Content

Tag Archives: 個人資料保護法

2016年台灣資料保護及隱私權法規簡介

博仲法律事務所陳慧玲合夥律師及法務助理費浩文,為Thomson Reuters的Practical Law網站提供了台灣資料保護及隱私權法規簡介。 這份簡介是以問答的形式作成,方便法務人員比較台灣資料保護及隱私權法律與其自身司法轄區之差異。這份資料保護簡介涵蓋了台灣在2015年的個人資料保護法(「台灣個資法」)修正內容,這項修正案在今年年初生效。 這份簡介是Practical Law全球資料保護法規指南之一部分。您可以這在這裡瀏覽其完整名單。 如果您要比較多個司法轄區之差異,您可以前往資料保護部分之各國問答集,以及隱私權部分之各國問答集。 陳慧玲律師曾撰寫過許多有關台灣資料保護立法文章,最近一次是替《Privacy Laws and Business’ International Report》介紹有關台灣個資法修正案內容。陳慧玲律師亦為Asian Privacy Scholars Network之會員。 如果您想知道更多有關台灣資料保護或隱私權法規事宜,請聯絡陳慧玲律師,電子郵件為hchen@winklerpartners.com,或電話+886 223112345 分機555。

2016年個資法全面完整修正施行

陳慧玲律師 個資法修正沿革 台灣自1995年8月1日初次公布之電腦處理個人資料保護法後,在2010年5月26日第一次公布重大的修正,並更名為個人資料保護法(以下稱 ”個資法” )。惟,2010年公布之個資法,卻遲至2012年10月1日才正式施行,而其中爭議甚大的兩個條款,即第6及54條規定,因行政院考慮社會各方認為該二條規定太嚴格,爭議很大,若貿然施行對民眾及社會衝擊太大,所以決定暫緩施行。其中第6條規範特種資料之收集、處理、利用,而第54條原規定修法前非由第三人提供之個人資料,應於新法施行後一年內完成告知。 2012年個資法施行之後,行政院及數位立法委員均提出包括第6及54條之個資法新修正草案,經過兩年立法程序,終於在2015年12月31日公布再修正之第6及54條,同時亦修正了其他幾個條文。此次2015年之修正重點包括:確定特種資料之蒐集、處理、利用的原則與例外,當事人同意的方式除了特種資料之外,不再侷限於書面形式,非不法意圖違法使用個資之除罪化,及放寬對新法施行前間接蒐集個資之告知期間。 2015修正的個資法,及法務部於2016年3月2日公布修正之個人資料保護法施行細則,均經行政院指定於2016年3月15日施行。 特種資料正式施行 一、追加病歷為特種資料 在2010年修正之個資法中已經有關於特種資料之規範。當時規定之特種資料內容包括:醫療、基因、性生活、健康檢查及犯罪前科五類個人資料。此次2015年之新修正,除了保留原來規範的五類內容之外,又追加了”病歷”為一種特種資料。其實在2010通過的個資法中,本來就已經有將”醫療”的個人資料列為特種資料之一,但2015年修正之立法理由說明:為了避免對於病歷是否屬於醫療的特種個人資料有所爭執,決定將之明文列入第6條關於特種資料的規定之中,名列為特種資料的一種。 台灣在2015 年修正個資法之立法理由中,說明此其修正係參考歐盟2012年”一般資料保護規則”草案第9條規定(the 2012 EU Proposal for General Data Protection Regulation)、德國聯邦個人資料保護法 ((the German Federal Data Protection Act) 第13條,及奧地利聯邦個人資料保護法 (the Austrian Federal Act concerning the Protection of Personal Data (DSG 2000) 第9條等外國立法例,肯認特種資料之蒐集、處理或利用,應較一般個人資料更為嚴格,須符合特定之要件,始得為之,以加強保護個人之隱私權益,因而特別參照該外國立法例,規範特種資料之蒐集、處理或利用。 然而,與其稱所參考之歐盟等外國立法例相較,台灣的個資法並沒有將在該外國立法例中,規範為特種資料的種族 (racial or ethnic origin)、政治 (political opinions)、宗教思想信仰 (religious or philosophical beliefs)、工會會員資格 (trade-union membership) 等個人資料類別,列為特種資料。個資法的立法理由中說明,目前規定的特種資料的類型,係在經審酌我國國情與民眾之認知後決定,因此個資法顯然明確有意不將在歐盟等立法例中的其他類型特種資料納入,而僅認列此有關醫療、基因、性生活、健康檢查及犯罪前科五類個人資料為特種資料。因此,該些外國立法例中關於種族、政治、宗教思想信仰、工會會員資格等個人資料,在我國個資法中,僅屬於一般的個人資料而已。 二、原則與例外 [...]

