http://ppt.cc/8ce6 (pdf)
一、如何判定是否为个人资料?
新修正个资法针对个人资料之定义为自然人之姓名、出生年月日、国民
身分证统一编号、护照号码、特征、指纹、婚姻、家庭、教育、职业、病历、
医疗、基因、性生活、健康检查、犯罪前科、联络方式、财务状况、社会活
动及其他得以直接或间接方式识别该个人之资料。
何谓可间接识别之个人资料?依据法务部所提出之立法说明,由于社会
态样复杂,有些资料虽然没有直接指名道姓,但是一经揭露后,仍可能识别
出某一特定人,则仍属于可间接识别之个人资料。个资法施行细则针对间接
方式识别之定义为仅以该资料不能识别,须与其他资料对照、组合、连结等,
始能识别该特定个人者。
所谓“得以间接方式识别”之个人之资料是用来补强“得以直接方式识
别”的不足。而当要判断该个人资料是不是属于个资法所保护之“得以间接
方式识别”之个人资料,必须判断这个资料是不是可借由资料持有者所保有
之其他资料互相对照、组合、连结然后指涉到某个特定的人。例如,线上游
戏的情形,玩家通常会注册ID并使用暱称在虚拟世界里活动,而仅以 ID
与暱称通常无法识别出特定之人,但是,透过对照、组合、连结(如游戏公
司的数据库内有 ID或暱称使用者之真实姓名),可以特定出个人时,此时,
ID就会是个资法所称的可间接识别之个人资料。
二、 是否所有的个人资料均为个资法所规范?
凡与个人有关,得以直接或间接识别个人之资料,皆属于个人资料的范
畴。然而,个人资料在日常生活中,被蒐集、处理、利用的样态实在多不胜
数,上至基于公务或商业之原因,下至人民的一般日常作息,都可能会包含
了个人资料。姑且不论个资法是否真的能够做到滴水不漏的保护到每一种个
资的蒐集、处理、利用,过多的规范有时可能会使原本避免人格权受侵害的
出发点,遭到了扭曲,而因此会对民众的日常生活带来不便。
据此,依个资法第 51 条之规定,有两种情形不适用个资法之规定:
(一)自然人为单纯个人或家庭活动之目的,而蒐集、处理或利用个人资料。
举例言之,你我将家人或朋友的电话号码抄写整理成电话本或记录在手
机通讯录中,此种单纯为日常生活所需而接触到的个人资料之情形,并
不适用于个资法。
(二)公开场所或公开活动中所蒐集、处理或利用之未与其他个人资料结合
之影音资料。例如,在街道路口所架设之监视器,虽然将行经的路人拍
摄下来,但是在其尚未与其他资料结合时,则不适用个资法。
三、 外国人是否适用个资法?
法律的空间效力,基本上系以属地原则为主。所谓属地原则,意思就是,
凡是在本国领域内的行为,无论行为人或行为对象系本国人、外国人或无国
籍人,均适用之,此亦为国家主权的展现。以个人资料保护法而言,只要是
在我国领域内所进行的蒐集、处理或利用个人资料,无论是我国国民或是外
国人,均为个资法所规范。
四、 在国外进行的蒐集、处理或利用是否适用个资法?
在国外蒐集、处理或利用个人资料,是否因为不在中华民国领域的范围,
而不适用个人资料保护法?依照个人资料保护法第51 条第 2 项:公务机关
或公务机关,在中华民国领域外对中华民国人民个人资料蒐集、处理或利用
者,亦适用本法。
由此可见,只要是对中华民国人民个人资料蒐集、处理或利用,即便是
在中华民国领域外为之,亦适用个人资料保护法。举例而言,今天若有人在
国外蒐集我国人民的个人资料,此时即应受我国个资法的规范。
五、 蒐集、处理以及利用个人资料时,须注意哪些规定?
