[其他]個資法研討會內容摘要
上週去參加個資法的研討會
整理紀錄一下內容
背景及修法原因:
1. 鑒於電腦科技日新月異,利用電腦蒐集、處理、利用個人資料之情形日漸普及,再加上各類型商務行銷廣泛大量蒐集個人資料,對個人隱私權之保護,造成莫大威脅。
2. 本法適用主體原有行業別之限制,僅適用於徵信業等八類行業,一般行業及個人均不受規範,保護之客體又只限於經電腦處理之個人資料,不包括非經電腦處理之個人資料,對於保護個人資料隱私權益規範不足。
3. 舊法起訴成功率低。
4. 舊法出事單位不在列管範圍。
5. APEC人權要求協接→國際精算對於個資的要求嚴格,目前台灣地區並不符合。
6. 遏止詐騙→詐騙成功的原因:有錢、金融科技進步使得詐騙手法更新、觀念老舊。
立法目的:
避免人格權受侵害、促使個人資料之合理利用。
規範對象:
公務機關:中央或地方機關等。
非公務機關:自然人、法人或其它團體。
個人資料定義:
分成一般資料與特種資料;
※ 一般資料:得以直接或間接方式識別該個人之資料。
※ 特種資料:醫療、基因、性生活、健康檢查、犯罪前科。→除符合法定要件外,原則上不得蒐集、處理與應用。
個人資料生命週期:
蒐集→[儲存→使用→處理→傳輸]→銷毀。
[儲存→使用→處理→傳輸]:為週期性活動。
個資法特點:
1. 不再侷限於經電腦處理之資料。
2. 除為單純個人或家庭活動之目的而搜集、處理或利用個人資料外,皆須適用本法。
3. 醫療、基因、性生活、健康檢查、犯罪前科除符合法定要件外,原則上不得蒐集、處理與應用。
4. 所稱之書面同意,指經蒐集者告知本法所定應告知事項後,所為允許之書面意思表示,特定目的外利用個人資料需當事人書面同意者,不得以概夸方式取得其同意,而應另以單獨書面同意方式為之,以確保當事人之權益。
5. 為加強防制個人資料之濫用,中央目的事業主間關或直轄市、縣市政府,發現非公務機關違反本法規定或認有必要時,得派員攜帶執行職務證明文件,進入檢查,如發現有違法情事,並得採取必要處分→不用搜索令。
6. 為結合民間力量,發揮本法保護個人資料之功能,增訂財團法人或公益社團法人符合本法規定者,得提起團體訴訟,以協助隱私權遭侵害之當事人進行民事或行政訴訟。
7. 調整責任內涵。
8. 明定修法前不受本法規範之行業、團體或個人,在本法施行前已蒐集個人資料者,應於一定時間內,補行告知當事人。
個資保護的應對政策
組織須證明善良管理人責任;充分證明無故意或過失責任,達成善良管理,有下列步驟:
1. 設定隱私保護組織、政策、規範。
2. 於資料處理流程中,佈建管控措施。
3. 如何證明善良管理。
※ 控制紀錄與軌跡。
※ 鑑識還原真相與原貌。
4. 執行監測控制。
5. 執行所需調查。
又執行面向可以細分如下;
縱向:
※ 個人資料定期盤點與檢查。
※ 分層管理(管理階層、法務、資訊人員、客服人員…)。
※ 資料庫的權限管理與密碼管理。
※ 資訊安全管理系統的引進。
※ 文件控管系統。
※ 限制上網、不隨便開起不明郵件。
※ 列印資料的管制(浮水印、碎紙機、回收前的檢查…)。
※ 防止員工外帶或竊取企業資訊。
橫向:
※ 關係企業資料傳送。
※ 往來廠商資料傳送。
※ 委外處理的監督模式。
最後可以透過責任保險避險。
重要條文
二、本法所定個人,係指生存之特定或得特定之自然人。→往生者不在範圍內,外國人在內但適用範圍不同。
三、(經濟部建議)可適別之個資,宜包含用以識別之個人照片,簽名筆跡或影音資料。
四、可資識別之病例,係指醫療法67條所定。
五、本法第二條2款所定之個人檔案包含備份檔案。
七、本法第二條4款所稱之內部傳送,係指組織內部之資料傳送(通傳會,同一機關不同目的之個資內部傳送宜明訂之)。→以後需提出文件化的程序或紀錄證明個資在組織內部妥善使用,即善良管理人責任。
八、當事人向非公務機關行使本法第三條之權利,其程序由目的事業主管機關訂定之。
九、本法第三條所稱之刪除,係指個人資料自個人資料檔案中消失而不復存在。→當無法刪除時,可以凍結封存資料,但須證明資料不再使用
十三、 當事人自行公開;係指當事人自行全部或部分公開,或針對特定人公開者,本法所稱之學術機構不以教育部成立之學術機構為限。
十四、 本法第七條所稱書面意思之表示,以電子文件為之者,依電子簽章法規定為之。
十五、 本法第七條第2款,所謂單獨書面意思之表示,該書面如與其它之,共同以書面為之者,應以特別表明之方式為之。→需要與客戶訂立表達方式。
十六、 本法第八第九條所定之告知方式,得以書面、傳真、網際網路、刊載於新聞紙於適當位置揭示,或其它通信,或書面方式為之,前項方式應予特定,避免任意更動(以不妨礙與當事人信賴關係為原則)。
十七、 本法第八、九條謂告知當事人,如該利用對象可得確定者,應明確告知當日人,其無法確定者,於確定後告知當事人。
二十五、 甲乙兩案並呈(個資外洩時應查明後以適當方式告知當事人之討論)。→誠信原則。
二十六、 以適當方式告知當事人包括(採用日本法例):
※ 個人資料數量大於五千筆,當事人之資料不明確或不正確者,得以網際網路或刊載新聞紙或其它方式公告之。
※ 具重要性之個人資料,以書面方式為之。
二十七、 具體反應(1)受理查閱(2)製給複製本之成本
二十八、 本法第17條針對公務機關,於個資檔案上線或使用後一個月,須公開,公開期間不得少於兩日。
三十七、 本法所稱之行銷,係指營利性法人或團體之商品或服務行銷。
三十八、 非公務機關之特定目的,應於蒐集前,向中央目的事業主管機關申報備查。→應該通知當事人並同意之。
三十九、 本法所稱國際傳輸,係指利用有線電、無線電、光學系統或其它電磁系統等經由通信網路傳遞與利用,包括郵寄、攜帶微縮焦片、打孔卡片、電腦報表、電磁紀錄等傳輸之情況。
四十、 執行行政檢查之機關,執行職務之證明文件與受影響受查機關權益損害最小之說明。
四十一、 行政檢查不得於夜間、星期日或其它休息日為之,情況急迫得受檢者同意者不在此限。
四十二、 行政檢查時,扣留物品之相關說明與細節。