立法院三讀通過「個人資料保護法」修正案

立法院於去年12月15日三讀通過「個人資料保護法」修正案,這是個資法自2012年施行以來的首度修法,原來在施行上窒礙難行的第6條及第54條也將在本次修法後正式上路。其中第6條規範特種資料之收集、處理、利用,而第54條原規定修法前非由第三人提供之個人資料,應於新法施行後一年內完成告知。另外,立法者將病歷納入特種個資 後,特種個資的界定將更加明確且完整;未來特種個資的合法 蒐集、處理或利用也將在新增當事人的同意為例外之後,更加貼近企業 運用個資的實務面。 本次修正經總統於104年12月30日公布後,將由行政院另定施行時間,最快預計於2016年3月上路,本所將密切注意相關動態,即時提供更新的資訊。 完整修正條文請點此網頁。 2016年3月2日更新: 行政院公布「個人資料保護法」部分條文修正案,自2016年3月15日施行。

個資法實施一年的案例觀察

眾所矚目的個人資料保護法自2012年10月1 日實施以來,迄今剛滿一年。 這一年來,較為人所知的個資外洩事件,有於2012年11月間,在資源回收場發現遠東國際商銀大批銀行信用卡申辦客戶資料,包括存摺、公司服務證、身分證等影印本資料;另外,在2013年2月間,臺灣Nokia爆發約150萬筆消費者個資遭駭,駭客甚至在網路上公開了其中的17萬筆個資的事件,引起眾人關切。尤其是由於Nokia事件洩漏個資之影響範圍廣大,依據個資法規定,單一事件中每人可求償金額從新台幣(下同)500元至20,000元不等估算,求償金額可能會達到法定單一事件最高總額2億元的上限,因而格外引人注目。針對此兩個事件主管機關雖稱將嚴格調查,惟嗣後並未見有何後續發展,亦未聞有何受害者提出法律訴追之行動。 企業違反個資法之爭訟案件雖尚未見,升斗市民間單獨提起關於違反個資法之訴訟案件,零星倒有一些,本文僅舉數例參考分析。 依據個資法修法前之「電腦處理個人資料保護法」規定,僅有所謂之「八大行業」,亦即醫院、電信、金融、證券、保險、大眾傳播…等業適用該舊法,一般自然人個人並不適用「電腦處理個人資料保護法」,因而個人不可能有違反該法之可能。惟今,新的個資法一體適用於全部自然人與法人,個人也因此有不慎即違反個資法,而須負擔民事損害賠償責任,甚至刑事責任的可能。 民事賠償責任 102豐簡字164號判決 2013年6月5日,台中地方法院102豐簡字164號判決中,被告長億康橋管理委員會之現任主委,將原告前任主委、副主委在管委會與社區先前保全公司間民事訴訟中,作證之證詞筆錄,公布於社區布告欄,並載明需要筆錄資料之住戶,可到管理是登記領取。法院認定系爭筆錄上載有原告出生日期、身分證字號、住址等資料,屬原告個人私密事項。本件被告於社區公告欄上張貼公告,雖稱僅是告知社區住戶明白社區與訴外人保全公司間之訴訟情形,然其公告自應注意是否涉及個人隱私部分,如有涉及部分,在未得當事人同意時,即不得任意公告,即或有公告,亦應將涉及隱私部分遮住,讓人無從由公告資料中查知原告二人之個資,被告並未如此為之,卻假藉要全文公告讓社區住戶完全明白訴訟進行情形,將無關訴訟情形之原告二人個資亦全然揭露,其有明顯之侵害原告二人個人隱私甚明,被告所辯公告原告二人個資並無故意或過失,顯不足採信,被告未經同意擅將原告二人之個資公告,因而侵害原告二人之隱私,則原告二人依法請求被告賠償精神蔚藉金為有理由,自應准許。法院判決被告應賠償兩名原告各5,000元。 102訴字559號判決 2013年7月26日,台灣高雄地方法院102訴字559號判決,兩造均為高雄市某社區大廈之住戶。原告等三人分別曾擔任系爭大廈管委會之主任委員、副主任委員及總務委員等職。