ISO27001系列專題:個資法釋疑
1. 何謂個人資料保護法?
「個人資料保護法」為促進個人資料之合理利用,避免人格權受侵害,規範個人資料之蒐集、處理及利用之法令。
因現行「電腦處理個人資料保護法」無法保護到”非經電腦處理”之個人資料,並受限於徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業等八大產業,為能全面貫徹對中華民國國民個人資料之保護,新法破除產業限制,且不再以經電腦處理之個人資料為限,故將新法名稱修正為「個人資料保護法」。
2. 個資法何時實施?
因個資法為擴大適用範圍,相關法規亦需配合增修,規定施行日期將由行政院公告。就目前進度估計約於2011年下半年至2012年間公告。
3. 推動個人資料保護法的目的為何?
近年來網路普及、資訊科技日新月異,個資外洩事件層出疊見,諸如個人資料遭盜賣或不法外洩等,外洩資料筆數更是屢破新高,迫使政府不得不正視相關問題。因現行法規 (電腦處理個人資料保護法) 保護有限,刑責規範僅限意圖營利而侵害個資隱私之行為人,導致眾多受害人無法受法律保護,為有效防範個資外洩之犯罪,推動「個人資料保護法」,全盤落實個人資料保護。
4. 個資法規範行為為何?
個資法規範之行為包括個人資料的蒐集、處理和利用行為,各行為定義如下。
蒐集:指以任何方式取得個人資料。
處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、 連結或內部傳送。
利用:指將蒐集之個人資料為處理以外之使用。
5. 哪些個人資料受個資法保護?
包括自然人之姓名、出生年月日、身分證號碼、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他可直接或間接識別該個人之資料。
6. 不得蒐集之個人資料為何?
相關醫療、基因、性生活、健康檢查及犯罪前科等五類個人資料,不得任意蒐集、處理或利用,如有法律明文規定者、履行法定義務且有適當之防護措施、自行公開或已合法公開、統計或學術研究,則不在此限。
7. 個資法規範對象為何?
個資法不同於過去「電腦處理個人資料保護法」,刪除非公務機關行業別限制,意即公務機關、自然人〈一般人),法人(企業)或其他團體(三個人以上之團體)皆適用本法。單純個人或家庭活動之目的而蒐集、處理或利用個人資料,屬私生活目的行為,與職業或業務職掌無關,故除外。
8. 個資法主管機關為何?基於全面落實個人資料保護之目的,應設立專責機關主管監督,在尚未設立專責機關前,基於個人資料已為各行業業務經營之重要資訊,故由各行業主管機關,一併監督管理。各企業登記註冊之單位即為各行業的目的事業主管機關,即為個資法主管機關。若不清楚主管機關或有多個主管機關,則透過協調決定執行監督單位,否則交由行政院決定。
9. 個資法管轄之個人權益為何?
每一個人可向持有其個人資料之企業或機關行使個人權益,包括:請求查詢、請求閱覽、請求提供複製副本、請求更正或補充、請求停止蒐集、停止處理或利用、請求刪除等,受請求之企業或機關組織則需依當事人之請求於時限內回覆。
10. 企業或政府機關是否可拒絕個資處理請求?
受請求之企業或政府機關自應盡量依當事人之請求,就其蒐集之個人資料回覆請求人,以確保當事人權利,但若該請求之執行將妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益、妨害公務機關法定職務之執行,或恐會洩漏資料蒐集者之業務秘密、妨害其重大利益者,則受請求機關始得拒絕。
11. 個人提出個資處理請求時,企業回應之時限為何?
當個人要求查詢、閱覽或複製其被蒐集之個人資料時,受請求之企業或政府機關決定同意與否的時限為15天,若資料種類及數量繁多不及辦理,可再延長15天,但需將延長原因以書面通知請求人,讓其知曉。
當個人請求補充、更正被蒐集之個人資料,或請求刪除、停止蒐集、處理或利用其個人資料時,因需較多時間查證該資料之正確性或其請求是否合理,受請求機關回覆時限為30天,必要時可再延長30天,亦需將延長原因以書面通知請求人,讓其知曉。
12. 若刪除個資請求與其它法律規範牴觸時,應如何處理?
企業或政府機關可依其它法律之規範執行個資蒐集、處理和利用,亦可依其它法律規範拒絕個人請求,若有法律明文規定與刪除個資請求牴觸,則遵循該法處理。
13. 企業是否應記錄個資請求處理流程?
因個資法規定如企業被控告違反個資法時,應證明企業無故意或過失始能免責。也就是將舉證責任倒置到企業身上。因此企業對於請求處理個人之流程應詳加記錄,以免將來爭訟時得以舉證無罪。
14. 受個資法管轄之最低個資筆數為何?
並非擁有大量個資機關才會受個資法影響,企業或機關只要持有1筆以上之個人資料即受個資法規範,故新版個資法的上路將影響全台所有企業機關的現行流程。
15. 寫在紙上的個人資料是否受個資法規範? 個資法不同於過去「電腦處理個人資料保護法」僅規範電腦處理資料,擴大將紙本個資納入管轄,也就是說電話旁的記事本、辦公桌上的便條貼、信手拈來的回收紙未來都將納進個資法的保護圈裡!
