中小企業如何因應個人資料保護法law.moeasmea.gov.tw › upload ›...

1

中小企業如何因應個人資料保護法

報告人︰郭清寶律師學歷︰華東政法大學法學博士2008/ 中山大學企管碩士2001/

華東政法學院法學碩士1997/臺灣大學法學士1989

經歷︰中國國際經貿仲裁委員會（CIETAC）台籍仲裁員/

鄭州仲裁委員會台籍仲裁員 / 臺灣仲裁協會仲裁人

行政院陸委會台商張老師 / 經濟部榮譽諮詢律師/

中山大學推廣教育中心講師/樹德科大/義守大學兼任講師/

國際青年商會世界副主席 2007 JCI VICE PRESIDENT

現任職務︰理維國際法律事務所合夥人/專利代理人 /高雄律師公會理事

ADD 80147台灣高雄市前金區中正四路235號8樓之5

TEL 886- 7-2810909 FAX 886-7-2810707

EMAIL [email protected] [email protected]

http// www.legalway.com.tw 資料如有引用僅供研究及教學使用2011/4/12

mailto:[email protected]:[email protected]://www.legalway.com.tw/

2

故事開啟

99年5月公告之新版個資法第28條—

公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但損害因天災、事變或其他不可抗力所致者，不在此限。被害人雖非財產上之損害，亦得請求賠償相當之金額；其名譽被侵害者，並得請求為回復名譽之適當處分。

依前二項情形，如被害人不易或不能證明其實際損害額時，得請求法院依侵害情節，以每人每一事件新臺幣五百元以上二萬元以下計算。

個資法第29條：非公務機關之損賠規定適用公務機關方式

3


試問『個人資料』的價值？一個存有個資的小小隨身碟＝台北帝寶豪宅

假設每筆求償金額為10,000元台幣。若有20,000筆資料遭竊或不慎外洩，求償金額將可達10,000x20,000= 200,000,000（台幣2億元）也尌是2萬筆個人資料的價值，約等於台北市帝寶豪宅一棟

遽聞：台灣富豪珍藏的台北帝寶豪宅，每戶至少價值台幣1.5 -2億以

上，一支USB隨身碟，至少可儲存個資檔案數萬至數百萬筆姑且不論資料本身的附加價值，僅幾萬筆個資洩漏所造成的

損害賠償金額，尌可能等同於1棟帝寶豪宅市價。

4


從2010年聖誕夜的台大學生「中指蕭」，網友憤慨地以眾人集體之力量，在短短的數小時內，將其個人身分逐步浮現，甚至連其父母之背景都查悉，「人肉搜索」成為許多網友熱心關切的話題。

2011年新竹市爆發校外霸凌事件，網友氣憤展開人肉搜索，要把施暴者全部抓出來，不過被網友稱「象腿幫」的霸凌成員在臉書上向20萬名網友嗆聲，不要再傳送，否則依刑事責任移送法辦。

5


另外，在各大網路帄台，經常流傳許多民眾透過行車記錄器、街頭或店家攝影機、手機、相機等隨機拍下的不當及違法行為的視訊，借由上傳影像，呼籲尋找肇事者，竊賊等，無外乎訴諸網友以尋求人、尋物等幫助，借以發現真相或是喚起公義及同仇敵愾。然而，個人在網路上涉及他人個人資料利用的行為，可能有觸犯個人資料保護法。