被告因有違反住戶規約情事遭住戶投訴,經系爭管委會基於職責促其改善,致被告心生不滿,遂指稱管委會代收之大廈車位租金有問題。原告等曾親向及委請社區顧問向被告解釋,均未獲接受,兩造遂生嫌隙。被告嗣向高雄地檢署告訴原告等人涉有侵占、背信等嫌,案經地檢署對原告等人做成不起訴處分確定在案。 惟被告仍不滿意,多次自書聲明稿在區分所有權人會議之提案書中,指述原告等人「公然說謊」,及「車位租金給委員吃吃喝喝」等言詞,散發與各住戶,又在其住屋外牆懸掛白布條,書寫抗議字眼謂:「抗議,抗議帳目不清的人當監委,抗議收黑錢的人當主委,抗議勇敢講真話的人被打壓」,以及「帳目不清、收黑錢、密帳私用、A錢、歪哥、貪污」等。被告又在某次區分所有權人會議之提案書中,向大廈住戶揭露原告之一的犯罪前科紀錄。 關於被告之聲明稿部分,本件判決法院認為被告係於區分所有權人會議時以提案書方式提出,提出會議中,有遵守法定程序,而「公然說謊」及「車位租金給委員吃吃喝喝」等言詞,整體意思尚在質疑車位資金去向之意思中,用詞雖有不當,但仍屬擔任公共職位之主委,所能透過管道加以澄清原告亦可在會議中澄清,不構成對原告名譽之侵害。 判決又認定被告在白布條或聲明所敘述之用語,諸如:「帳目不清、收黑錢、密帳私用、A 錢、歪哥、貪污」等,均已不只是在質疑原告所管金錢的下落而已,而且已進一步指控原告有該侵占、謀取私利的行為,而其用語是肯定原告有該行為,將使一般人對原告之人格貶抑或產生不信賴,甚至嫌惡感,此種言詞已嚴重損害原告之名譽。被告之言論已不屬誹謗而係公然侮辱,此部分並非對於可受公評之事,善意發表言論,已逾越言論自由保障之界限。 至於被告揭露原告之一的犯罪前科紀錄,雖然個資法第6條敏感性資料之規定暫時尚未實施,法院仍據以認定犯罪前科紀錄為不名譽之紀錄,通常是不欲他人所知悉,以免他人對之有不良之評價,因此屬於個人隱私資料。被告未經原告本人之同意且無任何法律上正當理由加以洩露,顯係出於故意而侵害他人之隱私。但本件判決法院並未適用個資法第19條,關於非公務機關在與公共利益有關時,得以不經當事人同意合法使用他人個資的規定,而係適用刑法第310 條第3 項「對於所誹謗之事,能證明其為真實者,不罰。但涉於私德而與公共利益無關者,不在此限」,認為「揭露他人犯罪紀錄若與真實相符,且與公共利益有關者,依刑法上並不處罰,民事責任部分,亦應本此意旨判斷,以合理決定言論的界線」。法院認定「被告揭露他人犯罪紀錄予不特定人雖侵害該人之隱私,但因其目的乃在質疑參選該大樓管理委員之原告之一是否適格,此部分涉及全體住戶之公共利益,亦屬候選人參與公共事務所應面對之檢証,而候選人亦可藉競選活動加以澄清,在選民素質較高之情況下,反而會對此種質疑反感,而對於參選者反而有幫助,但無論如何總是讓候選人在自由的言論市場下充分被檢証,以利選民判斷何者為最優之候選人,此種言論不應被認定為妨害名譽,否則將產生寒蟬效應,而有害公益」。 具上述分析認定,本件法院判決被告就懸掛白布條抗議,公然侮辱原告之行為,應賠償原告各15萬元與20萬元不等之精神慰撫金。 刑事責任 台南地方法院102簡字1199號判決 被告因為社區地下停車場使用爭議,於臉書(Facebook)網頁,公開發表告訴人之姓名及住所照片等個人資料,並於網頁中發文誹謗告訴人,法院認定被告犯個人資料保護法第四十一條第一項之非公務機關未於蒐集特定目的必要範圍內利用個人資料罪,處拘役肆拾日,如易科罰金,以新臺幣壹仟元折算壹日。 台北地方法院102審簡字1059號判決 被告與告訴人間,因社區修水塔導致住家漏水事件,被告即以傳真函文公開告訴人個人資料之方式,散布毀損告訴人名譽之文字,法院認定被告所為,係分別犯個人資料保護法第41條第1項之非公務機關未於蒐集特定目的必要範圍內利用個人資料罪,及刑法第310條第2項加重誹謗罪。