台灣個人資料保護協會
   
 
 
 
 

台灣個人資料保護現況
台灣於1995年通過立法程序訂定「電腦處理個人資料保護法」,規定公務機構或其他徵信、金融、醫院、學校、電信、大眾傳播等八類非公務機構應依照規定處理個人資料,保護當事人權益,否則應負相關民、刑事等法律責任。但近年來國內屢屢發生重大的個人資料大量外洩事件,卻未見應負責任的機構依照個資法的規定負起各種法律責任,究其原因,主要是因為社會上對於個資法的規定並沒有普遍的認識,並且缺乏外部的監督機制,另外也因為科技進步,現行法律有諸多不合時宜之處,包括應受保護個人資料的種類狹隘、損害賠償機制的不便、監理機制的欠缺等等,對於個人資料的保護,都形成很大的挑戰。

針對法律規範不足部分,法務部於2001年擬定修法計畫,積極推動研修個資法工作,於2003年5月間完成「電腦處理個人資料保護法修正草案初稿條文」,修法內容重點包括擴大保護客體、普遍適用主體、增修行為規範、強化行政監督、促進民眾參與、妥適調整罰責、配合增修條文,現行法之諸多缺失與漏洞均已作適度之改進。2004年9月行政院完成審查,以優先法案函請立法院審議,後因立法院會期結束,基於法案屆期不續審慣例,該修正草案經立法院退回後,法務部重新再陳報行政院函轉立法院審議,行政院於2008年2月15日函送立法院,目前法案仍待完成立法。

