個人資料保護法簡介

報告人：袁光龍襄理

壹、前言

近年來詐騙案件幾乎每天占據媒體版面，不法集團之行徑更為全民所痛惡。多數人在驚恐之餘，不禁納悶，為何歹徒對其個人甚至家庭狀況能夠瞭若指掌，進而質疑個人資料是否因公務機關或金融機構等單位洩漏所致。不僅如此，民眾透過網際網路輕鬆掌握便利生活的同時，也擔心相關資料會被不當蒐集利用，甚至洩漏牟利，導致日後飽受詐騙抑或推銷之困擾。有鑑於此，政府為此特別修正個人資料保護法，期能藉此補強電腦處理個人資料保護法之不足，俾能更加周延地保障人民之權益。本法雖於101年10月01日公布實施，然影響層面廣泛，不單是公務機關、公司企業，甚至一般民眾都應有正確之認識，以便提早因應。為使各位同仁了解個人資料保護法之修法重點，以及其與之前頒訂「電腦處理個人資料保護法」之差異，以下擇要說明之。

貳、修法重點

若檢視舊版個資法條文（電腦處理個人資料保護法），不難發現其規範主體，在非公務機關部分僅限於徵信業、醫院、學校、電信業、金融業、證券業、保險業、大眾傳播業等八種行業，及經法務部會同中央目的事業主管機關指定之事業、團體或個人（如中華民國產物保險商業同業公會及中華民國人壽保險商業同業公會、錄影節目帶出租業、不動產仲介經紀業等），而無法拘束一般行業和個人；保護之客體亦限於經電腦處理之個人資料，故不包括非經電腦處理之個人資料，可見對於保護個人資料之效果顯有不足。因此，法務部於90年間，即積極研修84年8月11日公布實施之「電腦處理個人資料保護法」（簡稱舊版個資法），除整合國內學界及實務界之意見，同時參酌各國立法例外，並經召開多次公聽會與研討會及朝野協商，於99年5月26日修正公布個人資料保護法（簡稱新版個資法）。新版個資法共計56條，不僅擴大適用對象及保護範圍，同時也提高處罰額度。修法重點及內容如下：

一、普及適用對象：

新版個資法之適用對象分成兩類，一種是公務機關，指依法行使公權力之中央或地方機關或行政法人（不屬於公務人員，但財源直接來自國家的預算）；另一種是非公務機關，指前述以外之自然人（簡單來說，你、我這種個人就是自然人）、法人（像公司、基金會 (財團法人)、協會 (社團法人) 等，則是法人組織）或其他團體。可見本次修法將適用對象普遍擴及所有公民營機關及個人，而有別於舊版個資法所列舉之行業（徵信業、醫院、學校、電信業、金融業、證券業、保險業、大眾傳播業等八種行業，及經法務部會同中央目的事業主管機關指定之事業、團體或個人）。

二、擴大保護客體：

為落實保護個人資料之目的，新版個資法於第1條即開宗明義地揭示本法之目的是規範個人資料之蒐集（指以任何方式取得個人資料。）、處理（指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。）及利用（指將蒐集之個人資料為處理以外之使用），以避免人格權受侵害（身為自然人的固有權利，其有人格法益不受不法行為侵害或抹殺之對抗權），並促進個人資料之合理利用，而非侷限於經電腦處理之個人資料。所謂個人資料，乃指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料，其範圍非常廣泛。

三、明定使用原則：

依據新版個資法第5條，個人資料之蒐集、處理或利用，其原則應尊重當事人之權益，依誠實及信用方法為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。而為保障當事人權益，新版個資法載明下列原則：

（一）告知義務：

新版個資法第8條規定，直接向當事人蒐集個人資料時，除符合得免告知情事者外，均須明確告知當事人蒐集機關名稱、蒐集目的、資料類別、利用方式、當事人之權利，以及不提供將對其權益之影響等相關事項。同法第9條則規範，蒐集非由當事人提供之個人資料，除屬得免告知情形者外，應於處理或利用前，向當事人告知個人資料來源及前條（即第8條）第1款至第5款所列事項。

