http://www.ithome.com.tw/itadm/article.php?c=70500
文/黃彥棻 (記者) 2011-10-27
個資法施行細則草案終於出爐,對告知形式的要求寬鬆,但業者需舉證已告知,另外,書面同意可採電子方式,也首度將Log檔案納入個資範圍
眾所關心的新版個資法施行細則出爐。法務部10月27日在官方網站公布個資法施行細則草案。法務部法律事務司副司長鍾瑞蘭表示,草案將進行14天的法案預告,來蒐集各界對草案的建議。若無需召開專家會議來討論各界爭議,則可如期送行政院審查。
告知義務方式寬鬆,但業者須自行舉證已告知
新版施行細則中,對於許多企業界在意的告知義務的作法,採用比較寬鬆的建議。新版個資法施行細則第13條規定,「告知之方式,得以書面、電話、傳真、電子文件或其他適當方式為之。」
由於科技越來越進步,鍾瑞蘭指出,許多的告知方式只要能夠做到「一對一」的告知,不論什麼方式,例如網站的契約規範、電子郵件、簡訊、MSN即時通訊軟體或手機App通知,如WhatsApp等等,都可以滿足告知當事人的規定。
但她也提醒,雖然施行細則所規範的告知方式相當寬鬆,但企業擔心的後續面臨舉證責任時,不論告知方式為何,企業還是必須負起相關的舉證義務。
新版個資法第54條規定,企業間接蒐集的個資,在新版個資法修正施行之日起一年內必須完成對當事人的告知義務。許多企業為了節省告知當事人所耗費的經費,都希望能夠透過「公告」的方式達到告知當事人的目的。
但鍾瑞蘭提醒,若企業擁有的相關個資並非由當事人直接提供,或者是已經逾越原本特定目的的利用,以公告方式無法真正達到告知當事人的目的。她說,若企業採用公告方式進行告知,若揭露的訊息夠詳細,也有可能間接洩漏當事人不願意公開與該企業互動關係的資訊,所以,鍾瑞蘭表示,這種事後追溯的告知方式,還是必須要能夠做到一對一的告知。
書面同意可採電子方式,是否需憑證仍有爭議
新版個資法嚴格規範書面同意是指,當事人經蒐集者告知新版個資法所定的應告知事項,或者是經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,所做的書面意思表示。
根據施行細則第11條有規定,書面意思的表示方式,只要內容可完整呈現,且可以供日後查驗,經蒐集者與當事人同意後,可以採用電子文件的方式。
鍾瑞蘭表示,經濟部已有電子簽章法的規範,書面同意可以電子文件的方式進行呈現,但目前討論的關鍵在於,所謂的電子文件是否必須完全符合電子簽章法的規範,例如必須有憑證才算是可以取代書面同意的電子文件呢?還是不需要憑證也可以?她說,目前希望經濟部可以在這14天的法案預告時間內,針對書面同意如何以電子文件的方式進行完整的表示,可以提出符合電子簽章法規範的建議作法與說明。
首度將Log檔案納入個資法規範
施行細則第5條規定,個人資料檔案包括備份檔案及軌跡資料。所謂的軌跡資料則是指,個人資料在蒐集、處理、利用過程中,所產生非屬於原蒐集個資本體的衍生資訊(Log檔案),包括(但不限於)當事人的帳號、存取時間、設備代號、網路IP位址等等。鍾瑞蘭說,這也是第一次將軌跡資料納入個資法保護的範圍中。
鍾瑞蘭表示,在召開施行細則專家討論會議時,有納入資訊專家的建議,認為許多的Log資訊,加上其他的參考檔案,還是可以回推當事人的身分。因此,施行細則對於企業在蒐集、處理、利用和儲存個人資料時,所產生的備份與Log資料,都視為個資的一部份,企業必須妥善加以保護。
沒有明定何謂公共利益
鍾瑞蘭表示,目前多數人希望施行細則能夠詳加說明的部分,仍與新版個資法通過時,多數人的疑慮雷同,最主要仍是公共利益的界定。
她進一步說明,因為公共利益是不確定的法律概念,會因為產業別和應用的不同,而有不同的界定,人肉搜索到底是否違法,還是得看是否符合公共利益而定。因此,法務部在召開新版個資法施行細則制定的會議中,多數專家仍傾向不界定公共利益的意涵與判斷標準,避免窄化了公共利益的範圍。
是否如期於11月底送行政院,時間未定
新版個資法施行細則從去年6月到12月底,蒐集各界對施行細則的建議,並於今年2月開始,召開專家會議就施行細則條文進行研究討論,前後總共召開17次會議,並進行3遍草案條文的討論。