(一)应有特定目的,并符合下列情形:(个资法第 19 条)
1. 法律明文规定。
2. 与当事人有契约或类似契约关系。例如公司与员工的雇佣契
约,公司于雇佣契约的范围内蒐集员工的资料。而类似契约
关系则系指例如在契约撤销后为返还物品、价金,而需要交
易双方个人资料之情形或者是订约前之磋商亦属之。
3. 当事人自行公开或其他已合法公开之个人资料。
4. 学术研究机构基于公共利益为统计或学术研究而有必要,且
资料经过提供者处理后或蒐集者依其揭露方式无从识别。例
如,研究机构为了统计我国因癌症死亡之机率,而蒐集相关
医疗资讯。如果可连结特定当事人之资料,如姓名、住址、
病历编号等等,均未提供给研究机构,由于无法识别特定当
事人,即符合此款规定之情形。
5. 经当事人书面同意。书面同意,依照施行细则第 14条,亦
可以电子文件为之。
6. 与公共利益有关。
7. 个人资料取自于一般可得之来源。但当事人对该资料之禁止
处理或利用,显有更值得保护之重大利益者,不在此限。个
资法第 19 条修法说明指出,由于资讯科技及互联网之发
达,个人资料之蒐集、处理或利用甚为普遍,尤其在网际网
路上张贴之个人资料其来源是否合法,经常无法求证或需费
过钜,为避免蒐集者动辄触法或求证之行为旷日费时,明定
个人资料取自于一般可得之来源者,亦得蒐集或处理。
(二)应明确告知当事人下列事项:(个资法第 8 条)
1. 公务机关或非公务机关名称。
2. 蒐集之目的。
3. 个人资料之类别。
4. 个人资料利用之期间、地区、对象及使用方式。
5. 当事人依第 3 条规定得行使之权利及方式。
6. 当事人得自由选择提供个人资料时,不提供将对其权益之影响。
以网络订房为例,业者应告知之事项有:当事人资料(蒐集者为
XX公司),蒐集目的(提供饭店业者做订房之用),资料类别(包括
姓名、连络方式等),使用个人资料之期间(订房时起至入住完成),
当事人可依业者所提供的方式行使权利,以及若不同意蒐集其个资将
无法提供服务等说明。
(三)下列情形,始得为目的外利用:(个资法第 20 条)
1. 法律明文规定。
2. 为增进公共利益。
3. 为免除当事人之生命、身体、自由或财产上之危险。
4. 为防止他人权益之重大危害。
5. 公务机关或学术研究机构基于公共利益为统计或学术研究而有必要,且资料经过提供者处理后或蒐集者依其揭露方式
无从识别特定之当事人。
6. 经当事人书面同意。
六、 何种情况下得不为个资法之告知义务?
个资法要求个人资料蒐集单位在做直接、间接蒐集的时候必须履行告知
义务。某些例外情形下,告知义务可以免除,其可因直接或间接蒐集而有所
不同。
(一)直接/间接蒐集均适用之免告知情形
1. 依法得免为告知。
2. 个人资料之蒐集系公务机关执行法定职务或非公务机关履行法定义务所必要。例如税务机关蒐集纳税人的所得资料。
3. 告知将妨害公务机关执行法定职务。例如告知将妨害侦查机关进行侦查工作之情形。
4. 告知将妨害第三人之重大利益。
5. 当事人明知应告知之内容。
(二)仅间接蒐集始得适用之免告知情形
1. 当事人自行公开或其他已合法公开之个人资料。
2. 不能向当事人或其法定代理人为告知。
3. 基于公共利益为统计或学术研究之目的而有必要,且该资料须经提供者处理后或蒐集者依其揭露方式,无从识别特定当
事人者为限。
4. 大众传播业者基于新闻报导之公益目的而蒐集个人资料。
七、 书面同意,是否一定要以纸本书面为之?
个资法有不少条文都有提到“书面同意”,例如涉及蒐集、处理合法化
要件的第 15、19 条,以及涉及特定目的外利用之第 16、20条均为适例。一
般人看到“书面”,很可能会直接联想到纸本,不过,根据个资法施行细则
第14条的规定,书面意思表示,依电子签章法章规定,亦得以电子文件为
之。
而电子签章法第4条规定,经相对人同意者,得以电子文件为表示方法。
依法令规定应以书面为之者,如其内容可完整呈现,并可于日后取出供查验
者,经相对人同意,得以电子文件为之。
因此,书面同意并不限于纸本;在蒐集者及个资当事人均同意之状况下,
如为电子文件,只要其内容可完整呈现,并可于日后取出供查验,亦符合书
面之要求。例如,电子商务业者以电子邮件所取得之当事人同意,只要符合
上述要求,虽为电子文件而非纸本,亦属个资法所称“书面”。
八、 否以互联网公告或新闻媒体作为蒐集、处理、利用个资时告知当事人之方
式?