為保護個人資料，同法第54條特別規定，對於本法修正施行前非由當事人提供之個人資料，依法應於處理或利用前向當事人為告知者，應自本法修正施行之日起一年內完成告知，逾期未告知而處理或利用者，依法論處。有鑑於此，不論是處理民眾資料的公務機關或者是存有成千上萬筆用戶資料的企業而言，俟新版個資法一旦實施即須依限告知。

（二）書面同意：

為落實尊重當事人意願之精神，新版個資法設有當事人書面同意之規定，並將其列為公務機關或非公務機關對個人資料之蒐集、處理或利用的合法要件之一。此須注意者，依新版個資法第7條第1項，公務機關或非公務機關經當事人書面同意蒐集、處理個人資料，係指當事人經蒐集者告知本法所定應告知事項後，所為允許之書面意思表示；另依同法條第2項，公務機關或非公務機關經當事人書面同意對其個人資料為特定目的外之利用，則謂當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後，單獨所為之書面意思表示。此即特定目的外利用其個人資料之書面同意，應獨立作書面意思之表示，以保護當事人之權益。由此可見，取得當事人書面同意，其書面內容視是否特定目的之利用而有所不同。

（三）特種資料：

新版個資法第6條係參考歐盟之規定，將醫療、基因、性生活、健康檢查及犯罪前科等列為特種資料，除符合法定要件外，原則上不得蒐集、處理或利用，藉此避免部分醫生以名人病歷來宣傳其個人醫術之不當行為（台中市長胡志強控告具有醫師及立委身分的林進興及中部地區十一位醫師，在選舉期間召開記者會，「會診」曾經有中風病史的胡志強健康狀況，並在現場亮出一份病歷為例）。

（四）排除適用：

從上開說明可知，自然人對他人個人資料之利用行為雖屬限制範圍，然為避免因而限制了個人日常生活中合理的利用行為，新版個資法於第51條特將「自然人為單純個人或家庭活動之目的，而蒐集、處理或利用個人資料」以及「於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料」兩種行為排除適用。因此，若將朋友的聯絡方式製作成通訊錄，或在網站張貼於公開場所拍攝的影音資料將不致違法。

四、強化行政監督：

為加強防制個人資料遭到濫用及侵害，新版個資法第21條規定，當非公務機關為國際傳輸個人資料，而有涉及國家重大利益、國際條約或協定有特別規定、接受國對於個人資料之保護未有完善之法規致有損當事人權益之虞、以迂迴方法向第三國（地區）傳輸個人資料規避本法等情形時，中央目的事業主管機關得限制之。為強化監督機制，同法第22條明定中央目的事業主管機關或直轄市、縣（市）政府為查明有無違法之虞，得對非公務機關進行檢查，而對於可為證據之個人資料或其檔案，並得扣留或複製之，或依第23條為適當之處置。此外，第25條授權中央目的事業主管機關或直轄市、縣（市）政府，對非公務機關違法者，除裁處罰鍰外，並得為禁止蒐集、處理或利用個人資料，或命令刪除經處理之個人資料檔案等必要之處分。

五、健全求償機制：

舊版個資法第四章原定名「損害賠償及其他救濟」，新版個資法則更名為「損害賠償及團體訴訟」，目的係結合民間力量，發揮保護個人資料之功能，如新版個資法第32條規定財團法人或公益社團法人符合特定要件者，得提起團體訴訟，以協助隱私權益遭受侵害之當事人進行民事或行政訴訟。另第34條則明文對於同一原因事實造成多數當事人權利受侵害之事件（如購物台洩漏個人資料、廠商大量寄發E-Mail），財團法人或公益社團法人經受有損害之當事人二十人以上以書面授與訴訟實施權者，其標的價額超過新臺幣六十萬元者，超過部分暫免徵裁判費，藉以鼓勵當事人透過團體訴訟求償。不僅如此，新版個資法對求償金額並賦予彈性，第28條規定如被害人不易或不能證明其實際損害額時，得請求法院依侵害情節，以每人每一事件五百元以上二萬元以下計算；對於同一原因事實造成多數當事人權利受侵害之事件，經當事人請求損害賠償者，其合計最高總額以二億元為限，若該原因事實所涉利益超過二億元者，以該所涉利益為限。

