個人資料保護法簡介

發表於泓品法律事務所-郭泓志律師 陳婉瑜律師撰寫

個人資料保護法已上路數年,雖然大多數的企業對此仍不熟悉,但個資法所衍生的糾紛日益增加,郭泓志律師以此就個人資料保護法做最基本的介紹,盼能使大眾對個資法有簡單的瞭解~

諮詢方式:

EMAIL:arthurkuo42@gmail.com

LINE ID:holmer

颺理法律事務所    郭泓志律師

高雄市鼓山區明誠四路8號6樓

07-5222991

摘要:

1. 個人資料保護法 郭泓志律師

2. 個人資料保護法 • 於民國84年起,我國已有「電腦處理個人資料保 護法」,然舊法之適用範圍,僅限於公務機關, 及特定行業(如電信業、金融業)。 • 規範客體亦僅限於電腦所處理之資料檔案。

3. 個人資料保護法 • 立法院於99年4月27日,將電腦處理個人資料保護 法,修訂並三讀通過為「個人資料保護法」。 • 新法將「個人資料」之範圍擴大,並明文增加許 多當事人之權利(如告知、拒絕行銷等)。

4. 新法擴大保 護客體 普遍適 用主體 增加當 事人參與 權利 強化行政 監督 引進團體 訴訟 調整民、 刑事責任

5. 新法擴大保 護客體 普遍適 用主體 增加當 事人參與 權利 強化行政 監督 引進團體 訴訟 調整民、 刑事責任 不再限於電子資料, 只要是個資,不管是 在電腦或紙本上,對 該個資之蒐集、處理、 利用,均有個資法的 適用

6. 新法擴大保 護客體 普遍適 用主體 增加當 事人參與 權利 強化行政 監督 引進團體 訴訟 調整民、 刑事責任 不再限於特定行業類 別,所有公務機關或 私 人 ( 自 然 人 或 公 司),在蒐集、處理、 利用個資時,均應遵 照個資法的規定

7. 新法擴大保 護客體 普遍適 用主體 增加當 事人參與 權利 強化行政 監督 引進團體 訴訟 調整民、 刑事責任 賦予個資當事人直接的 法律上權利,如:受告 知義務、請求刪除、禁 止使用、損害賠償請求 權等

8. 新法擴大保 護客體 普遍適 用主體 增加當 事人參與 權利 強化行政 監督 引進團體 訴訟 調整民、 刑事責任 公務機關或私人,未遵 守個資法的規定時,行 政機關除得送請檢調偵 辦外,並命其改善,或 可逕予按次連續處罰

9. 新法擴大保 護客體 普遍適 用主體 增加當 事人參與 權利 強化行政 監督 引進團體 訴訟 調整民、 刑事責任 個資之洩漏,常為大規 模的洩漏,為集中受害 人的力量,可由公益團 體匯集多數受害人後, 提起團體訴訟,以保障 一般人的權利

10. 新法擴大保 護客體 普遍適 用主體 增加當 事人參與 權利 強化行政 監督 引進團體 訴訟 調整民、 刑事責任 加重法定刑度,並增加 被害人可於民事請求中, 免負舉證責任,竟由法 院認定損害額度減輕個 資外洩之受害人尋求救 濟之成本

11. 個 資 法 整 體 架 構 1 2 3 4 5 6

12. 個人資料之定義  指自然人(不含死者)之姓名、出生年月日、國 民身分證統一編號、護照號碼、特徵、指紋、婚 姻、家庭、教育、職業、病歷、醫療、基因、性 生活、健康檢查、犯罪前科、聯絡方式、財務情 況、社會活動及其他。  得以直接或間接方式識別該個人之資料。

13. 間接個資?  指保有該資料之公務或非公務機關僅以該資料不 能直接識別,須與其他資料對照、組合、連結等, 始能識別該特定之個人。  如:表單上只有手機號碼,卻沒有姓名時,如果 公司資料庫中,有其他相關資料可供比對,而能 特定某一人時,則該手機號碼,亦屬間接個資。