个资法第8 条、第 9 条、第54 条规定,在蒐集、处理、利用个人资料
时,应明确告知当事人相关事项,按照个资法施行细则第16 条的定义,告
知之方式,得以言词、书面、电话、短信、电子邮件、传真、电子文件或其
他适当方式为之。
而个资法第12 条规定,公务机关或非公务机关违反本法规定,致个人
资料被窃取时,应查明后以适当方式通知当事人。所称适当方式通知,根据
施行细则第22 条,系指即时以言词、书面、电话、短信、电子邮件、传真、
电子文件或其他足以使当事人知悉或可得知悉之方式为之。但耗费过钜者,
得斟酌技术之可行性及当事人隐私之保护,以互联网、新闻媒体或其他足
以使公众得知之方式为之。
据此,个资法第 8 条、第9 条、第 54 条“告知”之方式,并没有如个
资法第12 条以互联网、新闻媒体之“通知”方式等规定。故可否以网际
网络或新闻媒体作为个资法第8 条、第 9 条、第 54 条告知之方式?
按个资法第8 条、第 9条、第54 条的告知,告知之目的在使当事人知
悉其个人资料将被蒐集或已被蒐集、处理,以及后续与其个人资料利用相关
之事宜,以期能防杜其个人资料遭不法滥用,必须使当事人清楚明白其个人
资料即将被蒐集或已经被蒐集,故须以“告知”为之,务必要使当事人接收
到该等讯息。
而个资法第12条的通知,其目的则是为了当个人资料发生外泄事故时,
能够即时通知当事人,避免损害的扩大,因着重于即时性,故于例外情形下
可以使用互联网、新闻媒体之方式,来进行“通知”,以达成其即时性。
“告知”与“通知”,看似相同,实则为不同的概念,互联网、新闻
媒体之方式,并无法确保当事人清楚明了该事项,且即便是讲求即时性的“通
知”,亦仅在特殊情形下始可采用互联网的方式,因此,实不应以网际网
路或新闻媒体等方法,来作为“告知”当事人之方式。
九、 个人资料保护法对国际传输的规定为何?
我国个资法目前针对跨境传输之规定主要可见于第21条。从法条观之,
基本上国际传输行为系被允许的,仅于涉及国家利益、国际条约或协定有特
别规定、接受国对于个人资料未有完善之法规以及以迂回方法向第三国(地
区)传输个人资料规避本法等四种情形时,中央目的事业主管机关得限制之。
据此,只有违反上述四种情形时,非公务机关才会被禁止将个人资料传输至
台湾以外之地区。
事实上,电脑处理个人资料保护法对于国际传输个人资料已有相关规定,
过去电脑处理个人资料保护法第24 条规定,非公务机关为国际传递及利用
个人资料,而有涉及国家重大利益者、国际条约或协定有特别规定者、接受
国对于个人资料未有完善之法令致有损于当事人权益之虞者以及以迂回方
法向第三国传递或利用个人资料规避本法等四种情形时,目的事业主管机关
得予以限制之。以国家通讯传播委员会(NCC)发布通传营字第 10041054820
号公告为例,该公告依循电脑处理个人资料保护法第24 条第 3 款之规范,
预告订定“限制非公务机关国际传递个人资料之命令”,衡酌大陆地区之个
人资料保护法令尚未完备,拟限制通讯传播事业经营者将所属用户之个人资
料传递至大陆地区。因此,此一命令若正式实施,将个人资料传递至大陆地
区就会受到限制。
未来,业者须密切注意目的事业主管机关是否有做出关于国际传输限制
的命令,以免误触法网。
十、 受政府委托的业者应如何遵守个资法?
个资法第 4 条规定,受公务机关或非公务机关委托蒐集、处理或利用个
人资料者,于本法适用范围内,视同委托机关。施行细则第7 条亦规定,受
委托蒐集、处理或利用个人资料之法人、团体或自然人,依委托机关应适用
之规定为之。
由此可知,业者虽原属于非公务机关,一旦接受公务机关委托,则在委
托范围内,视同委托机关,此时,在个资法的适用上,就必须遵守第二章对
公务机关的规定。
十一、 面对委托机关的指示应如何处理?
