社會上許多詐騙案件,均源自於個人資料外洩,遭不法份子竊取或轉售給詐欺集團利用,致使許多民眾受害。為加強保護民眾隱私權,斷絕資料不當利用,1985年,法務部正式成立「資訊法律問題研究小組」著手研擬我國資料保護法相關立法規條;而為與時俱進,2005年開始進行「電腦處理個人資料保護法」(下文起簡稱為舊個資法)修法審議,2010年4月27日立法院三讀通過「電腦處理個人資料保護法修正草案」,同年5月26日總統公布。各項相關立法沿革整理如下:
- 1985年-成立「資訊法律問題研究小組」
- 1991年-訂定「行政院暨所屬各級行政機關電腦處理個人資料保護要點」(2003年12月19日停止適用)
- 1995年-施行「電腦處理個人資料保護法」(新法公布日施行後停止適用)
- 2010年-公布「個人資料保護法」(施行日期待行政院公佈)
新上路的「個人資料保護法」與以往有何不同呢?綜合整理重點如下:
1. 擴大保護範圍
「個人資料檔案」指依系統建立而得以透過自動化機器或其他非自動化方式檢索、整理的個人資料,包括自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。檔案類型不再侷限於電腦處理資料,其他紙本檔案亦納入保護範圍。
2. 擴大規範範圍
刪除舊個資法的行業別限制,擴大規範範圍,公務機關及非公務機關(個人、民營企業或其他團體)未來在使用個人資料上都將受到本法規範,若以上受規範對象在我國領域外使用中華民國國民個人資料,同樣也在本法規範範圍內。
3. 履行事前告知義務
本法規定機關在蒐集個人資料時,應主動且明確告知當事人蒐集機關名稱、蒐集目的、個人資料所屬類別、個人資料利用之期間、地區、對象及方式、當事人享有之權益等相關事項;另若個人資料為間接取得,也必須聯繫當事人告知其相關事項。
4. 制定行銷目的之特別規定
本法規定當個人、民營企業或其他團體以行銷目的使用個人資料,應於首次與當事人行銷時,主動且免費提供當事人表示拒絕的管道(例如:連絡電話、E-mail、及傳真等),若當事人拒絕將個人資料運用在行銷活動上,則應停止使用其個人資料。
5. 增訂敏感性資料相關規定
本法規定有關於醫療、基因、性生活、健康檢查及犯罪前科等五類敏感性個人資料,除符合法定要件外,不得蒐集、處理或利用。法定要件包含「法律明文規定」、「履行法定職務/義務,且有適當安全維護措施」、「當事人自行公開或其他已合法公開之個人資料」及「公務機關或學術研究機構基於醫療、衛生或犯罪預防目的,為統計或學術研究之用途」。
6. 修訂應盡責任內容
當機關蒐集之個人資料被竊取、洩漏、竄改或受到其他侵害時,應查明後以適當方式通知當事人;另為使企業主重視企業個資安全防護,若其負責之企業違反本法遭到罰款處罰時,應提出已盡防止義務的證明,否則必須接受同一額度的罰款處罰。
為利於法令的執行與落實,行政院於2012年4月30日針對外界較具爭議的條文 (第6、41條之1及54條文,參見表1),召開協商會議,此決議將再交由行政院長裁定。未來,個人資料保護法將分成兩階段施行,第一階段為2012年10月1日,第二階段將針對外界爭議的條文進行修訂後,再行施行。
表1 個資法較具爭議條文
條文 | 條文內容 | 爭議要點 |
第6條 | 有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用,除部分例外。 | 此法條於草案通過後,已刪除「當事人書面同意」要件,以「健康檢查」為例,即使民眾同意將健康檢查報告提供給其他醫院作參考,亦有觸法的可能性。 |
第41條之1 | 非意圖營利損害於他人者,處二年以下有期徒刑、拘役或科或併科新臺幣二十萬元以下罰金。 | 外界認為此刑責過重,且建議可依違反個資法所造成之權益損害程度,制定適宜刑責。 |
第54條 | 本法修正施行前非由當事人提供之個人資料,依第九條規定應於處理或利用前向當事人為告知者,應自本法修正施行之日起一年內完成告知,逾期未告知而處理或利用者,以違反第九條規定論處。 | 企業普遍反應此法條規定之「一年期間必須完成告知」,除增加企業成本外,若企業擁有大量個資檔案(如:金融業),在執行上更是困難重重。 |
參考資料來源:
1.法務部-個人資料保護法專區
2.全國法規資料庫-個人資料保護法
3.個人資料保護法部分條文引發爭議 法務部提案修法
4.電腦處理個人資料保護法修正條文對照表
5.李震山(2004)。「電腦處理個人資料保護法」之回顧與前瞻。國立中正大學法學集刊,14,35-82。
6.蘇秀慧(2012年4月30日)。新個資法實施日 今敲定。經濟日報,A21版。