被告所犯上開二罪,犯意各別,行為互殊,應予分論併罰。法院判處被告有期徒刑二月,及易科罰金。 台中地方法院102年易字317號判決 被告與告訴人因為妨害家庭、婚姻及墮胎等案件,互有糾葛爭執,被告因而在Facebook及無名小站內,化名上傳刊登內容為「某某姦人妻女破家庭,令人髮指,其妻也遭人姦淫現世報,臺中地院審理其通姦、墮胎案件中。如有識某某之妻子或家人,請告不才,感恩」,與「某某是個人面獸心,不配當學子們的老師。他在2012年7 月把自己不幸遭加諸在別人身上,罪該萬死,把痛苦轉移給我,害我失去老公的疼愛與信任,還要承受拿掉小孩的痛苦,且事後不聞不問,泯滅人性,希望讓認識他的人看清真面目,免得成為下一受害者」等文字內容,並洩露告訴人之個人資料。 本件法院認定Facebook與無名小站均為不特定多數人得共聞共見之網路平台,而被告所上傳刊登於網站內之上揭文字,均足以毀損告訴人之名譽,犯刑法第310 條第2 項加重誹謗罪。其又洩露告訴人個人資料,違反個人資料保護法第19條、第41條洩露他人應秘密個人資料罪。惟上開兩罪需告訴乃論,茲因被告已與告訴人調解成立,告訴人並具狀撤回其告訴,因此逕諭知不受理之判決。 觀察與意見 由以上在個資法實施的過去一年內發生的少數爭訟案例觀察,似乎原本企業等法人機構擔憂因為個資法之實施,造成企業因為個資外洩責任風險升高,甚至涉訟必須負擔鉅額賠償的情形,並未多見;反而是升斗市民在日常生活之間,尤其是社區住戶間之紛爭,以及不當利用Facebook、部落格等網路社群平台,作為攻擊他人的工具,所引起涉及洩漏他人個資的案例,最為多見。 前述兩件遠東國際商銀銀行信用卡申辦客戶資料外洩,以及臺灣Nokia爆發大批消費者個資遭駭之事件,嗣後並未見有受害人根據個資法提出訴訟,可能係因為當時企業妥當處理,已與受害人賠償和解,也有可能是因為受害人因為訴訟專業度及成本均太高,而無法進行訴訟。個資法為解決此種問題,本有規定只要有20位以上的受害當事人,以書面授與訴訟實施權予合法之團體訴訟法人組織,即可進行請求損害賠償之團體訴訟。惟,目前不僅因為尚未有任何得以進行團體訴訟之法人組織成立,就算設立了,也尚須符合設立達三年以上方得承接訴訟的條件,則縱然有受害者有意願提起團體訴訟,目前恐怕也尚未能獲得協助。個資法團體訴訟機構究竟何時能夠上路,將是多數人關心的議題,主管機關或民間力量似應加快腳步予以促成。但,企業尚可藉此時妥善建立維護個資保護的機制,以應對未來的挑戰才是上策。 至於過去一年來雖然少數,但卻反而較多見的一般市民生活中,因為彼此糾紛嫌隙的情緒宣洩,不慎即成為適用個資法被處罰的主角,可能是當初個資法實施時,所始料未及的。尤其是在擬取消個資法第41條非意圖營利刑事責任的修正草案尚未通過之前,一般民眾縱非為營利而觸犯個資法時,仍有受刑事制裁的後果,不可謂不嚴重。民眾在使用該些社群網站時,如何不會觸法,宜再三深思。 另外,個資法實施後,經常聽到的批評是:個資法成為公務機關拒絕提供民眾聲請資料的擋箭牌。許多人認為,主管機關當初修訂個資法時,有一大理由是為了要遏止詐騙集團非法蒐集個資,所以,對於非公務機關的要求非常嚴格,但相對地要對於公務機關如何落實個資保護,似乎並未予以足夠的重視。非公務機關有中央事業目地主管機關監督,但公務機關卻無人負責管理,已經有所偏頗,如果個資法的實施又反而成為實現公務機關資訊公開的障礙,恐怕也並非實施個資法應有的結果。公務機關作為政府行政之部門,理應深刻了解個資法的規範目標,除協力完成該宗旨外,也應使其履行資訊公開的義務,不會不當地因個資法之實施,而有所減損。