而這些個人資料有者自公務機關，有者是非公務機關所流出，到底該如何尊重隱私？公共利益如何兼顧？程序爭議及公義如何拿捏？企業主如何防範員工之行為？

6


1.個人資料保護法之立法目的及宗旨

2.個人資料保護法之基本內涵

3.個人資料保護法99年修正之主要精神

4.個人資料保護法與其相關法律之連動關係

5.中小企業如何因應（代結論）

個人資料保護法條文990526.doc

7


1.個人資料保護法之立法目的及宗旨

1.1為規範個人資料之蒐集、處理及利用，以

避免人格權受侵害

1.2並促進個人資料之合理利用，特制定本法

8

個人資料保護法（56條）

人

• 公務機關

• 非公務機關（含個人）

事

• 個人資料蒐集、處理及利用「個人資料自主決定權」

• 安全維護義務

合理利用

時

• 電腦處理個人資料法（立法：84/8/11）

• 個人資料處理法（修正：99/5/26）

地

• 屬地原則（§41，§42）

• 保護原則＋世界原則（§43）

物

• 第一章：總則

• 第二章：公務機關對個人資料之蒐集、處理及利用

• 第三章：非公務機關對個人資料之蒐集、處理及利用

• 第四章：損害賠償及團體訴訟

• 第五章：罰則

• 第六章：附責

9


蒐集：指以任何方式取得個人資料。

處理：指為建立或利用個人資料檔案所謂資料

之紀錄、輸入、儲存、編輯、更正、複

製、檢索、刪除、輸出、連結或內部傳

送。

利用：指將蒐集之個人資料為處理之外之使用。

10

個人資料保護法之立法目的及宗旨

個人資料保護的基本原則：為規範個人資料之蒐集、處理及利用，以避免人格權受侵害，並促進個人資料之合理利用，特制定本法。

規範行為：蒐集、電腦處理、利用

規範對象：

公務機關

非公務機關

11


「個人資料自主決定權」(資訊自主權)

「安全維護義務」

「合理利用」

12


「個人資料自主決定權」之權利內函第3條

當事人尌其個人資料依本法規定行使之左列權利，

不得預先拋棄或以特約限制之：

一查詢及請求閱覽。

二請求製給複製本。

三請求補充或更正。

四請求停止電腦處理及利用。

五請求刪除。

13


「個人資料自主決定權」之整體行為義務有：

1、給予個資之請求權(第3條)

2、被明確告知及同意(第8條)

3、尊重及符合比例性之個資運用(第5條)

4、正確使用個人資料(第11條)

5、安全維護義務(第18條)

14


資訊自主權的功能演化及基本原則：限制蒐集原則/個資迴避原則/

目的明確原則/目的公開原則/

限制利用原則/安全維護原則/

責任追償原則/內容完整原則/

資料品質原則

參考

法務部個人資料保護法種子教師研習會課程/ 廖緯民博士/2010年11月

15


資訊自主權之調整：

1告知/同意義務之免除或減輕

2免予個資請求權

3特定目的外之利用

法定要式行為涉及大眾時，在演變成為

定型化契約條款之效力及適用。

16


特定目的外之利用：第16條

公務機關對個人資料之利用，除第六條第一項所規定資料外，

應於執行法定職務必要範圍內為之，並與蒐集之特定目的相符。

但有下列情形之一者，得為特定目的外之利用：

一、法律明文規定。

二、為維護國家安全或增進公共利益。

三、為免除當事人之生命、身體、自由或財產上之危險。

四、為防止他人權益之重大危害。

五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。

六、有利於當事人權益。

七、經當事人書面同意。

17


第20條

非公務機關對個人資料之利用，除第六條第一項所規定資料

外，應於蒐集之特定目的必要範圍內為之。但有下列情形

之一者，得為特定目的外之利用：

一、法律明文規定。

二、為增進公共利益。

三、為免除當事人之生命、身體、自由或財產上之危險。

四、為防止他人權益之重大危害。

五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必

要，且資料經過提供者處理後或蒐集者依其揭露方式無從識別特

定之當事人。

六、經當事人書面同意。

18


2.個人資料保護法之基本內涵

2.1總則篇人之權利vs公共利益

2.2公務機關對個人資料之蒐集、處理及利用

2.3非公務機關對個人資料之蒐集、處理及利用

2.4損害賠償及團體訴訟

2.5 罰則刑事處罰及行政處罰

19

中小企業如何因應個人資料保護法(BY 郭清寶)