16. Email是否屬個資法保護範圍?
因Email有可能識別出個人,具有可直接或間接識別個人之資料爭議,未來法務部會請主管機關NCC提供認定標準。
17. 是否可蒐集合法於網路上公開之資料?
經確認資料來源為「已合法公開之個人資料」即可蒐集。網路上個資若為當事人自行公開之個人資料,則已無保護必要;若非為當事人自行公開者,則可分合法公開與非法公開,未經確認個資合法性者則不得任意蒐集。
18. 若個人資料不完全或部分內容不清,是否適用個資法?
個資不完全者若與其它個人資料媒合後可辨識,屬其他可直接或間接識別該個人之資料,則適用個資法。若無法輕易辨識之個資則形同無識別力,不適用個資法。
19. 若個資於國外蒐集是否受個資法規範?
有鑒於網路無國界加以資訊科技發達,於中華民國領土外蒐集、處理或利用國人個人資料實屬容易,為能有效保護國人個資隱私,避免於中華民國領域外受侵害,新版個資法明訂:公務機關及非公務機關,在中華民國領域外對中華民國人民個人資料蒐集、處理或利用者,亦適用本法。意即只要是中華民國的國民個資皆適用個資法。
20. 個資法實行前已持有之個人資料應如何處置?
在個資法施行前已蒐集之個人資料,因考量大多屬當事人不知資料被蒐集之情形,若未給予規範而繼續利用,仍會損害當事人權益,故為能兼顧當事人與資料蒐集者雙方權益,明定於法案實施後一年內,個資蒐集機關應向當事人告知擁有其個人資料,告知後即可繼續利用。
21.蒐集個人資料前可透過哪些方式告知當事人?
依據個資法規定蒐集他人個人資料應得到當事人書面同意,因此建議於蒐集他人資料時,以紙本方式通知當事人。
22. 哪些情況下蒐集個資前無需告知當事人?
下述情況於蒐集個資前免告知當事人:
法律規定免告知。
執行法定職務或法定義務。
告知將妨害第三人重大利益。
當事人明知應告知內容。
當事人自行公開。
來自其他合法公開的個資。
不能向當事人或法定代理人告知。
為了公共利益或學術研究而資料經過處理無法識別個人時。
大眾傳播業者為了公共利益的蒐集時。
23. 企業蒐集、處理、利用個人資料之目的有何限制?
個資法所言之「特定目的」將由法務部會同各行業主管機關訂定目的項目,企業需從中挑選一至多項蒐集、處理、利用目的,無法自訂使用目的。
24.當企業或機關被舉發侵犯個資時,應如何因應?
持有個資機關應採行適當的安全措施,以防止個人資料受侵害,必要時得接受檢查或提出說明與資料。當確認有違反個資法事件,侵害當事人權益時,除非其能提出證明已盡防止義務,否則須負損害賠償責任,受罰鍰之處罰。意即持有個資機關賦有舉證之責任,須證明已善盡保護個資義務。
25. 個資蒐集取得同意形式為何?
取得當事人紙本同意書的書面同意。(不能透過電子文件或電子簽章取得同意)
與當事人有契約或類似契約之關係。(契約形式不限,可用電子契約)
26. 發生個資外洩時是否應告知當事人?
當企業或機關所蒐集之個人資料遭受竊取、洩漏、竄改或其他方式之侵害時,蒐集機關應立即查明事實,以適當方式迅速通知當事人。(如電話、信函方式通知,若人數眾多者,應公告請當事人上網或電話查詢。)
若企業或機關知情而隱匿不通知者,經上級或主管機關查明後限期改正,屆期不改者按次處罰鍰。
27. 違反個資法時,企業主可能面臨哪些罰則?
企業違反個資法可處以二萬至五十萬元不等的行政罰鍰;若導致他人損害時,則處以兩年以下的有期徒刑;若意圖營利者,則處以五年以下有期徒刑得併科一百萬元以下罰金。
28. 當事人對發生個資損害的求償時效為何?
當事人之損害賠償請求權行使時效為如下,為於時限內行使則權力消滅。
自知道損害事件及賠償義務人後兩年內提出
自損害事件發生五年內提出求償
29. 若發生個資損害時,最高賠償金額為何?
受害人如發生個資損害時,如不知損害金額為多少,則可向企業依每人每次5百元~2萬元之範圍求償,而企業因單一事件所引起之損害,賠償合計最高金額2億元。惟若企業意圖營利所引起之個資損害金額超過二億元,則依按實際所得利益計算。
若有ISO27001認證需求,歡迎與我互相交流
王顧問(Edison)/ 0930858713
EAIL: isoedison@hotmail.com.tw
領導力企管個資專頁:http://www.isoleader.com.tw/content.php?c=378
留言列表