鍾瑞蘭說,這14天的法案預告期間,是希望能夠蒐集各產業和機關對於施行細則的建議,如果各界對於施行細則回饋的意見不多,無須召開專家會議進行討論審查時,就可能如期在11月底前,送交行政院進行審查;但若各界反映意見太多,為了完善施行細則,得再召開專家會議,相關的時程也會往後順延。文⊙黃彥棻
法務部針對新版個資法施行細則草案,也彙整了一份問答資料,協助各界快速了解細則重點,相關內容如下:
一、建立間接識別個人資料之標準
Q:何謂以間接方式識別該個人之資料?何謂不能識別?例如學校職員A從校務行政資料庫,將學生資料中之一個欄位「聯絡方式」賣給補教業者B,則是否屬個人資料保護法所規範之可識別個人資料。
A:(一)就A而言,雖然 A 只挑選學生資料中一個欄位「聯絡方式」,單純就連絡方式之資料內容來看,無法得知該資料之特定個人為何人,但是 A 或 A 所代表的機關本身,仍有該校務行政資料庫之其他資料欄位可供對照、組合、連結等間接方式,而能識別該特定個人,故就 A 或 A 所代表的機關該單筆資料欄位仍屬可間接識別之個人資料。A 以意圖營利之方式販賣可識別之個人資料,該當個人資料保護法第 41條第 2項之刑事構成要件而應負刑事責任。
(二)就B而言,該「聯絡方式」之個人資料如無法透過資料庫之對照、組合、連結等間接方式而加以識別該特定之學生,則屬查詢有困難之情形(究屬查詢困難、耗費過鉅或耗時過久始能特定之情形需個案認定),故為無法識別之個人資料,無個人資料保護法之適用,惟如屬其他法令規範之範圍,則仍有其他法令之適用,例如民法第 18條及第 195條之侵害隱私權等規定。
二、界定敏感性個人資料之概念
Q:何謂性生活?
A:個人資料保護法第 2條第 1款所稱性生活之個人資料,指性取向或性慣行之個人資料。即屬於有關極為敏感且容易引起偏見或足使個人人格遭受歧視之性生活個人資料,例如單性戀、雙性戀等之性取向或性暴力、戀童癖等之性習慣行為。
三、界定委託機關之權責
Q:何謂個人資料保護法第4條所稱視同委託機關?
A:受委託蒐集、處理或利用個人資料之法人、團體或自然人,依本法2第4條規定,於本法適用範圍內視同委託機關,亦即仍以委託機關為權責歸屬機關,當事人行使本法第3條查詢、閱覽、製給複製本、補充、更正、停止、刪除之權利,以及本法第 28條至第31條之請求損害賠償之權利時,應以委託機關為對象。
例如慈濟醫院委託臺大醫院進行某罕見疾病之病歷分析、術後追蹤、新藥與療程技術開發等研究,臺大醫院受委託蒐集、處理或利用個人資料於本法適用範圍內,將依慈濟醫院應適用本法之相關規定為之,當事人如有行使本法相關權利時,應向委託機關慈濟醫院為之。為進一步釐清公務機關或非公務機關與其受託人之責任歸屬,爰參考德國、日本等外國立法例,明定委託人應對受託人採取適當之監督,以確保委託處理個人資料之安全管理。
四、界定單獨所為書面意思表示
Q:就個人資料為特定目的外之利用,如何符合單獨所為書面意思表示之當事人書面同意?例如A銀行欲將信用卡客戶之個人資料交換給B保險公司為行銷之情形。
A:A銀行須在信用卡申請書及契約條款中,就個人資料交換之條款給客戶單獨(另外)為同意之意思表示,且須以書面方式為之,以為慎重。
由於該資料交換條款屬銀行為客戶個人資料之特定目的外利用,依法須經當事人書面同意始得為之,為求慎重並使當事人能再明確知悉之情形下為同意之意思表示,本細則草案規定該單獨所為之書面意思表示,如係與其他意思表示於同一書面為之者,應於適當位置使當事人得以知悉其內容後並確認同意。
五、告知義務之方式
Q:A公司在網路上直接蒐集當事人之個人資料,如何依個人資料保護法第 8條第 1項規定為告知?
A:本細則草案規定告知之方式,得以書面、電話、傳真、電子文件或其他適當方式為之。
準此,A公司得在公司網頁中與客戶進行買賣契約條款審閱時,直接在電子契約條款中訂明告知事項並由客戶審閱契約後直接點選同意鈕,或者A公司為確認客戶有審閱該告知事項條款,也可於客戶點選同意鈕後直接跳到公司告知事項網頁,再由客戶點選審閱完畢之同意鈕後,再進行附款交易行為。