罰則刑事處罰及行政處罰

公務機關對個人資料之蒐集、

處理及利用

總則篇人之權利vs公共利益

非公務機關對個人資料之蒐集、處

理及利用

損害賠償及團體訴訟

(協調)

(協調) (協調)(協調)

20


3.個人資料保護法99年修正之主要精神（參照修法對照及說明）

3.1保護客體，不再以經電腦處理之個人資料為限

3.2本法規範行為除個人資料之處理外，將擴及至包括蒐集及利用行為

3.3，除現行條文例示之日常生活中經常被蒐集、處理及利用之個人資料外，另增加護照號碼、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式等個人資料，以補充說明個人資料之性質

21



3.4由於執行公務爾後將不限中央或地方機關，行政法人之組織型態亦將成為其中之一，爰將現行條文第六款公務機關之定義，納入行政法人，以期周全

3.5為避免資料蒐集者巧立名目或理由，任意的蒐集、處理或利用個人資料，爰明定個人資料之蒐集、處理或利用，應與蒐集之目的有正當合理之關聯，不得與其他目的作不當之聯結（§5）。

22



3.6經審酌我國國情與民眾之認知，爰規定有關醫療、基因、性生活、健康檢查及犯罪前

科等五類個人資料，其蒐集、處理或利用應較

一般個人資料更為嚴格，須符合所列要件，

始得為之，以加強保護個人之隱私權益。又所

稱「性生活」包括性取向等相關事項，併予敘

明。

23



3.7另為避免該特定目的外利用個人資料之同意與其他事項作不當聯結，或被列入定型化契約之約定條款中被概括同意，而不利於當事人，特規定關於特定目的外利用其個人資料之書面同意，應獨立作書面意思表示，以保護當事人之權益（7）

24



3.8大眾傳播業者基於新聞報導之目的而蒐集個人資料。非由當事人提供之個人資料，無須於處理或利用前，向當事人告知個人資料來源

3.9「有‧‧‧之虞」屬不確定法律概念，為免適用上發生疑義，爰刪除「之虞」二字。

25



3.10明定對於違法蒐集、處理或利用之個人資料，應主動或依當事人之請求，刪除、停止蒐集、處理或利用該個人資料，以加強保護當事人之權益

26



3.11規定公務機關或非公務機關所蒐集之個人資料被竊取、洩漏、竄改或遭其他方式之侵害時，應立即查明事實，以適當方式（例如：人數不多者，得以電話、信函方式通知；人數眾多者，得以公告請當事人上網或電話查詢等），迅速通知當事人，讓其知曉。

27



3.12為促進資料合理利用，以統計或學術研究為目的，應得准許特定目的外利用個人資料，惟為避免寬濫，爰限制公務機關或學術研究機構基於公共利益且有必要，始得為之。另該用於統計或學術研究之個人資料，經處理或依其揭露方式，應無從再識別特定當事人，始足保障當事人之權益（16）

28



3.13查現今社會中個人資料已為各個行業不可或缺之資訊，上至銀行、電信公司，下至私人診所、錄影帶店均會蒐集顧客之個人資料並建立檔案，成為經營該業務重要之一環。由於各個行業均有其目的事業主管機關，有屬中央者，有屬地方者，而個人資料之蒐集、處理或利用，與該事業之經營關係密切，應屬該事業之附屬業務，自宜由原各該主管機關，一併監督管理與其業務相關之個人資料保護事項，較為妥適

29


3.個人資料保護法99年修正之主要精神 3.14檢查人員發現有涉嫌違法情形，如將所有儲存媒介物

設備予以查扣，恐有違比例原則，爰於第二項規定，檢查時發現得沒入或可為證據之個人資料或檔案，得予扣留或複製。此外，以電腦儲存之資料檔案，其消磁、刪除或移轉非常快速，如檢查時未能即時扣留或複製，該違法資料或證據極易被湮滅或消除，爰明定檢查機關得要求應扣留或複製物之所有人、持有人或保管人提出或交付，且於遇有無正當理由拒絕提出、交付或抗拒扣留或複製者，得強制為之，但應採取對該非公務機關權益損害最少之方法，以避免違反比例原則，例如：得複製檔案時，即無需予以扣留

