2016年個資法全面完整修正施行

個資法修正沿革

台灣自1995年8月1日初次公布之電腦處理個人資料保護法後,在2010年5月26日第一次公布重大的修正,並更名為個人資料保護法(以下稱 ”個資法” )。惟,2010年公布之個資法,卻遲至2012年10月1日才正式施行,而其中爭議甚大的兩個條款,即第6及54條規定,因行政院考慮社會各方認為該二條規定太嚴格,爭議很大,若貿然施行對民眾及社會衝擊太大,所以決定暫緩施行。其中第6條規範特種資料之收集、處理、利用,而第54條原規定修法前非由第三人提供之個人資料,應於新法施行後一年內完成告知。

2012年個資法施行之後,行政院及數位立法委員均提出包括第6及54條之個資法新修正草案,經過兩年立法程序,終於在2015年12月31日公布再修正之第6及54條,同時亦修正了其他幾個條文。此次2015年之修正重點包括:確定特種資料之蒐集、處理、利用的原則與例外,當事人同意的方式除了特種資料之外,不再侷限於書面形式,非不法意圖違法使用個資之除罪化,及放寬對新法施行前間接蒐集個資之告知期間。

2015修正的個資法,及法務部於2016年3月2日公布修正之個人資料保護法施行細則,均經行政院指定於2016年3月15日施行。

特種資料正式施行

一、追加病歷為特種資料

在2010年修正之個資法中已經有關於特種資料之規範。當時規定之特種資料內容包括:醫療、基因、性生活、健康檢查及犯罪前科五類個人資料。此次2015年之新修正,除了保留原來規範的五類內容之外,又追加了”病歷”為一種特種資料。其實在2010通過的個資法中,本來就已經有將”醫療”的個人資料列為特種資料之一,但2015年修正之立法理由說明:為了避免對於病歷是否屬於醫療的特種個人資料有所爭執,決定將之明文列入第6條關於特種資料的規定之中,名列為特種資料的一種。

台灣在2015 年修正個資法之立法理由中,說明此其修正係參考歐盟2012年”一般資料保護規則”草案第9條規定(the 2012 EU Proposal for General Data Protection Regulation)、德國聯邦個人資料保護法 ((the German Federal Data Protection Act) 第13條,及奧地利聯邦個人資料保護法 (the Austrian Federal Act concerning the Protection of Personal Data (DSG 2000) 第9條等外國立法例,肯認特種資料之蒐集、處理或利用,應較一般個人資料更為嚴格,須符合特定之要件,始得為之,以加強保護個人之隱私權益,因而特別參照該外國立法例,規範特種資料之蒐集、處理或利用。
然而,與其稱所參考之歐盟等外國立法例相較,台灣的個資法並沒有將在該外國立法例中,規範為特種資料的種族 (racial or ethnic origin)、政治 (political opinions)、宗教思想信仰 (religious or philosophical beliefs)、工會會員資格 (trade-union membership) 等個人資料類別,列為特種資料。個資法的立法理由中說明,目前規定的特種資料的類型,係在經審酌我國國情與民眾之認知後決定,因此個資法顯然明確有意不將在歐盟等立法例中的其他類型特種資料納入,而僅認列此有關醫療、基因、性生活、健康檢查及犯罪前科五類個人資料為特種資料。因此,該些外國立法例中關於種族、政治、宗教思想信仰、工會會員資格等個人資料,在我國個資法中,僅屬於一般的個人資料而已。

二、原則與例外

2015年新修正之個資法第6條規定,有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,原則上不得蒐集、處理或利用,僅在例外情形下得以為之。2010年修正時規定個資法規定得以收集、處理、利用特種個資的例外情形,包括以下:

一、法律明文規定;
二、公務機關執行法定職務或非公務機關履行法定義務所必要;
三、當事人自行公開或其他已合法公開之個人資料;
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且經一定程序所為蒐集、處理或利用之個人資料。

但在此次2015年12月31日修正時,追加了兩項例外情形:

五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內;
六、經當事人書面同意。

針對第四款公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計 或學術研究而有必要之情形,則增加必須資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人為限。

