2013年03月號 生活情報
「個人資料保護法」對企業之重大影響
遠東新世紀 / 姚清欣
一、限制蒐集敏感性資料
1.個資法第6條第1項規定:「有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:(一)法律明文規定。(二)公務機關執行法定職務或非公務機關履行法定義務所必要,且有適當安全維護措施。(三)當事人自行公開或其他已合法公開之個人資料。(四)公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且經一定程序所為蒐集、處理或利用之個人資料。」
2.個資法施行細則第4條第2項至第6項規定:「本法第2條第1款所稱醫療之個人資料,指病歷及其他由醫師或其他之醫事人員,以治療、矯正、預防人體疾病、傷害、殘缺為目的,或其他醫學上之正當理由,所為之診察及治療;或基於以上之診察結果,所為處方、用藥、施術或處置所產生之個人資料。」、「本法第2條第1款所稱基因之個人資料,指由人體一段去氧核醣核酸構成,為人體控制特定功能之遺傳單位訊息。」、「本法第2條第1款所稱性生活之個人資料,指性取向或性慣行之個人資料。」、「本法第2條第1款所稱健康檢查之個人資料,指非針對特定疾病進行診斷或治療之目的,而以醫療行為施以檢查所產生之資料。」、「本法第2條第1款所稱犯罪前科之個人資料,指經緩起訴、職權不起訴或法院判決有罪確定、執行之紀錄。」
3.行政院於101年10月1日指定個資法正式施行時,同時宣布個資法第6條及第54條施行日期由行政院另訂,個資法主管機關法務部傾向以「原則禁止,例外允許」之方式來限制敏感性資料之蒐集、處理及利用,將來可能會更放寬例外之項目。
二、增課蒐集者之告知義務
個資法第8條、第9條規定,蒐集者於蒐集、處理及利用個資前,除符合個資法免予告知之規定外,必須履行告知義務,此告知義務區分直接向當事人蒐集個資及蒐集非由當事人提供之個資而有其不同之告知義務範圍,目的在於使當事人知悉其所提供之個資會如何被運用。個資法第12條並明訂蒐集者於發生個資外洩情事時,應於查明後通知當事人,以保障當事人權益。
三、規範被蒐集者書面同意之方式
由個資法第7條及個資法施行細則第14條規定可知,個資法區分蒐集者之特定目的分別訂定書面同意之方式,若係於特定目的範圍內,僅須以書面同意之方式表示允許;若係於特定目的範圍外,則須以單獨書面同意,此單獨書面同意必須使當事人明瞭蒐集者係特定目的外之蒐集,並由當事人確認同意。此外,上開書面同意之方式,若符合電子簽章法之規定,亦得以電子文件為之。
四、利用之限制
由個資法第20條、第54條及個資法施行細則第32條規定可知,為保障被蒐集者權益,原則上蒐集者只能在特定目的範圍內利用,除非在符合法定規定情形下,始能在特定目的範圍外利用。此外,對於個資法修正施行前,蒐集者所持有當事人自行提供之個資,於修正施行後仍得於特定目的範圍內利用,若為非直接向當事人蒐集之個資,則必須在修正施行後一年內告知,未告知前不得處理或利用。有關拒絕行銷之管道,若為首次行銷,則蒐集者應提供當事人表達拒絕行銷之方式,並支付所需費用。
五、調整責任內涵1.民事損害賠償
1.民事損害賠償
由個資法第28條及第29條規定可知,蒐集者違反個資法之民事損害賠償責任明顯提高,每人每一事件求償金額為500元到2萬元,同一原因事實最高賠償總額高達2億元,若該原因事實所涉利益超過2億元,則以該利益為限,且蒐集者必須證明無故意或過失,始能免除民事損害賠償責任。
2.刑事罰則
由個資法第41條及第42條規定可知,蒐集者違反部分個資法規定時,必須自負刑事責任,刑事責任最低從2年以下有期徒刑、拘役到最高5年以下有期徒刑、拘役,並得科或併科20萬以下或100萬以下之罰金,由於刑事責任係以行為人為處罰對象,故同仁於蒐集、處理、利用業務上持有之個人資料時,應更加謹慎,以免承負刑責。
3.行政罰鍰
由個資法第47條、第48條、第49條及第50條規定可知,蒐集者違反部分個資法規定時,相關主管機關得對其課予行政罰鍰,罰鍰金額從2萬到50萬不等。值得注意的是,企業代表人未盡力防止前述違反個資法之情事時,處相同額度之罰鍰,故同仁處理涉及個人資料之業務時,應更加謹慎,以免企業及企業代表人同遭主管機關課處行政罰鍰。
*********************************************