中國關於網絡信息保護的新規範

中國電信和網路用戶個資保護新上路 2013年7月16日,中國工業和信息化部公佈了「電信和網際網路用戶個人信息保護規定」(中華人民共和國工業和信息化部令第24號),並將自2013年9月1日起施行。過去,許多人認為中國就個人隱私的保護,並不重視,甚至毫無保障,此規定的出台,是否意味著中國對於個人隱私保護已經向前跨出了一大步呢? 中國關於政府資訊公開之隱私保護規定 2007年4月,中國國務院公佈了「中華人民共和國政府信息公開條例」,並已於2008年5月1日起生效。為貫徹施行該條例,2008年4月29日中國國務院發布了「國務院辦公廳關於施行中華人民共和國政府信息公開條例若干問題的意見」,其中第三點關於發佈政府資訊的保密審查問題規定,針對行政機關要嚴格依照「中華人民共和國保守國家秘密法」及其實施辦法等相關規定,對擬公開的政府信息進行保密審查。凡屬國家秘密或公開後可能危及國家安全、公共安全、經濟安全和社會穩定的政府信息,不得公開。然,此僅限於保護國家秘密,就公民之個人隱私並無涵蓋。 2010年12月13日中國最高人民法院審判委員會,在第1505次會議中通過的「關於審理政府信息公開行政案件若干問題的規定」,開宗明義地在第一條規定,公民、法人或者其他組織認為政府信息公開工作中的具體行政行為,包括行政機關主動公開,或者依他人申請公開政府信息時,侵犯其商業秘密或個人隱私之合法權益,得向人民法院依法提起行政訴訟(第一項第三款);認為行政機關提供的與其自身相關的政府信息記錄不準確,得要求該行政機關予以更正,該行政機關拒絕更正、逾期不予答覆,或者不予轉送有權機關處理的,亦得提起行政訴訟(第一項第四款)。該規定第六條亦明白規定,人民法院審理政府信息公開行政案件,應當視情況採取適當的審理方式,以避免洩露涉及國家秘密、商業秘密、個人隱私或者法律規定的其他應當保密的政府信息。此可謂係中國近來關於保護個人隱私的法令,但其仍係僅限於與審理政府信息公開行政案件相關的規定,而非一般性地保護個人隱私。 2012年12月28日第十一屆全國人民代表大會常務委員會第三十次會議通過「全國人民代表大會常務委員會關於加強網絡信息保護的決定」,宣示「爲了保護網絡信息安全,保障公民、法人和其他組織的合法權益,維護國家安全和社會公共利益,特決定國家應保護能夠識别公民個人身份和涉及公民個人隱私的電子信息」。「任何組織和個人不得竊取或者以其他非法方式獲取公民個人電子信息,不得出售或者非法向他人提供公民個人電子信息」。該決定並楬櫫網絡服務提供者和其他企業事業單位在業務活動中蒐集、使用公民個人電子信息的原則。 2013年7月16日中國工業和信息化部新公佈之「電信和網際網路用戶個人信息保護規定」,即在落實全國人大常委會上述2012年「關于加強網絡信息保護的決定」之原則,貫徹執行該決定有關蒐集、使用個人資料的制度。 工業和信息化部表示,近年來中國電信和網際網路行業快速發展,新技術、新應用層出不窮,對促進經濟社會發展起到了積極的作用。