14. 間接個資? 又如: 論壇、購物網站上所註冊之ID(或暱稱),通常無 法以該ID特定現實世界中的某一人,但如果透過註 冊資料,可將該ID持有人加以特定時,則對公司而 言,該ID或暱稱,亦屬間接個資。

15. 個人資料檔案  指依系統建立而得以 自動化機器或其他非 自動化方式檢索、整 理之個人資料之集合。  包括備份檔案,但 應不包括軌跡檔案。

16. 不宜蒐集的個資 • 病歷、醫療、基因、性生活、健康檢查及犯罪前 科,屬特種個資,原則不得蒐集、處理或利用。 • 只有下列情況,可以蒐集:  法律明文規定  為履行法定職務,且有適當安全維護措施  公務或學術機關,為醫療、學術等目的而蒐集使用  當事人書面同意、自行公開、或已合法公開之內容

17. 個資當事人之五大權利 依個資法第3條之規定,個資之當事人有以下權利, 且不能預先拋棄,亦不得以契約限制之: 一、查詢或請求閱覽。 二、請求製給複製本。 三、請求補充或更正。 四、請求停止蒐集、處 理或利用。 五、請求刪除。

18. 個資法規範的行為  蒐集  以任何方式,取得個人資料之行為,均屬之。  包括直接蒐集、間接蒐集 • 業者直接向當事人蒐集資料,即屬直接蒐集 • 業者將蒐集到之資料,轉交給B業者,B業者 即為間接蒐集

19. 個資法規範的行為  處理  指為建立或利用個人資料檔案所為資料之記錄、 輸入、儲存、編輯、更正、複製、檢索、刪除、 輸出、連結或內部傳送。  利用  指將蒐集之個人資料 為處理以外之使用。 • 公司內部之傳遞、編輯處理 • 複製、傳遞個資給第三人利用

20. 告知義務 病患 醫院 屬直接蒐集,應 於蒐集時告知 資訊公司 病患就醫時 提供個資 醫院將資料庫交由 資訊公司維護 資訊公司屬間接蒐集,應 於處理、利用時告知 間接蒐集之告知義 務,可由醫院蒐集 時,一併告知

21. 告知義務  直接、間接蒐集應告知的內容: • 機關名稱 • 蒐集之目的 • 個人資料之類別 • 利用之期間、地區、對象、方式 • 個資當事人之五大權利  告知方式不限以書面為之,僅要日後提出完整頁面佐證 者,亦得以電腦頁面告知。

22. 告知義務  有下列情形之一者,於直接蒐集時,得免為告知: 一.依法律規定得免告知。 二.個人資料之蒐集係公務機關執行法定職務或非公 務機關履行法定義務所必要。 三.告知將妨害公務機關執行法定職務。 四.告知將妨害第三人之重大利益。 五.當事人明知應告知之內容。

23. 告知義務  有下列情形之一者,於間接蒐集後,處理利用時,得免為告知: 一.有前條第二項所列各款情形之一。 二.當事人自行公開或其他已合法公開之個人資料。 三.不能向當事人或其法定代理人為告知。 四.基於公共利益為統計或學術研究之目的而有必要,且該資料 須經提供者處理後或蒐集者依其揭露方式,無從識別特定當 事人者為限。 五.大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。

24. 蒐集、處理個資 1.法律明文規定。 2.有契約或類似契約之關係,且已採取適當之安全措施。 3.當事人自行公開或其他已合法公開之個人資料。 4.學術研究機構基於公共利益為統計或學術研究而有必 要,且資料經過提供者處理後或經蒐集者依其揭露方 式無從識別特定之當事人。 欲蒐集或處理個資,應有特定目的,且符合下 列情形之一:

25. 蒐集、處理個資 欲蒐集或處理個資,應有特定目的,且符合下 列情形之一: 5.經當事人同意。 6.為增進公共利益所必要。 7.個人資料取自於一般可得之來源。但當事人對該資料 之禁止處理或利用,顯有更值得保護之重大利益者, 不在此限。

26. 處理、利用個資之限制 非公務機關,應於蒐集時告知目的,且後 續之處理、利用,應限於蒐集之特定目的 必要範圍內,才可為之。

27. 特定目的外之利用 於目的外之利用,應符合下列情形之一: 法律明文規定。 為增進公共利益所必要。 為免除當事人之生命、身體、自由或財產上之危險。 為防止他人權益之重大危害。 經當事人同意。 有利於當事人權益。