业者既然接受政府机关委托,原则上即应依照委托机关的指示办理。施
行细则第8 条亦规定,受托者仅得于委托人指示之范围内,蒐集、处理或利
用个人资料。
然而,当委托机关之指示有违反个资法之情形时,依照施行细则第8
条规定,受托的业者应该立即将该情形通知委托机关。一方面提醒委托机关
其指示违法,另一方面,受托人亦可透过通知委托机关的动作,作为日后诉
讼上减轻或免除责任的举证,以保障自己的权益。
十二、 将个人资料复委托其他机关蒐集、处理或利用,事后发生资料外泄等情
形时,业者是否仍须负法律责任?
受委托机关发生个资外泄事件,首当其冲当然必须负责。然而,将个人
资料复委托给其他机关时,业者并不能因此即可认为并非自己将个人资料外
泄而主张无须负责。此观诸100 年 10 月预告之“电脑处理个人资料保护法
施行细则”修正草案第7 条第 2 项:“当事人行使本法之权利,应向委托机
关为之”自明,其修正理由指出,受委托蒐集、处理或利用个人资料之法人、
团体或自然人,依本法第4条规定,于本法适用范围内视同委托机关,亦即
仍以委托机关为权责归属对象。而 101 年公告之施行细则虽未如此规定,惟
其本意乃当事人向何人行使权利全凭当事人决定,而无须由法律规定。再者,
法务部 99 年 8 月19日法律决字0999028404号函亦指出:“高公局委托远通
电收公司代收通行费,远通电收蒐集当事人之车号及车主姓名资料等,远通
电收有违法蒐集、处理、利用,均由贵局依电脑处理个人资料保护法第 27
条、第 30 条规定(新个资法第 28 条、第 31 条)负国家赔偿责任”。因此,
委托机关仍须未受托机关的行为负责。
其次,非公务机关违反个资法规定,致个人资料遭不法蒐集、处理、利
用或其他侵害当事人权利者,负损害赔偿责任。但能证明其无故意或过失者,
不在此限。由此可知,非公务机关欲免除损害赔偿责任,必须举证证明自己
并没有故意或过失。并非仅称已复委托给其他机关即可主张免责。
另一方面,施行细则中亦规定,委托机关应对受托者为适当之监督。且
其监督事项至少应该包括预定蒐集、处理或利用个人资料之范围、类别、特
定目的及其期间……等等。而当委托机关已经对于受托者尽到监督义务,则
相对的更能够证明自己并无故意或过失,而主张免责,或得以减轻损害赔偿
责任。
十三、 当事人向公司请求阅览、查询、制给复制本、删除或更正其所留存之资
料时,公司得否拒绝?
当事人请求阅览、查询、制给复制本等,乃个资法第3 条所明文赋予之
权利,所以若当事人行使权利时,原则上是不得拒绝的,只有在例外情形下
始得拒绝,例如,妨害国家安全、外交及军事机密、妨害公务机关执行法定
职务、妨害蒐集机关或第三人之重大利益(个资法第 10 条)。而对于此请求,
应于 15 日内为准驳之决定;必要时,得予以延长,但延长不得逾15日,并
应将延长原因告知当事人(个资法第 13 条第 1 项)。
个人资料蒐集、处理、利用之机关,对于个人资料有维持其正确性之义
务。个人资料是否正确,必须由当事人决定,因此个资法将更正、补充列为
当事人权利之一。当事人于发现其个人资料有误时,可请求补充、更正之;
若机关自行发现资料有误,则应主动补充、更正。
因此,当事人要求补充、更正时,原则上亦不得拒绝之。只有在正确性
有争议时,才可以暂时不为更正,而此时则应主动停止处理、利用个资,等
争议调查清楚之后,再行更正、补充个资之内容(个资法第 11条第 1、2 项)。
除此之外,当个人资料蒐集之特定目的消失或期限届满时,应主动或依
当事人申请,删除该个人资料。同样的,此亦为当事人可行使之权利之一,
若当事人提出删除的请求时,原则上不得拒绝。若因执行职务或业务所必须
又或是经当事人书面同意者,则不在此限(个资法第11 条第 3 项)。
而对于当事人所提出的更正、补充、删除等请求,应于30 日内,为准
驳之决定;必要时,得予以延长,延长期间不得逾30 日,并应将其原因以
书面通知当事人(个资法第13条第2 项)。
十四、 当事人得否以电话请求更正或删除资料?