30


3.個人資料保護法99年修正之主要精神 3.15當事人或物之所有人、持有人、保管人、利害關係人

，對檢查或扣留、複製資料檔案行為認有違法或不當時，應有表示不服聲明異議之權利，以為救濟

3.16定當事人等對於聲明異議之決定不服時，僅得於對該案件之實體決定聲明不服時一併聲明之，不得單獨提起救濟；至於當事人等依法不得對該案件之實體決定聲明不服時，則可單獨對第一項之檢查、扣留、複製或其他強制行為，逕行提起行政訴訟，以保障其權利。

31



3.17現今公務機關或非公務機關蒐集、處理、利用或國際傳輸個人資料之情形日漸普遍，為加重個人資料蒐集者或持有者之責任，促其重視維護個人資料檔案安全之措施，並使被害人能受到較高額度之賠償，爰修正第四項規定，將賠償總額新臺幣二千萬元之限制，提高為新臺幣五千萬元

32



3.18鼓勵民間公益團體能參與個人資料之保護並方便被害民眾行使本法規定之損害賠償請求權，爰於本章增訂團體訴訟相關規定，期能發揮民間團體力量，共同推動個人資料保護工作。

3.19修正主觀構成要件，不具營利意圖者，亦構成犯罪。（40）

33


3.20違法侵害個人資料之行為，並不限於在我國境內始足為之，為強化對個人資料之保護，爰增定本條規定。

3.21鑑於刑法第三百六十一條與刑法第三百六十三條規定，攻擊公務機關電腦或其相關設備係非告訴乃論罪，爰於但書一併規定，對公務機關犯第四十一條之罪者，毋庸告訴乃論，以求一致。


34



3.22非公務機關之代表人、管理人或其他有代表權人，對於該公務機關，本有指揮監督之責，故非公務機關依第四十六條至第四十八條規定受罰鍰之處罰時，該非公務機關之代表人、管理人或其他有代表權人，對該違反本法行為，應視為疏於職責，未盡其防止之義務（包含個人資料應採取適當安全措施之義務），而為指揮監督之疏失，除能證明其已盡防止義務者外，應並受同一額度罰鍰之處罰。

35



3.23非公務機關包括自然人，惟有關自然人為單純個人（例如：社交活動等）或家庭活動（例如：建立親友通訊錄等）而蒐集、處理或利用個人資料，因係屬私生活目的所為，與其職業或業務職掌無關，如納入本法之適用，恐造成民眾之不便亦無必要，爰增訂第一項規定，予以排除。

如時下使用之facebook

36



3.24由於科技之進步與網際網路使用普遍，即使在我國領域外蒐集、處理或利用國人之個人資料，亦非常容易。為防範公務機關或非公務機關在我國領域外違法侵害國人個人資料之隱私權益，以規避法律責任，明定在我國領域外，亦有本法之適用

37



3.25由於本修正條文擴大適用範圍，原本不受本法規範從事個人資料蒐集、處理或利用者，修法後均將適用本法，惟其在本法修正施行前已蒐集完成之個人資料（該等資料大多屬於間接蒐集之情形），雖非違法，惟因當事人均不知資料被蒐集情形，如未給予規範而繼續利用，恐仍會損害當事人權益，是以自宜訂定過渡條款，明定一定期間內應向當事人完成告知，逾期未告知當事人仍處理或利用該資料者，則以違反第九條規定論處，期能兼顧當事人與