觀察個資法規定之此些例外情形,可謂大約係在歐盟2012年一般資料保護規則草案、德國聯邦個人資料保護法,及奧地利聯邦個人資料保護法等立法例的規定範疇之內,但仍有一些不同。以下簡要說明較重要之幾點觀察。

1.     當事人同意

不論係在歐盟1995年資料保護指令 (95/46/EC),或2012年一般資料保護規則規範中,當事人的同意均是例外得使用特種資料的情形之一,雖其亦規定各會員國可以自行規範是否要禁止當事人同意作為例外的情形,但德國聯邦個人資料保護法,及奧地利聯邦個人資料保護法,亦均將當事人同意列為例外情形之一,因此台灣個資法針對特種資料立法之初,即將當事人同意排除在例外得使用特種資料的情形之一,亦即縱使在取得當事人同意的情形下,只要不符合其他的例外規定,仍不能使用特種資料,因此曾被喻為”全世界最嚴格的個資法”(天下第514期)。如此的規定果然引來許多爭議,多數認為過於嚴苛,不切實際,行政院因此決定暫停實施該條文。

此次2015年修正時,終於將當事人同意列入成為可以蒐集、處理、利用特種資料的例外情形之一,而與歐盟等外國立法例趨於一致。立法院之審查理由說明,司法院釋字六○三號解釋揭示憲法保障「個人自主控制個人資料之資訊隱私權」,無論一般或特種個人資料,個人資料當事人同意權本屬憲法所保障之基本權。若完全摒除經當事人書面同意之情形,將造成嚴重限制憲法所保障之基本權。因此增列為例外事由之一。

惟特別須注意者為,雖然此次2015年個資法的修正,已經放寬了當事人同意的方式,不再以書面為限,然而,就特種資料得為例外使用的當事人之同意,則仍然規定必須是以書面為限,立法院審查會說明:相對於一般個資,特種資料之性質更具敏感性,為求慎重,予以較嚴格之規定。另外,即使當事人同意的情況下,若有逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,仍不得收集、處理、利用。

2.     已經公開之特種資料

個資法規定當事人自行公開或其他已合法公開之個人特種資料,例外得為處理、利用;此一規定與歐盟、德國法,及奧地利法相較,顯為寬鬆。因為歐盟等立法,均僅規定由當事人自行公開之特種資料,才能處理、利用,但個資法尚包括除了當事人自行公開以外的,其他已合法公開之個人特種資料,亦可處理、利用。所謂其他已合法公開之情形,指依法律或法律具體明確授權之法規命令所公示、公告或以其他合法方式公開之個人資料。

3.     公共利益、當事人利益,或第三人之利益

歐盟等立法均有將維護公共利益之必要、維護當事人本身之重大利益,或為防止他人權益之重大危害,列為得以使用特種資料的例外之一;惟個資法雖在就一般性個人資料之搜、處理、利用,有此些例外規定,但針對特種資料,則無此例外規定。

其實,在行政院提案的修正草案中,有將”為維護公共利益所必要”,列為蒐集、處理或利用特種個人資料的例外事由之一,其舉例謂: “依學生健康檢查實施辦法第七條第一項第三款規定:「學校對罹患特殊疾病學生……應妥適安排其參與之活動。」當舉辦校外活動,配合學校辦理活動之公務或非公務機關,於擬訂配合處理措施時,須瞭解該生之醫療或健康檢查資料,以為妥適因應;又為查證公職選舉候選人是否有受消極資格限制,而提供(利用)犯罪前科資料,或為人事行政管理及相關金融業務要求受僱人員提供犯罪前科資料,若無維護公益之條款,將無法適時提供上開資料,反使公眾權益受到影響"。惟,最終之修正條文仍未採納行政院之提案,而改以 “為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內”之情形,作為例外事由。可能立法者認為行政院所舉之案例情形,其實用“為協助公務機關執行法定職務或非公務機關履行法定義務” ,即可達成目標,而未必需要以追加一個抽象不確定之”公共利益”概念,做為例外事由。可見台灣個資法相較於歐盟等之立法例,仍屬較為嚴格。

