©2020 Zoomlaw Attorneys-at-Law , All rights reserved.
Tel:(Taipei)+886-2-26972999 (Hsinchu)+886-3-6675569; E-mail:info@zoomlaw.net
|
|
|
|
人資料保護法簡介(三)私人機構應遵行之事項
個人資料保護法簡介(三)私人機構應遵行之事項
眾律國際法律事務所 法務助理黃慧儀
2012-06-29
壹、 前言
公務機關或非公務機關,蒐集、處理或利用個人資料應遵守個資法的規定,第5條宣示:「個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。」此為一般的指導原則,本篇就私人機構(即法條所稱非公務機關)在蒐集處理個資應遵守的事項分述之。
貳、 私人機構(即法條所稱非公務機關)在蒐集處理個資應遵守的事項
一、須符合特定目的
(一)蒐集應有特定目的
第19條規定,蒐集或處理一般個資(即非第6條所指敏感性個資),必須有特定目的,並符合該條六款情形之一,方得為之。
(二)利用應於特定目的必要範圍內
第20條規定,只有規定的例外情形,才可以為特定目的外之利用。
(三)何為特定目的?
此有待法務部和各事業目的主管機關訂定的特定目的項目,企業必須從中選擇其中一項或多項作為資料蒐集目的,蒐集個資時不能踰越所選定的特定目的範圍,方為合法。
二、蒐集時告知之義務
蒐集有分為向當事人本人蒐集(例如甲提供自己的資料)、或是向其他人蒐集(例如甲提供乙的資料),新法有規定應向當事人告知之事項以及不用告知的例外情形(參第5條、第6條)。
告知之方式,依施行細則草案,得以書面、電話、傳真、電子文件或其他適當方式為之。例如,A 公司得在公司網頁中與客戶進行買賣契約條款審閱時,直接在電子契約條款中訂明告知事項並由客戶審閱契約後直接點選同意鈕,即完成告知。
在實務上爭議最大的是第54條,規定企業在個資法施行前蒐集的個人資料庫,若非由當事人提供,就必須在個資法實施後1年內告知當事人,讓對方知道企業擁有他的個人資料,此將造成企業相當大的負擔與不便,法務部日前表示會再修法改進,可能的修法方向為增列「倘若耗費過鉅,可採公告方式告知」;或針對母法第54條所規範間接蒐集來的個人資料,可能拿掉1年內完成告知的限制,並增列「如果有處理或利用情況,再行告知」。
三、 維護資料正確
第11條規定:「公務機關或非公務機關應維護個人資料之正確,並應主動或依當事人之請求更正或補充之。」
四、 保護資料安全
新法第27條要求非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。課予私人機構必須保護資料安全的善良管理人義務。
適當之安全維護措施,指的是參看法務部在施行細則草案中規劃的內容,應包括的必要措施,有11項事項:1.成立管理組織,配置相當資源。2.界定個人資料之範圍。3.個人資料之風險評估及管理機制。4.事故之預防、通報及應變機制。5.個人資料蒐集、處理及利用之內部管理程序。6.資料安全管理及人員管理。7.認知宣導及教育訓練。8.設備安全管理。9.資料安全稽核機制。10.必要之使用紀錄、軌跡資料及證據之保存。11.個人資料安全維護之整體持續改善。(施行細則修正草案第9條)
五、 違法情事通知
公務機關或非公務機關應將違反個資法的情形,在查明後以適當方式通知當事人。(第12條)此條立意在於使當事人知其權利被侵害,得以提起救濟或請求損害賠償。通知的適當方式,例如:人數不多者,得以電話、信函方式通知;人數眾多者,得以公告請當事人上網或電話查詢等。
六、 跨國傳輸之限制
跨國傳輸是指將個人資料作跨國(境)之處理或利用(第2條第6款),新法第21規定若涉及國家重大利益、國際條約或協定有特別規定、接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞、或以迂迴方法向第三國(地區)傳輸個人資料規避本法此四種情形,中央目的事業主管機關得得視事實狀況,以命令或個別之行政處分限制之。
七、 直接行銷
直接行銷部分是關於私人機構利用個人資料從事商品行銷時,當事人表示拒絕接受行銷時,應即停止;並且於第一次進行行銷時,應支付當事人拒絕行銷之費用,例如,提供免付費電話、免費回郵等,便利當事人表達拒絕行銷的意思。
八、 敏感性個資
新法第6條新規定敏感性資料,包括醫療、基因、性生活、健康檢查、犯罪前科等,原則上不得蒐集、處理或利用,即使當事人出面同意也不能蒐集,但如此對於一些產業則有實務上的困難。因此法務部建議新增經當事人同意,可以使用敏感性個資的條文。
參考資料:
法務部「電腦處理個人資料保護法施行細則」修正草案
http://www.moj.gov.tw/ct.asp?xItem=247205&ctNode=27518
經濟部中小企業處創業圓夢網http://law.moeasmea.gov.tw/modules.php?name=km&file=print&sid=531
新版個資法:可望放寬告知義務限制,Information Security 資安人科技網 http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=6597#ixzz1z9M8kiCG
個資法施行細則 定義12項適當安全維護措施,Information Security 資安人科技網 http://www.informationsecurity.com.tw/article/article_detail.aspx?aid=6108#ixzz1z9oAFLIg
Click Num
|