个资法施行重点及案例分享.ppt

個資法施行重點及案例分享,益思科技法律事務所賴文智律師2013/04/23資訊學科中心,1,個資法施行因應的核心,判斷個案是否適用個資法如何將個人資料的蒐集、處理及利用程序合法化施行前未合法蒐集的個人資料，不得再利用施行前合法蒐集的個人資料，依法利用、主動處理施行後須履行個資法規定相關程序進行蒐集（合法蒐集後即得依法處理、利用）強化對於個人資料的安全維護、管理措施建立因應個人資料權利行使之配套措施,2,學校本即適用個資法,學校自民國84年電腦處理個人資料保護法公告施行後，即適用電腦處理個人資料保護法，並非去年新修正個人資料保護法施行後才適用原先學校依電腦處理個人資料保護法規定，屬於非公務機關，惟因公務機關規定較具彈性，目前法務部認為公立學校、醫院等給付行政，可認為屬於公務機關，適用公務機關相關規定,3,不適用個資法之情形,自然人為單純個人或家庭活動之目的單純在解釋上造成相當的限制，並非所有自然人涉及個資的蒐集、處理、利用行為皆可以此為由主張不適用業務活動拜訪的名片交換，因不單純，故須另行透過當事人明知處理告知義務，透過利用目的限縮，來避免違法利用同學、社團間交換通訊資料等，目前還可以解釋是屬於個人或家庭活動之目的，企業內部一些員工自發性的個人資料蒐集也可以包括在內,4,5,不適用個資法之情形,公開場所或公開活動中所蒐集未與其他個人資料結合之影音資料攝影、行車記錄器、監視器等影音資料，若屬公開場所或公開活動中所攝影或錄製，原則上不適用個資法車號、門牌號碼對一般人而言，因無法直接或間接指向特定個人，故解釋上即令前開影音資料包含這些資料，還是不適用個資法不適用個資法並不代表不會有違法問題，民法隱私權的保護仍有適用的可能性,6,個人資料的認定具相對性,7,8,原則上推定應適用個資法,個人資料的範圍很廣，雖然具有相對性，但政府機關的個人資料蒐集、處理及利用的行為，多以形成個人資料檔案為原則，故原則上涉及個人資料的行為，應推定適用個資法監視器設置國外隱私權爭議大，現行個資法雖然看似得透過第51條處理，但實則該條立法過程，並無意處理公家單位之監視器或相關監視設備的設置議題,9,合法蒐集個人資料之要件,第15條：公務機關對個人資料之蒐集或處理，除第六條第一項所規定資料外，應有特定目的，並符合下列情形之一者：一、執行法定職務必要範圍內。二、經當事人書面同意。三、對當事人權益無侵害。符合第5條比例原則、合理關聯性原則遵守第8條、第9條告知規範,10,合法蒐集個人資料的要件,應有特定目的應符合第19條第1項各款情形之一二、與當事人有契約或類似契約之關係三、當事人自行公開或其他已合法公開之個人資料五、經當事人書面同意七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用，顯有更值得保護之重大利益者，不在此限應符合第8條告知義務應符合第5條比例原則,11,告知義務,第8條第1項：公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料 時，應明確告知當事人下列事項：一、公務機關或非公務機關名稱。二、蒐集之目的。三、個人資料之類別。四、個人資料利用之期間、地區、對象及方式 五、當事人依第三條規定得行使之權利及方式 六、當事人得自由選擇提供個人資料時，不提供將對其權益之影響。,12,告知義務的例外規定,第8條第2項：有下列情形之一者，得免為前項之告知：一、依法律規定得免告知。二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。三、告知將妨害公務機關執行法定職務。四、告知將妨害第三人之重大利益。五、當事人明知應告知之內容。,13,合法利用個人資料的要件,應於執行法定職務必要範圍內為之，並與蒐集之特定目的相符應符合第5條比例原則、合理關聯性原則特定目的外利用，應符合第16條各款情形之一一、法律明文規定。二、為維護國家安全或增進公共利益。三、為免除當事人之生命、身體、自由或財產上之危險。,14,合法利用個人資料的要件,四、為防止他人權益之重大危害。五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。六、有利於當事人權益。