最新個資法修正草案除將現行法名稱修正為「個人資料保護法」外,該修正草案,合計新增22條、刪除13條、修正28條、條次變更5條(修正草案共計55條文)。其修正要點如下:
擴大保護客體:
現行「電腦處理個人資料保護法」保護對象只限於經電腦處理之個人資料,為落實對個人資料之保護,爰將保護客體予以擴大,不再以經電腦處理之個人資料為限。(修正草案條文第2條第2款、第4款)
普遍適用主體:
– 刪除非公務機關行業別之限制,即任何自然人、法人或其他團體,除為單純個人或家庭活動之目的,而蒐集、處理或利用個人資料外,皆須適用本法。(修正草案條文第2條第8款、第50條第1項)
– 增訂公務機關及非公務機關,在中華民國領域外對中華民國人民蒐集、處理或利用個人資料者,亦有本法之適用。(修正草案條文第50條第2項)
– 本修正草案已刪除非公務機關適用行業別之限制,普遍適用主體,則現行條文關於非公務機關蒐集處理個人資料有關證照之許可登記及核發等,自無再規定之必要,爰予刪除。(現行條文第19條至第22條)
增修行為規範:
– 增訂有關醫療、基因、性生活、健康檢查及犯罪前科等五類資料為特種資料,其蒐集、處理或利用之要件較一般個人資料更為嚴格。特種資料原則上不得蒐集、處理或利用,須符合法定要件始得為之。(修正草案條文第6條)
– 增訂本法所稱之書面同意,須經蒐集者告知本法所定應告知事項後,所為允許之書面意思表示。如係特定目的外利用個人資料需當事人書面同意者,不得以概括方式取得其同意,而應另以單獨書面同意方式為之,以確保當事人之權益。(修正草案條文第7條)
– 增訂蒐集資料時不論是直接或間接蒐集,除符合得免告知情形者外,均須明確告知當事人蒐集者名稱、蒐集目的、資料類別、利用方式、資料來源等相關事項。另為減少勞費起見,允許於首次對當事人為利用時得併同告知。(修正草案條文第8條、第9條)
– 對於違反本法規定所蒐集、處理或利用之個人資料,增訂公務機關應主動或依當事人之請求,刪除、停止蒐集、處理或利用其個人資料;蒐集機關所保有之個人資料檔案,因未為更正或補充致造成不正確者,如係可歸責於該蒐集機關之事由,應於更正或補充後,通知曾提供利用之對象,使該資料能即時更新,避免當事人權益受損。(修正草案條文第11條第4項、第5項)
– 為尊重個人生活,減少不必要之干擾,對於不論是特定目的內或特定目的外之行銷行為,增訂該從事商品行銷之非公務機關,應於首次行銷時免費提供當事人表示拒絕之方式;當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷,以尊重當事人有拒絕接受行銷之權利。(修正草案條文第20條第2項、第3項)
強化行政監督:
– 為加強防制個人資料之濫用,中央目的事業主管機關或直轄市、縣(市)政府,發現非公務機關違反本法規定或認有必要時,得派員攜帶執行職務證明文件,進入檢查,如發現有違法情事,並得採取必要處分。上開檢查之權限,並得委任所屬機關、委託其他機關或公益團體執行,以發揮最大之監督效能。(修正草案條文第22條、第51條)
– 為保障民眾權益,增訂中央目的事業主管機關或直轄市、縣(市)政府執行檢查所扣留或複製之物,已無留存必要,或決定不予處罰或未為沒入之裁處者,應發還民眾。(修正草案條文第23條第2項)
– 中央目的事業主管機關或直轄市、縣(市)政府執行檢查時,所採取之措施,或相關強制、扣留或複製行為,當事人如有不服,得聲明異議;對該異議之決定不服者,則得於對該案件之實體決定聲明不服時一併聲明之,以避免檢查之程序有違法或不當之情形,並提供當事人對檢查程序或相關措施,有表示不服與救濟之管道。(修正草案條文第24條)
促進民眾參與:
– 增訂財團法人或公益社團法人符合本法規定者,得代受害之當事人提起團體訴訟,以協助其救濟遭侵害之隱私權益。(修正草案條文第32條)
– 財團法人或公益社團法人接受被害當事人二十人以上訴訟實施權之授與後,得以自己名義提起損害賠償訴訟,且其訴訟標的價額超過新臺幣六十萬元者,超過部分免徵裁判費。(修正草案條文第33條)
妥適調整罰責:
– 對於違法蒐集、處理或利用個人資料,惟未具有「意圖營利」之主觀要件者,亦科處二年以下有期徒刑及新臺幣二十萬元以下罰金之刑事責任,以為儆戒。至於具有「意圖營利」主觀要件之惡質侵害個人資料行為,則將科處之刑責提高為五年以下有期徒刑及新臺幣一百萬元以下罰金,以加強打擊盜賣個人資料之犯罪行為。(修正草案條文第40條)
– 由於科技發達網際網路使用普遍,違法蒐集、處理或利用個人資料之行為,並不侷限在國內始能為之。為避免造成法律漏洞,爰增訂中華民國人民在我國領域外觸犯本法之罪責,亦適用本法追究。(修正草案條文第42條)
– 配合刑法新修訂有關電腦犯罪之條文,將意圖妨害公務機關持有個人資料檔案正確性之行為,修正為非告訴乃論。另為遏阻惡質之盜賣個人資料行為,對於意圖營利而侵害個人資料者,亦修正為非告訴乃論。(修正草案條文第44條)
– 提高基於同一原因事實應對當事人負損害賠償責任,合計最高總額為新臺幣五千萬元之限制,另增訂如該原因事實所涉利益超過新臺幣五千萬元者,則以該所涉利益為限,以擴大保護當事人。(修正草案條文第28條第4項)
– 非公務機關違反本法行政上義務,對於該非公務機關所得科處之罰鍰額度,酌予提高。另該非公務機關之代表人、管理人或其他有代表權人,除能證明已盡防止義務者,應並受同一罰鍰處罰,以加強其監督之責任。(修正草案條文第46條至第49條)
配合增修條文:
– 本次修法前原本不受本法規範從事個人資料蒐集、處理或利用之行業、團體或個人,修法後均將適用本法,惟其在本法施行前已蒐集之個人資料(該等資料大多屬於間接蒐集之情形),雖非違法,惟如因此而得繼續處理、利用,可能對當事人仍會造成損害,是以自宜訂定過渡條款,讓其在一定時間內,補行應告知當事人之義務,逾期未告知而處理或利用者,始以違反第九條規定論處,以兼顧當事人與資料蒐集者雙方之權益。(修正草案條文第53條)