六、提高處罰效果：

新版個資法除延續舊版個資法對公務員犯罪者加重其刑至二分之一外，在第五章罰則更加重刑責及罰鍰額度，期強化法益保護之周延程度。如第43條規定中華民國人民在我國領域外觸犯本法第41、42條罪者亦適用之；第45條明定本章之罪須告訴乃論，但犯第41條第２項之罪者，或對公務機關犯第42條之罪者，則為非告訴乃論罪；第46條另規定犯本章之罪，其他法律有較重處罰規定者，從其規定。此外，第50條明文非公務機關之代表人、管理人或其他有代表權人，除能證明已盡防止義務者外，應課以同一額度之罰緩，促使其善盡監督之責。相信增修上述條文，將更有效達到處罰及遏阻犯罪之效果。

參、個資法與公寓大廈相關規定

一、進出公寓、大廈或機關廠區時被要求填寫個人資料或抵押證件，是否有違個人資料保護法？要求非住戶進出大廈或公寓時填寫個人資料或抵押證件之原因是因為需要確認進入人員是誰，以便能保護該區域的住戶。以個人資料保護法的規範，他們可以主張場所進出安全管理作為蒐集個人資料或抵押證件的特定目的，但是，因為這種行為並無法律規範，所以必須在要求訪客填寫個人資料或抵押證件時，先明確告知個資法第八條所規定的告知事項。如果沒有告知，即屬違法。

 二、公告欠繳管理費住戶名單，有無違反個資法？

依據公寓大廈管理條例第3條第12款、第21條及第22條第1項第1款等規定，有關公寓大廈住戶欠繳管理費用之處置，應依該條例第21條及第22條有關訴請法院命其給付及訴請法院強制遷離等規定辦理。又住戶違反義務之處理方式，非經載明於規約者不生效力（公寓大廈管理條例第23條第2項第4款參照）。因此，公寓大廈管理委員會應參照前述公寓大廈管理條例及個資法之相關規（如個人資料保護法第5條、第19條、第20條），蒐集、處理或利用區分所有權人或住戶之個人資料。如規約載明住戶欠繳管理費用即公布該住戶之姓名者，則得公告之。

肆、案例

一、登報「尋找逃妻」 男子違反個資法被訴：

台中市林姓男子娶大陸陳姓女子為妻，去年兩人因故分居，林男在報紙上刊登「尋找逃妻」廣告，要求陳女返家履行同居義務，因涉嫌公布妻子的姓名、出生年月日、及居留證號碼，經陳女提起告訴，台中地檢署依違反個人資料保護法將林男起訴。

二、客戶資料成垃圾 金管會調查遠東銀：

台南有民眾在資源回收廠、發現一大箱文件，裡面都是遠東商業銀行的信用卡申請資料；包括身分證字號、工作背景、以及所得證明、全都一清二楚。遠東商銀以新聞稿對外說明，表示這是信用卡部門的方姓離職員工將資料帶走，目前已經對他提出民刑事訴訟，初步清查可能有四百位左右的客戶資料外流，已經報警請求保全證據。根據個資法，洩露個資可處兩年以下徒刑，或科20萬元以下罰金，如果造成當事人權益受損，合計最高可向洩露個資的機構求償兩億元。現在全案進入司法調查，金管會也要了解遠東商銀有無管理疏失。

伍、結語

透過上述說明不難了解，新版個資法對於個人資料的保護較之舊法更為周延；對擁有民眾個人資料之公務機關或非公務機關而言，當務之急是儘速整理非由當事人提供之個人資料，以便新版個資法施行後依限完成告知義務，否則將因逾期或未告知而遭依法論處，真可謂不得不慎。同樣地，不論是公務機關或者私人企業，均應加強內部員工相關法令及保密等宣導，並落實安全維護事項，防止個人資料或檔案被竊取、竄改、毀損、滅失或洩漏，方為保護個人資料的根本之道。