如何看懂新版個人資料保護法施行細則

作者/簡順堂

前言 為因應亞太營運中心之需要,1995年7月12日我國立法院三讀通過「電腦處理個人資料保護法」,同年8月11日總統明令公布直接施行,而施行細則由法務部於1996年5月1日訂定公布。施行細則訂定期間歷時約九個半月,因為電腦處理個人資料保護法立法的倉促,在立法院網站上也公告著:「因該法規範之行政程序過於繁瑣,部份條文內容語意不明,且因其同時規範公務機關與非公務機關之要件與程序亦有不平衡之處,使該法之執行遭遇許多困難及不便。」因此,有人說細則是法轉彎的地方,有細則才讓這個電腦處理個人資料保護法勉強可以執行。 新修訂的「個人資料保護法」(以下簡稱個資法)在2010年4月27日立法院三讀通過,並於同年5月26日總統明令公告法案,但是尚未施行,因為這次要等施行細則修訂完成後再施行。法務部自2010年6月就在北中南東各地召開公聽會,徵集各方對於新個資法不確定法律概念的意見,而各部會對於新個資法的回覆意見也是相當緩慢的。 相信一方面是新個資法影響層面太大,需要更多的時間來網羅各界意見,另一方面則是考量政府機關與企業界對新個資法施行後的衝擊因應能力與速度。施行細則的修正速度,在全國如火如荼的宣導新個資法與各界針對這個新法不斷的檢討議論聲中,匆匆的一年半就過去了,法務部終於在2011年10月27日公布新版個資法施行細則修正草案(以下簡稱細則)。對照「電腦處理個人資料保護法」的倉促立法與施行,這次的立法真的算是很慎重了。 但是我們的「個人資料保護法」還沒開始上路,施行細則修正草案預告期間自2011年10月27日至11月9日共14天,社會各界已經就修法內容表達意見或提供修正建議,而法務部在彙整後,將會重新檢視與討論草案內容並定稿,希望能在年底前送交行政院審查,行政院審查完畢後將決定個資法正式施行的時間。 統計新個資法施行細則修正條文十六條、增訂十二條、刪除三十一條,共修正五十九條,以下筆者僅針對施行細則修正草案的內容重點,用比較淺顯的文字加以說明,以使讀者更易於瞭解,且更容易找到適用的解決方案加以因應: 個人資料保護法施行細則修正重點 施行細則的修正重點,筆者歸納出七個項目,分述如下: 一、提出間接識別個人資料的判斷標準 個資法對於個人資料的定義包含了「其他得以直接或間接方式識別該個人之資料」,直接方式識別大家應該比較沒有爭議,那甚麼是間接方式識別呢? 細則幫忙定義為指那些單獨只看這些資料不能識別,必須跟其他資料對照、組合、連結,而可以獲得識別特定個人的資料,就屬於間接方式識別。也就是為了保護個人資料,有些資料雖然沒有直接指名道姓,但是一被揭露經過交叉比對或組合就可以識別為某一特定人士的話,就是可以間接方式識別的個人資料了。 另一方面細則也提供了間接識別的例外原則,就是當比對資料有困難,需要耗費過鉅或耗時過久,這樣就屬於技術上太複雜及經濟上的不可行,應屬於無法識別的個人資料。 二、釐清特種個資之分類 個資法第六條指出有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。這五種資料大家一般稱為特種個資,在第二條個人資料的定義中尚包含病歷,但病歷卻沒有在第六條中被納入,而且病歷、醫療和健康檢查等感覺有很多的相關聯性,如何劃分呢?大家應該很容易搞不清楚。 因此,細則特別詳列了衛生署對這些名詞的定義,以釐清特種個資的分類跟內容。簡單來說病歷是醫師所制作紀錄的;醫療是以治療疾病為目的,所產生的個人資料;非屬疾病治療的診察行為則是健康檢查。 另外細則也定義犯罪前科係指經緩起訴、職權不起訴或法院判決有罪確定的紀錄資料。 三、增訂個人資料檔案包括軌跡資料 細則第五條說明新個資法所稱個人資料檔案,包括了備份檔案及軌跡資料。