1 / 79

個人資料保護法面面觀

個人資料保護法面面觀. 華誠聯合律師事務所 蔡其龍律師. 個人簡歷. 私立東海大學法律系法學士 國立中興大學科技法律研究所 96 年專門職業及技術人員高等考試及格(律師) 專利代理人 法瑪國際律師事務所實習律師 群展國際法律事務所律師 德律專利商標法律事務所律師 財團法人法律扶助基金會台中分會扶助律師 財團法人法律扶助基金會彰化分會扶助律師 財團法人法律扶助基金會南投分會扶助律師 財團法人法律扶助基金會雲林分會扶助律師 台中律師公會公關組主任 現任職華誠聯合律師事務所律師. 大綱. 個資外洩案例 個人資料保護法修法進程 個資法概析 個資責任因子.

mona-lucas
Download Presentation

個人資料保護法面面觀

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 個人資料保護法面面觀 華誠聯合律師事務所 蔡其龍律師

  2. 個人簡歷 • 私立東海大學法律系法學士 • 國立中興大學科技法律研究所 • 96年專門職業及技術人員高等考試及格(律師) • 專利代理人 • 法瑪國際律師事務所實習律師 • 群展國際法律事務所律師 • 德律專利商標法律事務所律師 • 財團法人法律扶助基金會台中分會扶助律師 • 財團法人法律扶助基金會彰化分會扶助律師 • 財團法人法律扶助基金會南投分會扶助律師 • 財團法人法律扶助基金會雲林分會扶助律師 • 台中律師公會公關組主任 • 現任職華誠聯合律師事務所律師

  3. 大綱 • 個資外洩案例 • 個人資料保護法修法進程 • 個資法概析 • 個資責任因子

  4. 個資外洩案例

  5. 國內新聞:處方箋外洩,醫院與回收商均有責任國內新聞:處方箋外洩,醫院與回收商均有責任

  6. 個人資料保護法修法進程

  7. 個人資料保護法修法進程 • 1995年,立法院三讀通過「電腦處理個人資料保護法」草 • 案,同年總統公布施行 • 2005年,法務部研擬完成「電腦處理個人資料保護法」草 • 案,並將法規名稱改為「個人資料保護法」,並送請立法院 • 審議 • 2010年4月27日立法院三讀通過個人資料保護法 • 2010年5月26日總統府公布,施行日期尚待行政院訂之 • 法務部業於2011年10月27日公告施行細則草案 • 法務部業於2012年4月11日提出修正草案 • 新版個人資料保護法已在2012年10月1日開始實施

  8. 個資法概析

  9. 個資法概析 • 整體架構 • 新法案例思考脈絡 • 修正重點臚列 • 責任規定 • 民事賠償規定、要件及責任性質 • 民事賠償金額之決定 • 刑事責任 • 非公務機關之行政責任 • 確保符合個資法要求之方案

  10. 個人資料保護法條文 • 共六章 56條 • 第一章 總則(第1條至第14條) • 第二章 公務機關對個人資料之蒐集、處理及利用(第15條至第18條) • 第三章 非公務機關對個人資料之蒐集、處理及利用(第19條至第27條) • 第四章 損害賠償及團體訴訟(第28條至第40條) • 第五章 罰則(第41條至第50條) • 第六章 附則(第51條至第56條)

  11. 新舊法之區別 • 新法適用主體即規範之對象

  12. 新法適用客體即受保護之範圍

  13. 新法將規範行為擴大

  14. 個資法概析修正重點臚列I • 擴大保護客體: • 不再以經電腦處理之個資為限,含紙本個資 • 增訂§6特種個資蒐集限制 • 但自然人為單純個人或家庭活動目的、於公開場合/活動蒐集處理利用未與其他個人資料結合之影音資料→不適用 • 非公務機關適用主體不再限於八大行業: • 所有蒐集個資之公務機關、非公務機關及個人均有適用 • 受委託蒐集、處理或利用個人資料者,視同委託機關。 • 舊法除現行個資法明定之八大行業外,加上法務部以行政命令僅有約二十種行業