28. 當事人同意之方式 依個資法之規定,不論是對個資的蒐集、處理、 利用,均可於當事人同意後為之。 取得當事人同意之方法,不限以紙本方式為之, 只要可於日後提出完整頁面供查閱者,亦可以 電子文件方式為之。

29. 防止個資外洩之義務  個資法第27條規定 • 非公務機關保有個人資料檔案者,應採行適當之 安全措施,防止個人資料被竊取、竄改、毀損、 滅失或洩漏。

30. 個資洩漏時之告知  個資法第12條規定 • 公務機關或非公務機關違反本法規定,致個人資 料被竊取、洩漏、竄改或其他侵害者,應查明後 以適當方式通知當事人。  通知方式:書面、電話、EMAIL,或以網路、新 聞等方式公告。

31. 違反告知義務  個資法第48條規定 • 由中央目的事業主管機關或直轄市、縣(市)政 府限期改正,屆期未改正者,按次處新臺幣二萬 元以上二十萬元以下罰鍰。

32. 違反個資法之責任 意圖為自己或第三人不法之利益 或損害他人之利益…,足生損害 於他人者,處五年以下有期徒刑, 得併科新臺幣一百萬元以下罰金。 特種、一般個資的 違法蒐集、處理、利用 如:無契約關係而蒐集 如:洩漏個資 如:未依當事人要求刪 除、停止使用個資 罰鍰:五萬元~五十萬元 並令限期改正,屆期未改 正者,按次處罰之: 行政責任 刑事責任

33. 違反個資法之責任 • 個資法第42條: 意圖為自己或第三人不法之利益或損害他人之利益, 而對於個人資料檔案為非法變更、刪除或以其他非 法方法,致妨害個人資料檔案之正確而足生損害於 他人者,處五年以下有期徒刑、拘役或科或併科新 臺幣一百萬元以下罰金。

34. 洩漏個資之刑責  刑法第317條(洩漏業務上知悉秘密罪): • 依法令或契約有守因業務知悉或持有工商秘密 之義務,而無故洩漏之者,處一年以下有期徒 刑、拘役或一千元以下罰金。

35. 洩漏個資之刑責  刑法第318條-1(洩漏利用電腦知悉之秘密罪): • 無故洩漏因利用電腦或其他相關設備知悉或持 有他人之秘密者,處二年以下有期徒刑、拘役 或五千元以下罰金。

36. 洩漏個資之民事責任  個資法第29條: • 非公務機關違反本法規定,致個人資料遭不法蒐集、處理、 利用或其他侵害當事人權利者,負損害賠償責任。但能證明 其無故意或過失者,不在此限。  個資法第28條第2項: • 如被害人不易或不能證明其實際損害額時,得請求法院依侵 害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。

37. 案例一 新北市瑞芳區今年2月4日,發生事故, 于姓男子開車行經瑞濱地區時,不慎撞 到2部停在路邊機車,于男見四下無人 後即離開,被害人余姓車主發現車子被 不明人士撞壞,前往派出所報案,表明 不想提告,只是要求對方賠償和解。 藍姓員警事後調閱監視器,查出離開的車主住在附近, 同月20日余男到派出所作筆錄,藍員警將對方姓名及 電話等個資,交給余男,請他自行與撞車的男子連絡, 協調車損賠償事宜。

38. 案例二 擁有國立大學碩士學歷的女子 龔詩茜,3年前考上公務員, 分發至桃園監理站後,與自稱 竹聯幫玄武堂成員的洪楚源陷 入熱戀。被愛情沖昏頭的龔女 竟答應男友要求,竊取健身房 呂姓老闆個資。 導致呂男行蹤遭掌握。洪男覬覦其健身房生意,派小弟跟蹤毆打呂男, 逼他簽下股權讓渡書及本票,交出經營權。 呂男事後向調查局報案,檢方先以恐嚇取財罪起訴洪嫌等人,調查後意 外發現龔女提供個資,上個月再以公務人員洩密罪起訴龔女。

發表留言