其中備份檔案在舊細則中即已提出,這次增訂了軌跡資料。法務部在說明中亦定義軌跡資料,係指個人資料在蒐集、處理、利用過程中所產生非屬於原蒐集個資本體之衍生資訊(LOG FILES),包括(但不限於)資料存取人代號、存取時間、使用設備代號、網路位址(IP)、經過之網路路徑等,可用於比對、查證資料存取之適當性。 四、說明委託機關之權責與管理方式 細則第七條提到當事人行使個資法的權利時,應該以委託機關為對象,和舊法第十一條所提完全相同。只是第八條就特別強調與律定,委託他人蒐集、處理或利用個人資料之全部或一部時,委託人應對受託人作適當的監督。監督至少應包含下列事項:
  • 預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。
  • 受託人就第九條第二項應採取之必要措施。
  • 有複委託者,其約定之受託人。
  • 受託人或其受僱人違反個人資料保護法規或委託契約條款時,應向委託人通知之事項及採行之補救措施。
  • 委託人對受託人保留指示之事項。
  • 委託關係終止或解除時,個人資料載體之返還,及儲存於受託人持有個人資料之刪除。
上述的監督,委託人應定期確認受託人執行的狀況,負到監督的責任,並將確認結果記錄下來。而且受託人僅得於委託人指示的範圍內,蒐集、處理或利用個人資料。受託人如果認為委託人的指示有違反個資法或基於個資法所發布的命令規定,應該立即通知委託人。 五、條列出適當安全維護之措施 細則第九條定義適當安全維護措施、安全維護事項或適當之安全措施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之必要措施。並且列出適當安全維護措施應該包括下列十一個事項,以下以戴明PDCA品質循環來區分,因為文字相當淺顯不另做說明:
  • Plan 1.成立管理組織,配置相當資源。 2.界定個人資料之範圍。 3.個人資料之風險評估及管理機制。 4.事故之預防、通報及應變機制。
  • Do 5.個人資料蒐集、處理及利用之內部管理程序。 6.資料安全管理及人員管理。 7.認知宣導及教育訓練。 8.設備安全管理。
  • Check 9.資料安全稽核機制。 10.必要之使用紀錄、軌跡資料及證據之保存。
  • Action 11.個人資料安全維護之整體持續改善。
細則在本條中並且說明,執行上述必要措施所需費用與保護目的,以符合適當比例為限。這點出了我們執行個資防護的規模大小一個參考依據。 六、擴充書面同意之行使方式 細則第十一條指出個資法第七條所定書面意思表示的方式,如果其內容可以完整呈現,並可於日後取出供查驗者,經蒐集者及當事人同意,得以電子文件為之。這條文和電子簽章法第四條是相同的描述,相信電子簽章法的實際執行方式將是後續我們關注的重點。 細則第十二條指出個資法第七條第二項所定單獨所為之書面意思表示,如係與其他意思表示於同一書面為之者,應於適當位置使當事人得以知悉其內容後並確認同意。這表示我們應該讓相關應告知事項,在我們的書面意思表示介面中清楚呈現,不要躲在小角落,或是用很小的字體,造成躲避的嫌疑。並且要有讓當事人確認同意的機制設計,可以作為當事人確實有同意之證據使用。 七、說明告知義務之行使方式 細則第十三條提及個資法第八條、第九條及第五十四條所定告知的方式,得以書面、電話、傳真、電子文件或其他適當方式為之。 上述七點,是筆者認為細則修正草案中重要的七個議題,並沒有包含全部的條款,若有完整法條需求仍應詳閱草案全文。 參考資料 1.電腦處理個人資料保護法施行細則(1996年5月1日) 2.個人資料保護法(2010年5月26日) 3.個人資料保護法施行細則修正草案(2011年10月27日)