  15. 個資法概析修正重點臚列II • 個資定義大幅擴張: • 舊法→足資識別 • 新法→直接或間接(則§3)得以識別(類別新增:護照號 • 碼、醫療、基因、性生活、犯罪前科、聯絡方式幾項) • 當事人自主原則及查閱更正原則: • 當事人得行使之權利:查閱或閱覽、製給複製本、補充或 • 更正、停止蒐集處理利用、刪除 • 行使權利之程序及救濟:

  16. 個資法概析修正重點臚列III

  17. 個資法概析修正重點臚列IV

  18. 個資法概析修正重點臚列V

  19. 個資法概析修正重點臚列VI • 強化行政監督: 對非公務機關個資相關事項,中央目的事業主管機關或地方政府得強制檢查、處分或處罰鍰 • 促進民眾參與(建立公益團體團體訴訟機制): 財團法人:登記財產總額達新台幣一千萬元、保護個資事項定於章程目的範圍內、許可設立三年以上 社團法人:社員人數達一百人、保護個資事項於章程所定目的範圍內、許可設立三年以上

  20. 個資法概析責任規定 • 提高民事賠償責任、新增刑責及行政責任

  21. 民事責任 違反修正後個資法之民、刑事責任

  22. 個資法概析責任規定—民事賠償規定I • 第28條 • 公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限。 • 被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。 • 依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。 • 對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者,以該所涉利益為限。 • 同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。 • 第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者,不在此限。

  23. 個資法概析責任規定—民事賠償規定II • 第29條 • 非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。 • 依前項規定請求賠償者,適用前條第二項至第六項規定。 • 第30條: • 損害賠償請求權,自請求權人知有損害及賠償義務人時起,因二年間不行使而消滅;自損害發生時起,逾五年者,亦同。 • 第31條: • 損害賠償,除依本法規定外,公務機關適用國家賠償法之規定,非公務機關適用民法之規定。

  24. 個資法概析責任規定—民事賠償要件及責任性質個資法概析責任規定—民事賠償要件及責任性質 • 要件: • 「違反本法規定」、「致個人資料遭不法蒐集、處 • 理、利用或其他侵害權利」: • 範圍不是只有個資外洩之情形,如違法蒐集,應告知未告知,應通知未通知,逾期保存或利用個資,當事人請求更正、刪除卻未更正、刪除....皆屬之 • 責任性質: • 公務機關採無過失責任:公務機關侵害→有無過失均需賠償 • 非公務機關採舉證責任倒置:非公務機關侵害→由被告證明侵害權利並無過失 • 無損害即無賠償原則(民事訴訟法§222): • 原告仍需證明有損害發生及造成損害者為被告及因果關係

  25. 個資法概析責任規定—民事賠償金額之決定 • 有損害即有賠償原則: • 如能證明損害額→即無§28III法官以自由心證酌定賠償額之適用 • 不能證明損害額→用§28III酌定賠償額(自由心證): • 「法院依自由心證酌定損害額時,就經濟分析之立場而言,係一種在無法確定損害額之狀況下,依據具體個案之週遭事實推估損害額之心智過程,自由心證形成之過程中必須以具體個案之事實作為推估損害額之依據,而不得以恣意推測之方式憑空猜測損害額...」(智慧財產權法院100年度民著訴字第9號民事判決)

  26. 刑事責任

  27. 個資法概析責任規定—刑事責任I • 第41條: • 違反第六條第一項(違法蒐集處理利用特種資料)、第十五條(無特定目的/情形蒐集處理)、第十六條(利用逾越特定目的)、第十九條(無特定目的/情形蒐集處理)、第二十條第一項(利用逾越特定目的)規定,或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分, 足生損害於他人者,處二年以下有期徒刑、拘役或科或併科新臺幣二十萬元 • 以下罰金。(新增規定!) • 意圖營利犯前項之罪者,處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。(現行規定即有、2年→5年、刪除拘役、罰金4萬→100萬) • 第42條: • 意圖為自己或第三人不法之利益或損害他人之利益,而對於個人資料檔案為非法變更、刪除或以其他非法方法,致妨害個人資料檔案之正確而足生損害於他人者,處五年以下有期徒刑、拘役或科或併科新臺幣一百萬元以下罰金。(現行規定即有、3年→5年、罰金5萬→100萬)