資料蒐集者雙方權益。

38



4.1與民法之關係-非公務機關（31）

4.2與刑法之關係

告訴乃論vs非告訴乃論

4.3與營業秘密保護法之關係

4.4與國家賠償法之關係-公務機關（31）

39

中小企業如何因應個人資料保護法 4.個人資料保護法與其相關法律之連動關係 4.1與民法之關係-非公務機關（31）

民法第184 條（獨立侵權行為之責任）

因故意或過失，不法侵害他人之權利者，負損害賠償責任。故意以背於善良風俗之方法，加損害於他人者亦同。

違反保護他人之法律，致生損害於他人者，負賠償責任。但能證明其行為無過失者，不在此限。

乃行為規範之違反，為保護他人之法律(民184II)；個資法未明顯加重責任。

要件：

違反本法規定(即不法蒐集、處理、利用個人資料) 且致生當事人權利(或利益)受有侵害

舉證責任(當事人受有侵害之因果關係)

40



民事責任

第28條

公務機關違反本法規定，致個人資料遭不法蒐集、處理、利

用或其他侵害當事人權利者，負損害賠償責任。但損害因天

災、事變或其他不可抗力所致者，不在此限。

第29條

非公務機關違反本法規定，致個人資料遭不法蒐集、處理、

利用或其他侵害當事人權利者，負損害賠償責任。但能證明

其無故意或過失者，不在此限。

41



4.2與刑法之關係

4.2.1 (入侵電腦或相關設備罪) (無故取得、刪除或變更電磁紀錄罪)(干擾電腦或相關設備罪) (對公務機關電腦犯罪之加重處罰) (製作犯罪使用之電腦程式罪)

4.2.2 電子簽章法

4.2.3告訴乃論vs非告訴乃論

42


刑事責任 ---個人資料保護法第41條

違反第六條第一項、第十五條、第十六條、第十九條

第二十條第一項規定，或中央目的事業主管機關依第二

十一條限制國際傳輸之命令或處分，足生損害於他人者

，處二年以下有期徒刑、拘役或科或併科新臺幣二十萬

元以下罰金。

意圖營利犯前項之罪者，處五年以下有期徒刑，得併科

新臺幣一百萬元以下罰金。

43


刑事責任

第42條

意圖為自己或第三人不法之利益或損害他人之利益，而對於個

人資料檔案為非法變更、刪除或以其他非法方法，致妨害個人

資料檔案之正確而足生損害於他人者，處五年以下有期徒刑、

拘役或科或併科新臺幣一百萬元以下罰金。

比較：刑法第359條(92.6.3 之最新修正)

無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄，致

生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併

科二十萬元以下罰金。

44


資訊安全與加密技術（encryption）

※電子簽章法立法沿革：

電子簽章法【民國90年 11月14日公布施行】

電子簽章法施行細則【民國91年4月10日公布施行】

相關子法與配套措施：如

外國憑證機構許可辦法【民國 91年4月3日經濟部令發布全文】

各機關尌排除電子簽章法適用之公告

各機關適用電子簽章法尌應用技術及程序之特別規定

※性侵害犯罪防治法

※性侵害加害人檔案資料管理及使用辦法

電子簽章法.doc外國憑證機構許可辦法.doc財政部公告排除電子簽章法適用之項目.doc可適用項目範圍行為就其應用技術與程序另為規定.doc性侵害犯罪防治法.doc性侵害加害人檔案資料管理及使用辦法.doc

45


我國刑法的相關修正： 92.6.3 之最新修正

第三十六章妨害電腦使用罪 (第358~363條)

第358條 (入侵電腦或相關設備罪)

無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之

漏洞，而入侵他人之電腦或其相關設備者，處三年以下有期徒刑、拘

役或科或併科十萬元以下罰金。

第359條 (無故取得、刪除或變更電磁紀錄罪)

無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄，致生損害

於公眾或他人者，處五年以下有期徒刑、拘役或科或併科二十萬元以

下罰金。

http://law.moj.gov.tw/Scripts/Query1B.asp?no=1C0000001358http://law.moj.gov.tw/Scripts/Query1B.asp?no=1C0000001359