與此同時,用戶個人信息的洩露風險和保護難度不斷增大,加強用戶個人信息保護立法成為社會廣泛關注的問題。制定該規定,係為了進一步明確電信業務經營者及網際網路服務提供者,收集、使用用戶個人信息的規則,和信息安全保障措施等,以落實全國人大常委會「關于加強網絡信息保護的決定」規定的制度和措施,切實保護用戶合法權益的要求。 「電信和網際網路用戶個人信息保護規定」之內容 「電信和網際網路用戶個人信息保護規定」主要在規範電信業務經營者以及網際網路服務提供者,在提供服務的過程中收集的能夠識別其用戶的個人資料,以及用戶使用服務的資料,包括用戶姓名、出生日期、身份證件號碼、住址、電話號碼、帳號和密碼等,能夠單獨或者與其他資料結合識別用戶的資料,以及用戶使用服務的時間、地點等資料。 至於有關用戶個人資料之蒐集和使用之規則,該規定要求電信業務經營者及網際網路服務提供者遵守下列規定: 業者須制定並公布其資料蒐集和使用的規則; 未經用戶同意不得蒐集、使用用戶個人資料; 明確告知用戶其收蒐外的用戶個人資料; 在用戶終止使用服務後應當停止對用戶個人資料的蒐集和使用,並提供注銷號碼或帳號的服務; 不得洩露、篡改、毀損、出售或者非法向他人提供用戶個人資料等。 至於違反該規定之罰則,工業和信息化部政法司巡視員李國斌在接受採訪時,用以下三個比喻來說明該規定設立的處罰措施,亦即: 制止違法行為危害擴大的「叫停」制度; 「向社會公告」行政處罰的制度;及 將違法行為「記入社會信用檔案」的制度; 李國斌認為,綜合運用上述管理制度和處罰措施,將能夠有效地遏制侵害用戶個人資料的違法行為。 但是,觀察該規定之罰則僅限於警告和最高額為三萬元人民幣的罰款,一般意見均認為罰款數額過低,對於其欲達到的保護效果,恐怕是十分不利。 與台灣個人資料保護法之比較 中國並無如台灣一樣地有一部單一的隱私保護法律,即「個人資料保護法」,而中國工業和信息化部新近公佈之「電信和網際網路用戶個人信息保護規定」,由於僅限於規範電信和網際網路二業者用戶之個人資料保護,而且僅限於電子資料,因而尚未能如台灣之「個人資料保護法」全盤擴大至保護所有的個人資料。因此中國新出台之該規定,應可以說是類似於在台灣現行2012年新上路之「個人資料保護法」的前身,即「電腦處理個人資料保護法」。如此看來,中國之隱私保護立法似可喻為係踏著台灣之來時路而行。 除此之外,該規定其實是與台灣之「個人資料保護法」體制差不多,包括了例如:當事人對於其個人資料之權利主張、委託者負擔全責、業者須在企業內落實安全保障制度,以及主管機關之監督檢查制度等,均大致相同。但是,台灣「個人資料保護法」新規範之團體訴訟制度,以及引起眾多關切與憂慮之高額罰款與刑責等,在該中國之該新規定中,則並無相似的規定。究竟該規定是否老虎的牙齒,抑或僅是宣示中國在個人隱私保護的誠意而已呢?可能還要持續加以觀察才可以得知。

 

月份