  28. 個資法概析責任規定—刑事責任II • 第43條: • 中華民國人民在中華民國領域外對中華民國人民犯前二條之罪者,亦適用之。(新增規定) • 第44條: • 公務員假借職務上之權力、機會或方法,犯本章之罪者,加重其刑至二分之一。(前二條→本章) • 第45條: • 本章之罪,須告訴乃論。但犯第四十一條第二項之罪者,或對公務機關犯第四十二條之罪者,不在此限。(新增但書規定,對公務機關為資料擅改、刪除等,為非告乃論之罪) • 第46條: • 犯本章之罪,其他法律有較重處罰規定者,從其規定。(同現行規定)

  29. 個資法概析責任規定—刑事責任III • 第41條第1項之構成要件: • 客觀構成要件: • 違反§6I、§15、§16、§19、§20I、§21、足生損害於他人者 • 主觀構成要件: • 行為人認知其行為符合以上要件 • Q:可否以制定個資保護安全維護計畫、購買資安設備或導入 • ISO27001、TPIPAS(DPMARK)等國際管理規範,主張阻卻故意因而無罪? • 應經「個資查檢」才能確保遵法性!

  30. 個資法概析責任規定—非公務機關之行政責任I個資法概析責任規定—非公務機關之行政責任I • 第25條(新增規定): • 中央目的事業主管機關或直轄市、縣(市)政府得處非公務機關: 禁止蒐集處理利用、命令刪除、沒入或命銷燬、公布 • 違法情形(姓名、名稱或負責人) • 第47條(新增規定): • 違反§6I、§19、§20I、§21(與§41I同)→5萬-50萬元罰鍰、令限期改正、屆期未改正者按次處罰之

  31. 個資法概析責任規定—非公務機關之行政責任II個資法概析責任規定—非公務機關之行政責任II • 第48條(新增規定): • 違反§8、§9、§10、§11、§12、§13、§20II或III、§27I或II→2萬-20萬元罰鍰、令限期改正、屆期未改正者按次處罰之 • 第49條(新增規定): • 無正當理由,違反§22IV →2萬-20萬元罰鍰 • 第50條(現行規定): • 非公務機關之代表人、管理人或其他有代表權人,因該非公務機關依前三條規定受罰鍰處罰時,除能證明已盡防止義務者外,應並受同一額度罰鍰之處罰。

  32. 個資法概析確保符合個資法要求之方案I • 個資法三大面向: • 適法性、資安、管理缺一不可

  33. 個資法所規範之行為 • 蒐集:以任何方式取得個人資料。 一、直接向當事人蒐集。 二、間接從第三人取得,包括向他人購買名單。 • 處理:為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。 內部傳送: 公務機關將資料傳送給國外辦事處, 校總區將資料傳送給分部, 總公司將資料傳送給分公司。

  34. 利用:將蒐集之個人資料為處理以外之使用。 • 直接向當事人使用其個人資料,例如對當事人從事行 • 銷。 • 將資料提供當事人以外之第三人。 • 國際傳輸:將個人資料作跨國(境)之處理或利 • 用。 一、向大陸地區傳輸個人資料。(法務部94年08月26日法律字第0940029553號) 二、外國在臺分公司將客戶資料傳遞予外國總公司。(法務部90年04月27日法律決字第014746號)

  35. 個資法基本原則 • 應尊重當事人之權益。 • 應依誠實及信用方法為之。 • 不得逾越特定目的之必要範圍。 • 應與蒐集之目的具有正當合理之關聯。

  36. 合法蒐集及處理之要件 • 蒐集或處理: 應有特定目的。 應符合第15條(公務機關)或第19條(非公務機關)所定之情形。

  37. 特定目的外之利用 • 得為特定目的外之利用之情形: 公務機關:第16條。 非公務機關:第20條。 • 書面同意:當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之書面意思表示。 • 避免特定目的外利用個人資料之同意與其他事項作不當聯結,或被列入定型化契約概括同意條款,特定目的外利用個人資料,應獨立作書面意思表示。

