众律国际法律事务所著作权所有,非经同意不得翻印转载或以任何方式重制
Tel:(台北)+886-2-26972999 (新竹)+886-3-6675569 E-mail:info@zoomlaw.net
 |
个人资料保护法简介(三)私人机构应遵行之事项
个人资料保护法简介(三)私人机构应遵行之事项
众律国际法律事务所 法务助理黄慧仪
2012-06-29
壹、 前言
公务机关或非公务机关,搜集、处理或利用个人资料应遵守个资法的规定,第5条宣示:「个人资料之搜集、处理或利用,应尊重当事人之权益,依诚实及信用方法为之,不得逾越特定目的之必要范围,并应与搜集之目的具有正当合理之关联。」此为一般的指导原则,本篇就私人机构(即法条所称非公务机关)在搜集处理个资应遵守的事项分述之。
貳、 私人机构(即法条所称非公务机关)在搜集处理个资应遵守的事项
一、须符合特定目的
(一)搜集应有特定目的
第19条规定,搜集或处理一般个资(即非第6条所指敏感性个资),必须有特定目的,并符合该条六款情形之一,方得为之。
(二)利用应于特定目的必要范围内
第20条规定,只有规定的例外情形,才可以为特定目的外之利用。
(三)何为特定目的?
此有待法务部和各事业目的主管机关订定的特定目的项目,企业必须从中选择其中一项或多项作为资料搜集目的,搜集个资时不能踰越所选定的特定目的范围,方为合法。
二、搜集时告知之义务
搜集有分为向当事人本人搜集(例如甲提供自己的资料)、或是向其他人搜集(例如甲提供乙的资料),新法有规定应向当事人告知之事项以及不用告知的例外情形(参第5条、第6条)。
告知之方式,依施行细则草案,得以书面、电话、传真、电子文件或
其他适当方式为之。例如,A 公司得在公司网页中与客户进行买卖契约条款审阅时,直接在电子契约条款中订明告知事项并由客户审阅契约后直接点选同意钮,即完成告知。
在实务上争议最大的是第54条,规定企业在个资法施行前搜集的个人资料库,若非由当事人提供,就必须在个资法实施后1年内告知当事人,让对方知道企业拥有他的个人资料,此将造成企业相当大的负担与不便,法务部日前表示会再修法改进,可能的修法方向为增列「倘若耗费过巨,可采公告方式告知」;或针对母法第54条所规范间接搜集来的个人资料,可能拿掉1年内完成告知的限制,并增列「如果有处理或利用情况,再行告知」。
三、 维护数据正确
第11条规定:「公务机关或非公务机关应维护个人资料之正确,并应主动或依当事人之请求更正或补充之。」
四、 保护数据安全
新法第27条要求非公务机关保有个人资料档案者,应实行适当之安全措施,防止个人资料被窃取、窜改、毁损、灭失或泄漏。课予私人机构必须保护数据安全的善良管理人义务。
适当之安全维护措施,指的是参看法务部在施行细则草案中规划的内容,应包括的必要措施,有11项事项:1.成立管理组织,配置相当资源。2.界定个人资料之范围。3.个人资料之风险评估及管理机制。4.事故之预防、通报及应变机制。5.个人资料搜集、处理及利用之内部管理程序。6.数据安全管理及人员管理。7.认知倡导及教育训练。8.设备安全管理。9.数据安全稽核机制。10.必要之使用纪录、轨迹数据及证据之保存。11.个人资料安全维护之整体持续改善。(施行细则修正草案第9条)
五、 违法情事通知
公务机关或非公务机关应将违反个资法的情形,在查明后以适当方式通知当事人。(第12条)此条立意在于使当事人知其权利被侵害,得以提起救济或请求损害赔偿。通知的适当方式,例如:人数不多者,得以电话、信函方式通知;人数众多者,得以公告请当事人上网或电话查询等。
六、 跨国传输之限制
跨国传输是指将个人资料作跨国(境)之处理或利用(第2条第6款),新法第21规定若涉及国家重大利益、国际条约或协议有特别规定、接受国对于个人资料之保护未有完善之法规,致有损当事人权益之虞、或以迂回方法向第三国(地区)传输个人资料规避本法此四种情形,中央目的事业主管机关得得视事实状况,以命令或个别之行政处分限制之。
七、 直接营销
直接营销部分是关于私人机构利用个人资料从事商品营销时,当事人表示拒绝接受营销时,应即停止;并且于第一次进行营销时,应支付当事人拒绝营销之费用,例如,提供免付费电话、免费回邮等,便利当事人表达拒绝营销的意思。
八、 敏感性个资
新法第6条新规定敏感数据,包括医疗、基因、性生活、健康检查、犯罪前科等,原则上不得搜集、处理或利用,即使当事人出面同意也不能搜集,但如此对于一些产业则有实务上的困难。因此法务部建议新增经当事人同意,可以使用敏感性个资的条文。
参考数据:
法务部「计算机处理个人资料保护法施行细则」修正草案
http://www.moj.gov.tw/ct.asp?xItem=247205&ctNode=27518
经济部中小企业处创业圆梦网http://law.moeasmea.gov.tw/modules.php?name=km&file=print&sid=531
新版个资法:可望放宽告知义务限制,Information Security 资安人科技网 http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=6597#ixzz1z9M8kiCG
个资法施行细则 定义12项适当安全维护措施,Information Security 资安人科技网 http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=6108#ixzz1z9oAFLIg
浏览数
|