七、經當事人書面同意。基本上，合法蒐集、處理、利用個人資料並不困難，只是要注意比例原則，並非只要涉及個人資料，就不能利用,15,16,如何判斷特定目的,特定目的的概念來自舊法登記制，但新法仍保留，故解釋上有時會產生困擾特定目的與蒐集之目的？蒐集目的告知當事人的目的特定目的應該儘可能與蒐集目的一致不同的蒐集事由，會影響特定目的的認定契約或類似契約當事人自行公開書面同意,17,個資蒐集是否皆須簽署書面？,目前許多政府機關或民間企業等，均大量要求民眾簽署許多書面文件，是否有必要？第8條的告知義務，並不需要書面告知，也不需要消費者簽名確認已為告知與契約履行有關的利用，該契約亦未要求是書面契約，但以書面取得個人資料的蒐集處理及利用的同意，也是一種合法蒐集的管道特定目的外的利用，需要獨立的書面契約簽署目前多數是因為安全、降低風險的角度，所以，均要求最嚴格的書面簽署同意，但也造成消費者一定程度的困擾；書面中過寬的要求個資同意，也可能造成消費者的疑慮；金控子公司交叉行銷則有必要簽署書面,18,19,主動更正、補充及刪除義務,新法第11條：公務機關或非公務機關應維護個人資料之正確，並應主動或依當事人之請求更正或補充之。個人資料正確性有爭議者，應主動或依當事人之請求停止處理或利用。但因執行職務或業務所必須並註明其爭議或經當事人書面同意者，不在此限。個人資料蒐集之特定目的消失或期限屆滿時，應主動或依當事人之請求，刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事 人書面同意者，不在此限。違反本法規定蒐集、處理或利用個人資料者，應主動或依當事人之請求，刪除、停止蒐集、處理或利用該個人資料。因可歸責於公務機關或非公務機關之事由，未為更正或補充之個人資料，應於更正或補充後，通知曾提供利用之對象。,20,特定目的消失？,施行細則第20條：本法第十一條第三項所稱特定目的消失，指下列各款情形之一：一、公務機關經裁撤或改組而無承受業務機關。二、非公務機關歇業、解散而無承受機關，或所營事業營業項目變更而與 原蒐集目的不符。三、特定目的已達成而無繼續處理或利用之必要。四、其他事由足認該特定目的已無法達成或不存在。,21,執行職務或業務所必須？,施行細則第21條：有下列各款情形之一者，屬於本法第十一條第三項但書所定因執行職務或業務所必須：一、有法令規定或契約約定之保存期限。二、有理由足認刪除將侵害當事人值得保護之利益。三、其他不能刪除之正當事由。若無明確的法定職務（例如：各網站）則建議可以以隱私權政策的方式約定保存期限,22,個資洩漏時之通知義務,新法第12條：公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或 其他侵害者，應查明後以適當方式通知當事人。本條對於公務及非公務機關影響都非常大，因為應如何通知當事人始符合本條規定仍有討論空間,23,24,個人資料安全,新法第18條公務機關保有個人資料檔案者，應指定專人辦理安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏。,25,個資之安全維護措施,施行細則第12條規定：本法第六條第一項第二款所稱適當安全維護措施、第十八條所稱安全維護事項、第二十七條第一項所稱適當之安全措施，指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏，採取技術上及組織上之措施。前項措施，得包括下列事項，並以與所欲達成之個人資料保護目的間，具有適當比例為原則：,26,個資之安全維護措施,一、配置管理之人員及相當資源。二、界定個人資料之範圍。三、個人資料之風險評估及管理機制。四、事故之預防、通報及應變機制。五、個人資料蒐集、處理及利用之內部管理程序。六、資料安全管理及人員管理。七、認知宣導及教育訓練。八、設備安全管理。九、資料安全稽核機制。十、使用紀錄、軌跡資料及證據保存。十一、個人資料安全維護之整體持續改善。,27,P2P分享軟體經常出事,28,實體的安全措施也很重要,29,THE END,益思科技法律事務所http:/www.is-台北市忠孝東路四段290號8樓 02-27723152高雄所高雄市四維三路6號17樓A2 07-335-7331,30,