  38. 機關之義務 • 依當事人請求,答覆查詢、提供閱覽或製給複製本。 • 例外不答覆或提供之情形: • 妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益。 • 妨害公務機關執行法定職務。 • 妨害該蒐集機關或第三人之重大利益(如:檔案資料自第三人取得,如應當事人之請求准予查詢、閱覽或製給複製本,將損及保有機關與第三人之協助或信賴關係者,或洩漏資料蒐集者之業務秘密等。)(§10)。 • 機關得酌收必要成本費用。(§14) • 機關受理當事人請求答覆查詢、提供閱覽或製給複製本,應於15日內為准駁之決定;必要時,得延長15日,並應將原因以書面通知請求人。(§13) • 機關拒絕或未於期間內決定時,當事人得提起訴願或訴訟。

  39. 維護個人資料之正確,並主動或依當事人之請求更正或補充之。(§11)維護個人資料之正確,並主動或依當事人之請求更正或補充之。(§11) • 個人資料正確性有爭議者,停止處理或利用(但因執行職務或業務所必須,並註明其爭議或經當事人書面同意者,不在此限)。(§11) • 因可歸責於機關之事由,未為更正或補充之個人資料,於更正或補充後,通知曾提供利用之對象。(§11)

  40. 個人資料蒐集之特定目的消失或期限屆滿時,刪除、停止處理或利用該個人資料(但因執行職務或業務所必須,或經當事人書面同意者,不在此限)。(§11)個人資料蒐集之特定目的消失或期限屆滿時,刪除、停止處理或利用該個人資料(但因執行職務或業務所必須,或經當事人書面同意者,不在此限)。(§11) • 違反本法規定蒐集、處理或利用個人資料,應刪除、停止蒐集、處理或利用該個人資料。(§11)

  41. 公務機關應將下列事項公開於電腦網站,或以其他適當方式供公眾查閱;有變更者亦同:公務機關應將下列事項公開於電腦網站,或以其他適當方式供公眾查閱;有變更者亦同: • 個人資料檔案名稱。 • 保有機關名稱及聯絡方式。 • 個人資料檔案保有之依據及特定目的。 • 個人資料之類別。(§17)

  42. 個資法概析確保符合個資法要求之方案II • 由個資法及施行細則規定所建構之個資責任因子,涵括三大面向要求,可創造民眾、企業法人、法院三贏局面! • 對企業而言:可降低風險,因而勇於投資個資保護(問卷調查結果:82.1%的單位認如有具體標準可依循,將導入例如ISO27001, Dpmark或其他有助遵循個資法規定之制度) • 對法院而言:判斷民事無過失及刑事無刑責標準更具體,可杜絕恐龍之譏 • 對民眾而言:數位時代個資外洩或被侵權,甚難維權,如企業能盡力遵循個資法,民眾之資訊隱私權將受保障、不再受個資外洩之苦 • 可符合個資法三大面向要求之隱私標章或個資稽核

  43. 公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毁損、滅失或洩漏。(§18)公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毁損、滅失或洩漏。(§18) • 非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毁損、滅失或洩漏。中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。(§27)

  44. 機關受理當事人請求答覆查詢、提供閱覽或製給複製本,應於15日內為准駁之決定;必要時,得延長15日,並應將原因以書面通知請求人。(§13)機關受理當事人請求答覆查詢、提供閱覽或製給複製本,應於15日內為准駁之決定;必要時,得延長15日,並應將原因以書面通知請求人。(§13) • 機關受理當事人請求更正、補充、請求刪除、停止蒐集、處理或利用其個人資料,應於30日內,為准駁之決定;必要時,得延長30日,並應將原因以書面通知請求人。 (§13) • 機關拒絕或未於期間內決定時,當事人得提起訴願或訴訟。

  45. 合理使用範圍

More Related