2013年03月號 生活情报
「个人资料保护法」对企业之重大影响
远东新世纪 / 姚清欣
一、限制蒐集敏感性资料
1.个资法第6条第1项规定:「有关医疗、基因、性生活、健康检查及犯罪前科之个人资料,不得蒐集、处理或利用。但有下列情形之一者,不在此限:(一)法律明文规定。(二)公务机关执行法定职务或非公务机关履行法定义务所必要,且有适当安全维护措施。(三)当事人自行公开或其他已合法公开之个人资料。(四)公务机关或学术研究机构基於医疗、卫生或犯罪预防之目的,为统计或学术研究而有必要,且经一定程序所为蒐集、处理或利用之个人资料。」
2.个资法施行细则第4条第2项至第6项规定:「本法第2条第1款所称医疗之个人资料,指病历及其他由医师或其他之医事人员,以治疗、矫正、预防人体疾病、伤害、残缺为目的,或其他医学上之正当理由,所为之诊察及治疗;或基於以上之诊察结果,所为处方、用药、施术或处置所产生之个人资料。」、「本法第2条第1款所称基因之个人资料,指由人体一段去氧核醣核酸构成,为人体控制特定功能之遗传单位讯息。」、「本法第2条第1款所称性生活之个人资料,指性取向或性惯行之个人资料。」、「本法第2条第1款所称健康检查之个人资料,指非针对特定疾病进行诊断或治疗之目的,而以医疗行为施以检查所产生之资料。」、「本法第2条第1款所称犯罪前科之个人资料,指经缓起诉、职权不起诉或法院判决有罪确定、执行之纪录。」
3.行政院於101年10月1日指定个资法正式施行时,同时宣布个资法第6条及第54条施行日期由行政院另订,个资法主管机关法务部倾向以「原则禁止,例外允许」之方式来限制敏感性资料之蒐集、处理及利用,将来可能会更放宽例外之项目。
二、增课蒐集者之告知义务
个资法第8条、第9条规定,蒐集者於蒐集、处理及利用个资前,除符合个资法免予告知之规定外,必须履行告知义务,此告知义务区分直接向当事人蒐集个资及蒐集非由当事人提供之个资而有其不同之告知义务范围,目的在於使当事人知悉其所提供之个资会如何被运用。个资法第12条并明订蒐集者於发生个资外泄情事时,应於查明後通知当事人,以保障当事人权益。
三、规范被蒐集者书面同意之方式
由个资法第7条及个资法施行细则第14条规定可知,个资法区分蒐集者之特定目的分别订定书面同意之方式,若系於特定目的范围内,仅须以书面同意之方式表示允许;若系於特定目的范围外,则须以单独书面同意,此单独书面同意必须使当事人明了蒐集者系特定目的外之蒐集,并由当事人确认同意。此外,上开书面同意之方式,若符合电子签章法之规定,亦得以电子文件为之。
四、利用之限制
由个资法第20条、第54条及个资法施行细则第32条规定可知,为保障被蒐集者权益,原则上蒐集者只能在特定目的范围内利用,除非在符合法定规定情形下,始能在特定目的范围外利用。此外,对於个资法修正施行前,蒐集者所持有当事人自行提供之个资,於修正施行後仍得於特定目的范围内利用,若为非直接向当事人蒐集之个资,则必须在修正施行後一年内告知,未告知前不得处理或利用。有关拒绝行销之管道,若为首次行销,则蒐集者应提供当事人表达拒绝行销之方式,并支付所需费用。
五、调整责任内涵1.民事损害赔偿
1.民事损害赔偿
由个资法第28条及第29条规定可知,蒐集者违反个资法之民事损害赔偿责任明显提高,每人每一事件求偿金额为500元到2万元,同一原因事实最高赔偿总额高达2亿元,若该原因事实所涉利益超过2亿元,则以该利益为限,且蒐集者必须证明无故意或过失,始能免除民事损害赔偿责任。
2.刑事罚则
由个资法第41条及第42条规定可知,蒐集者违反部分个资法规定时,必须自负刑事责任,刑事责任最低从2年以下有期徒刑、拘役到最高5年以下有期徒刑、拘役,并得科或并科20万以下或100万以下之罚金,由於刑事责任系以行为人为处罚对象,故同仁於蒐集、处理、利用业务上持有之个人资料时,应更加谨慎,以免承负刑责。
3.行政罚锾
由个资法第47条、第48条、第49条及第50条规定可知,蒐集者违反部分个资法规定时,相关主管机关得对其课予行政罚锾,罚锾金额从2万到50万不等。值得注意的是,企业代表人未尽力防止前述违反个资法之情事时,处相同额度之罚锾,故同仁处理涉及个人资料之业务时,应更加谨慎,以免企业及企业代表人同遭主管机关课处行政罚锾。
*********************************************
