2010年4月立法院通過修正個人資料保護法後,引起各界開始重視個資管理問題,經過一年半的醞釀,法務部終於在上周公布新版個資法施行細則的修正草案,將於11/9前蒐集各方意見彙整,再送至行政院審定並決定施行日期。
過去的電腦處理個人資料保護法是在1995年擬定,管轄範圍僅限八大行業以及經由「電腦處理」的資料;但新版法案更名為「個人資料保護法」,不但所有資料都在保護範圍內,管轄範圍更擴及所有產業,對於企業內部資料管理影響甚鉅。法務部公告施行細則後,一般預計在2012年就會全面施行新版個資法。
施行細則公布後,離正式上路仍有一段時間,主因是接下來必須等待各個主管機關和法務部共同制定每個產業對於管理個資的內容、流程和標準,例如金融業的詳細個資保護準則將由金管會制定。
法務部法律事務司副司長鍾瑞蘭指出,施行細則修正草案有幾個重點,最重要的是擴大保護客體,也就是不再侷限於保護電腦處理個人資料,未來包括紙本、電子文件都在保護範圍。另外所有自然人、法人、團體,皆適用新版個資法。而企業需要繃緊神經的原因,是由於新法提高了損害賠償責任,最高賠償總額可達兩億元,所有的罰緩額度也都提高。
新法並增加企業處理資料的行為規範,包括醫療、基因、性生活、健康檢查、犯罪前科等都被列為「特種資料」,原則上不得蒐集、處理或利用。另外,在蒐集民眾資料時必須善盡告知義務,包括告知蒐集機關名稱、目的、使用方式等等。
鍾瑞蘭指出,部分業者將業務所得的個人資料作為行銷之用,這種狀況在新法中將不被允許,業者必須提供當事人獨立的書面同意書、並獲得同意,才能將個資作為行銷用途。「未來不得將條約內容融入在落落長的定型化契約中,消費者必須很清楚的知道自己的資料會被如何利用、自己想不想被這樣利用。」
新版個資法施行細則草案六大修正重點
- 【建立間接識別個人資料之標準】
明定以間接方式識別個人資料之意義及提供不能識別個人資料之判斷標準:為保護個人資料,有些資料雖未直接指名道姓,但一經揭露仍足以識別為某一特定人,乃規定間接方式識別個人之資料之意義。惟考量上開資料如查詢有困難、需耗費過鉅或耗時過久始能特定者,則屬技術上太複雜及經濟上不可行,應屬無法識別之個人資料,以兼顧個人資料合理利用。 - 【界定敏感性個人資料之概念】
定義醫療、基因、性生活、健康檢查及犯罪前科之概念,以加強敏感性個人資料之保護。 - 【界定委託機關之權責】
公務或非公務機關委託其他法人、團體或自然人辦理業務而涉及個人資料之蒐集、處理或利用,乃以委託機關為權責歸屬機關,爰增訂委託人之適當監督義務規定,以進一步釐清委託機關與其受託人之責任歸屬。 - 【界定書面意思表示之方式】
網際網路之當事人書面意思表示之方式,包括電子文件在內。 - 【界定單獨所為書面意思表示之方式】
將個人資料為特定目的外之利用,如經當事人書面同意,而其書面意思表示如係與其他意思表示於同一書面為之者,應於適當位置使當事人得以知悉其內容後並確認其同意。 - 【告知義務之方式】
蒐集個人資料告知義務之告知方式,得以書面、電話、傳真、電子文件或其他適當方式為之。
11/3更正:原文第一段「個資法修正草案」應為「個資法施行細則修正草案」,特此更正。