4.     法律訴訟

歐盟等立法有規定為法律訴訟所必要時,得例外使用特種資料;個資法並無此一例外規定。

5.     犯罪資料

歐盟規定犯罪資料僅能由公務機關,或非公務機關為了符合公共利益而履行法定義務時,才能使用。而犯罪紀錄嚴格地僅能由公務機關持有。個資法則並未如歐盟的規範,將犯罪前科特種資料的處理之方式,與其他特種資料加以分別。因此犯罪前科於其他特種資料一般,適用相同的例外規定。

書面同意的形式

2015年修正前之個資法,對於所有當事人同意之方式,嚴格限制一律必須以書面為之。2015年修法後除了特種資料外,已經不再侷限以書面為限;而且新法又增加公務機關或非公務機關明確告知當事人應告知事項時,當事人如未表示拒絕,並已提供其個人資料者,推定當事人表示同意之規定。過去依據個資法規定,取得當事人的書面同意,一直是很重要的義務之一,現在這個修正使得當事人的同意不僅不再以書面為限,甚至可以依推定的方式為之,可謂使當事人同意之方式鬆綁了許多。

但,為配合書面同意形式的放寬,2015年修法也增訂了蒐集者就經當事人同意之事實,應負舉證責任之規定,以平衡當事人間之權益。

無不法意圖之除罪化

2015年修法前個資法規定不論意圖為何,只要有違法收集、處理、利用個資的行為,均構成刑事犯罪;2015年修法後僅將意圖為自己或第三人不法之利益,或損害他人之利益者,列為刑事犯罪。立法理由認為無不法意圖者違反個資法者,應以民事損害賠償與行政罰等救濟為已足,不必課以刑事責任,以免過苛。因此修法僅對有不法意圖者,處以刑事責任。

此一修法之緣由,亦有可能是因為自2012年新的個資法施行以來,大部分在法院涉訟的案件,多以尋常百姓、升斗小民的世俗爭怨為多,例如:大廈管委會不當公布住戶資訊、在社交媒體上的不當揭露他人資料……等,其違法的惡質性似乎並不那麼重大,若動輒以刑事罰則處理,並不妥當,故將之調整為現行的規範,以期衡平。

施行前取得之資料告知期間之放寬

2010年公布個資法後,原本不受個資法規範從事個資蒐集、處理、利用者,修法後均將一律適用個資法,因此對於在個資法施行前已取得非由當事人提供的個資,雖非違法,惟因當事人均不知資料被蒐集之情形,若未告知而繼續利用,將有害當事人權益。因此,2010年修正之個資法規定應於該法施行後一年之內,完成告知,否則即為違法。惟,此法公布後,衝擊許多必須處理大量個資之行業,紛紛主張一年的期限過短,無法完成告知義務,行政院因而暫緩施行該條規定。

2015年修法將告知義務之完成,修改為蒐集者於本次修法施行後為處理、利用時,在處理或利用前,再行告知即可。

2015修法之影響

2010年修訂的個資法可謂是在台灣在個人資料保護的歷史上,首次完整地將個資保護的義務人,推展到各行各業,全面的立法;惟,在2012年施行時,並未能將特種資料的規範付諸施行。因此,等於台灣的個資法一直並無特種資料之規範可言。直到2015年修法施行後,才可說台灣終於開始針對特種資料予以特別保護,全面的立法也才真正全盤的施行了,這應該是值得肯定的發展。
特種資料得以收集、處理、利用的例外情形與歐盟等立法例相比,細節上雖有寬鬆不一致之情形,但大體說來,台灣個資法的例外情形規定並不算寬鬆,也許這意味立法者刻意宣示尊重保護特種資料的立場;然而我們卻未能在立法的修正理由中,看到其具體說明為何其不採與歐盟、德國、或奧地利法的某些規定,因此無法了解其考慮的緣由。成文法有限的條文文字,必須仰賴法院在審理實際案件時,加以解釋而適用之,而立法者之立法理由向來都是解釋法律十分重要的參考之一。我們可以預期未來法院在審理案件時,可能認為台灣個資法既然係參考歐盟等外國立法例,而立法者又有意使之與該些立法例有所區別,則應未必能全盤參考歐盟等之法院先例。至於實施新法後,權責機構與執法機關是否能夠在各項政策配合及執行措施上,戮力實現個資法避免人格權受侵害,並促進個人資料之合理利用的目標,也是另一項挑戰與期待。