46


第360條 (干擾電腦或相關設備罪)

無故以電腦程式或其他電磁方式干擾他人電腦或其相關設

備，致生損害於公眾或他人者，處三年以下有期徒刑、拘役

或科或併科十萬元以下罰金。

第361條 (對公務機關電腦犯罪之加重處罰)

對於公務機關之電腦或其相關設備犯前三條之罪者，加重其

刑至二分之一。

第362條 (製作犯罪使用之電腦程式罪)

製作專供犯本章之罪之電腦程式，而供自己或他人犯本章之

罪，致生損害於公眾或他人者，處五年以下有期徒刑、拘役

或科或併科二十萬元以下罰金。

47


第363條 (告訴乃論)

第三百五十八條至第三百六十條之罪，須告訴乃論。

除刑法本身之規範外，其他法律中亦有相關之

刑事處罰規定。

48


網路亂象︰

社交工程，英文為SOCIAL ENGINEERING ，

SOCIAL ENGINEERING IS A WAY FOR CRIMINALS TO GAIN

ACCESS TO YOUR COMPUTER. THE PURPOSE OF SOCIAL

ENGINEERING IS USUALLY TO SECRETLY INSTALL SPYWARE OR

OTHER MALICIOUS SOFTWARE OR TO TRICK YOU INTO HANDING

OVER YOUR PASSWORDS OR OTHER SENSITIVE FINANCIAL

OR PERSONAL INFORMATION.是以影響力或說服力來欺騙他人以獲得

有用的資訊，這是近幾年來網路上慣有的駭客攻擊手法。

例如電影星際終結者(Independence Day)：人類利用外星人舊的太空船

進入外星人的母船內上傳病毒。入侵網絡(Hackers)：利用大型垃圾車收

集的垃圾中，收集並分析目標公司丟棄的文件，來獲得該公司的金融資

料。

49


常見的社交工程攻擊包括︰

（1）電子郵件隱藏電腦病毒；

（2）網路釣魚（Phishing）；

（3）圖片中的惡意程式；

（4）利用即時通散播惡意連結。

50

私法五力之分析 (BY 郭清寶)

契約自由原則（契約自由之修正與限制）

過失責任主義原則

（無過失責任主義）

私法核心人之權利vs公共利益

所有權不可侵原則

（所有權社會化）

誠實信用原則（情事變更原則）

(協調)

(協調) (協調)(協調)

51

東漢許慎所著《說文解字》這樣解析：“灋，刑也。

帄之如水，從水；廌，所以觸不直者去之，從去”。

可見在古代“法”和比它出現更早的“刑”（罪罰也，

從井從刀）是通用的，表明法包含著懲罰的含義。

“法”以水作偏旁，比喻“帄之如水”，代表公帄，是

衡量人們行為是否符合“公帄”這個準繩。“法”字中

的“廌”，傳說是一種頭長獨角，秉性公正的奇獸

（亦作“豸”、“獬豸”），故而“古者決訟，令觸不直”。

這既反映了上古時代盛行神明裁判，又相信法是正

直、正義的準則。因此，“法”尌詞義而言，是“公帄”

地判斷行為的是非、制裁違法行為的依據。

《說文解字》解釋：“灋，刑也，帄之如水，從水；

廌，所以觸不直者去之，從去。”灋是一種神獸，它“性知有罪，有罪觸，無罪則不觸

契約自由原則(契約自由之修正與限制)

52

個人資料保護法A、B、C、D、E

A ：Actor

B：Business

C：Content

D：Default

E：Effect and Escape

53


5. 結論

5.1 書面同意之重要性

5.2 書面同意與定型化契約之關係

5.3 誠信原則及公共利益

5.4 人格權及隱私保護之趨勢

54

感謝聆聽

感謝聆聽

Q＆A

中小企業如何因應個人資料保護法law.moeasmea.gov.tw › upload ›...

Documents