个资法赋予当事人得行使查询、阅览、制给复制本、补充、更正、删除,
以及停止蒐集、处理或利用个人资料等权利,且当事人的权利不得预先抛弃
或以特约限制之。除非有法律规定之情形,否则不得拒绝当事人之请求。
当事人行使其权利时,应以何种方式为之,法律并无明文规定,因此,
当事人以电话请求更正或删除资料时,亦无不许之理。虽然,以电话的方式
难以证明是否确为当事人本人,然而,只要能够确认为当事人本人,则并非
不能为之。举例而言,公司可以于电话中,询问来电者关于当事人相关之资
料,如身分证字号、地址、或当事人于公司所留存之验证密码等,均可作为
验证当事人身分的依据,而在确认其身分后,则将可回应当事人之请求。
十五、 员工可否要求公司删除一切个资?
公司为了内部的经营管理、新进人员之面试,或员工薪资的发放等目的
等,无可避免的会握有员工的个人资料。
员工,无论是否在职,均属于个资法所欲保护的对象,依法拥有要求删
除其个人资料之权利。而个资法第11 条第 3 项指出,个人资料蒐集之特定
目的消失或期限届满时,应主动或应当事人之请求,删除该个人资料,但因
执行职务或业务所必须或经当事人书面同意者,不在此限。
据此,当员工的合约届满或另觅工作而离开公司时,此时即属于特定目
的消失或期限届满之适例。然而,若是在职的员工提出删除个人资料的要求
时,此时公司是否应为同意?
按公司握有在职员工的个人资料,其目的可能系为了公司内部的经营管
理,或为薪资的发放之目的。首先,公司对于员工之个人资料之蒐集目的尚
未消失或期限尚未届满;其次,若对员工资料予以删除,将有可能会影响公
司业务的推行,因此,公司对于在职员工所提出之删除个人资料请求,应得
予以拒绝。
十六、 违反个资法会有什么样的后果?
(一)民事责任:
因违反个资法而导致权益受损,被害人可请求损害赔偿。虽非财
产上损害,亦得请求赔偿相当金额,名誉若受有侵害,得请求回复名
誉之适当处分。若被害人不易或无法证明其实际损害额时,以每人每
事件新台币 500 元至2 万元以下计算。所以,如果今天有 20个当事
人向非公务机关提起损害赔偿诉讼,20 个当事人都不能举证他们自
己所受到的实际损害额时,法院可以依侵害情节轻重,以 5 百元到 2
万元乘以20人,也就是以总金额1万元到40万元计算损害赔偿金额。
另一方面,对业者而言,基于同一原因事实对多数受害人所负担。
(二)刑事责任:
违反个资法之规定者,最高可处 5 年以下有期徒刑、拘役或科或
并科新台币 100万元以下罚金。
(三)行政责任:
非公务机关违反个资法时,由目的事业主管机关按次处新台币2
万至 50 万元之罚锾;其代表人、管理人或其他有代表权人,除能证
明已尽防止义务外,并应受同一额度罚锾之处罚。
十七、 公司应如何证明无故意过失而免除赔偿责任?
个资法第29 条规定,非公务机关违反个资法规定,致个人资料遭不法
蒐集、处理利用或其他侵害当事人权利者,负损害赔偿责任。但能证明其无
故意或过失者,不在此限。由此可知,非公务机关欲免除损害赔偿责任,必
须举证证明自己并没有故意或过失。
然而,在面临当事人提起损害赔偿请求时,应如何证明自己并无故意或
过失?此涉及诉讼攻防的概念,以个资法而言,公司可以举证证明已经依照
个资法的相关规定为之,例如,已经依施行细则要求,建立安全维护的必要
措施;委托其他机关蒐集、处理或利用个人资料时,已做到施行细则之监督
要项等。都是公司于面对个资法时,所应遵守之规范。建议将相关纪录存盘
备查,以因应将来个资侵害之诉讼,公司可举证证明其并无故意过失。