銷,非公務機關應即停止再利用其個人資料進行行銷。
2、目的外利用:
非公務機關對個人資料於蒐集目的外之利用,應符合A、法律明文規定。B、為增進公共利益。C、為免除當事人之生命、身體、自由或財產上之危險。D、為防止他人權益之重大危害。E、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。F、經當事人書面同意。其中實務上較常見者,如:公務機關來函要求公司行號提供資料,函中已有表明其執行公務者,非公務機關提供出去雖屬目的外之利用,但係因應政府機關執行公務而提出,似可解釋為「增進公共利益」而為目的外利用。又報上亦有報導廟宇等慈善團體為發放貧窮市民年節慰問金,請求政府機提供名冊,而遭公務機關拒絕之新聞事件,法務部就此之回應是:
「個資法並未規範公務機關一律不得利用個人資料,例如:縣市政府為使轄區內慈善團體(如廟宇)等發放敬老金,為增進公共利益,或有利於當事人權益時,例如單純係提供慈善團體按符合資格之老人名冊發放敬老金使用,即可認為屬於個資法第16條但書特定目的外之利用。又該廟宇或其他慈善團體取得上開之老人資料後,自不得非法移作他用,自不待言。」
五、非公務機關對個人資料之維護:
個資法第27條第1項規定:「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」依資法第29條之規定,非公務機關侵害當事人權利者,係依「推定過失」而負損害賠償責任,亦即由非公務機關來負舉證責任,證明自己並無故意或過失,始能免責,要證明自己無過失者,則首應須證明:有確實採行適當安全措施,而所謂適當安全措施,個資法施行細則第12條第2項規定:「前項措施,得包括下列事項,並以與所欲達成之個人資料保護目的間,具有適當比例為原則:1、配置管理之人員及相當資源。2、界定個人資料之範圍。3、個人資料之風險評估及管理機制。4、事故之預防、通報及應變機制。5、個人資料蒐集、處理及利用之內部管理程序。6、資料安全管理及人員管理。7、認知宣導及教育訓練。8、設備安全管理。9、資料安全稽核機制。10、使用紀錄、軌跡資料及證據保存。11、個人資料安全維護之整體持續改善。又某些行業如銀行、電信、醫院、保險等,因保有大量且重要之個人資料檔案,其所負之安全保管責任應較一般行業為重,因而個資法第27條第2項規定,授權中央目的事業主管機關得指定特定之非公務機關,要求其訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,以加強管理,確保個人資料之安全維護。再者個人資料檔案,包括備份檔案(參個資法施行細則第5條),軌跡資料不在其內。
六、侵害個人資料之法律責任
依個資法之規定,侵害個人資料之相關責任有:民事上之損害賠償責任、刑事責任、非公務機關之行政罰責任。
1、民事責任:公務機關採無過失之國家賠償責任(個資法第28條),而非公務機關採推定過失之賠償責任(個資法第29條),而賠償範圍如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者,以該所涉利益為限。(個資法第28條第3項、第29條第2項)。侵害個人資料之民事責任,個資法並引進「團體訴訟」,對於同一原因事實造成多數當事人權利受侵害之事件,財團法人或公益社團法人經受有損害之當事人二十人以上以書面授與訴訟實施權者,得以自己之名義,提起損害賠償訴訟(個資法第32條至第40條)。
2、刑事責任 :
(1)、非意圖營利:個資法第41條第1項:違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定,或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分,足生損害於他人者,處二年以下有期徒刑、拘役或科或併科新臺幣二十萬元以下罰金。其中第15條、第16條係對公務機關個資蒐集、處理及利用之規,而第19條、第20條係對非公務機關個資蒐集、處理及利用之規定,若有違反而致他人損害者,則有刑事責任,惟該項係屬告訴乃論之罪。
(2)、意圖營利:依個資法第41條第2項之規定,若係意圖營利者,違反前開第十五條、第十六條、第十九條、第二十條等規定,則處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。
(3)、不法妨害個人資料之正確罪:
個資法第42條:意圖為自己或第三人不法之利益或損害他人之利益,而對於個人資料檔案為非法變更、刪除或以其他非法方法,致妨害個人資料檔案之正確而足生損害於他人者,處五年以下有期徒刑、拘役或科或併科新臺幣一百萬元以下罰金。該罪原則上係屬告訴乃論之罪,但若行為人係對公務機關犯第42條之罪者,則非告訴乃論之罪。
3、行政罰則:中央目的事業主管機關或直轄市、縣(市)政府對於違法蒐、處理、利用個人資料或違反國際傳輸之命令或處分之非公務機關者,可限期改正,屆期未改正者,處新臺幣二萬元以上二十萬元以下罰鍰。另個資法第22條第1項之規定,政府為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時,得派員攜帶執行職務證明文件,進入檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。非公務機關若無正當理由,而拒絕檢查行為者,亦可處新臺幣二萬元以上二十萬元以下罰鍰。
七、結語
2011年11月16日自由時報以「個資法上路逾月 各界霧煞煞」報導消基會舉行記者會,報導中消基會董事長張智剛指出,各類個資問題中,常見字體過小、把個資條款內容附於不明顯處;多數餐廳的意見調查表,要求消費者提供個資,卻沒標註運用方式或細節[6]。以提供個資者而言,大法官在釋字第603號解釋揭示:個人有權決定是否揭露其個人資料、及在何種範圍內、於何時、以何種方式、向何人揭露之決定權,並對其個人資料之使用有知悉與控制權及資料記載錯誤之更正權,落實在個資法規定之權利乃:查詢或請求閱覽權、請求製給複製本權、請求補充或更正權、請求停止蒐集、處理或利用權、請求刪除權及於受損害時得請求賠償等權利。就公司、行號於蒐集個人資料而言,首應踐履個資法第8條之告知義務,並且於蒐集之特定目的範圍內為處理、利用,若屬目的外之利用,尤應符合個資法第9條及第20條第1項之但書始可利用,另外應對「個人資料檔案」應採行適當之安全防護措施,並參考個資法施行細則第12條第2項所規定之11種安全維護措施,建立完整之資安體系,否則萬一不慎造成大筆個資之外洩,除損及自家之商譽外,更有可能面對高額之損害賠償訴訟。
