第三章 我國個人資料保護發展歷程
第二節 個人資料保護之立法沿革
31 有學者認為應區分「資訊自決權」與「資訊隱私權」,而釋字第 603 號解釋僅針對資訊自決權 說明。資訊自決保障個人外在行動的自由,資訊隱私責維護個人人格內在形成的彈性空間,即使 資訊自決未受侵害,資訊隱私也不必然就已受保障,故不論國家或私人的資訊作為,原則上都僅 在同時滿足資訊自決權、資訊隱私權與法治國原則下,才具有合法性。邱文聰,從資訊自決與資 訊隱私的概念區分 評「電腦處理個人資料保護法修正草案」的結構性問題,月旦法學雜誌,第 168 期,2009 年 5 月,頁 172-189。
32 李震山,同註 26,頁 49。
33 王澤鑑,同註 27,頁 22。
第一項 從電腦處理個人資料保護法至個人資料保護法
我國於 1995 年 8 月 11 日由總統公布施行「電腦處理個人資料保護法」(下 稱「舊法」),其立法總說明表示,該法之訂定係為配合國家現代化所需與民主先 進國家的立法趨勢,避免人格權受侵害,促進個人資料之合理利用,並參酌「經 濟合作暨發展組織」(OECD)所揭示之保護個人資料八大原則來立法。然而,隨 著時代的演進,於 1995 年至 2010 年期間,個人資料被廣泛運用於各處,各行各 業無不牽涉其中,取得並建立民眾個人資料有如固定流程,為方便經營事業或提 供顧客服務。然而個資開始四處流通、未經同意遭使用之案例層出不窮,社會新 聞屢見不鮮,基於現今社會發展情勢,舊法被認為已不合時宜,無論是其僅規範 八大類非公務機關之行業,或其僅保護電腦處理之個人資料等多項問題,舊法已 無法實現當初為避免人格權受侵害,使個人資料更加合理利用的初衷。
電腦處理個人資料保護法共 6 章,共 45 條條文,相較現行個人資料保護法,
可歸納出以下四個重點及不足之處:
一、保護客體範圍過於侷限
根據舊法規定,個人資料係指自然人之姓名、出生年月日、身分證統一編號、
特徵、指紋、婚姻、家庭、教育、職業、健康、病歷、財務狀況、社會活動、及 其他足資識別該個人之資料34;電腦處理則指使用電腦或自動化機器為資料之輸 入、儲存、編輯、更正、檢索、刪除、輸出、傳遞或其他處理35。所謂個人,又指 生存之特定或得特定之自然人36,故法人、非法人團體、已死亡之自然人不包括 在內。由此可見,舊法保護客體僅及於電腦處理之個人資料,不保護非經電腦處 理之人工資料,此外根據舊法第 4 條規定資料當事人之權利不可預先拋棄或以特 約限制。
34 參考電腦處理個人資料保護法第 3 條第 1 項。
35 參考電腦處理個人資料保護法第 3 條第 3 項。
36 參考電腦處理個人資料保護法施行細則第 2 條。
二、適用主體中非公務機關範圍過狹
受舊法規範之主體可分為公務機關與非公務機關。公務機關係指依法行使公 權力之中央或地方機關37;至於非公務機關之定義為舊法最為人詬病之處,原因 在於舊法規定非公務機關之範圍過於狹隘,被認為對個人資料保護不周全,僅包 括徵信業及以蒐集或電腦處理個人資料為主要業務之團體或個人、醫院、學校、
電信業、金融業、證券業、保險業及大眾傳播業等「八大類行業」38,至於其他 應受規範之主體,需經法務部會同中央目的事業主管機關指定納入,如:臺北市 產物與人壽保險商業同業公會39、中華民國產物保險商業同業公會及中華民國人 壽保險商業同業公會40等,是以法務部會同中央目的事業主管機關指定的方式列 入適用主體。
三、規範行為不足
舊法並未就個人資料中部份性質較特殊或較具敏感性之資料做特別規定,該 等資料若被濫用可能對當事人造成難以彌補的損害。
其次,舊法第二章及第三章分別對於公務機關及非公務機關之資料蒐集、電 腦處理利用、資料之傳輸、公開、保存、更正等行為進行規範。例如第 7 條規定 公務機關對個人資料之蒐集或電腦處理需有特定目的,並須符合法定規定職掌之 必要範圍內、經當事人書面同意或對當事人權益無侵害之虞等之一原因。至於非 公務機關個人資料之蒐集與電腦處理則根據第 19 條第 1 項規定,非公務機關未 經目的事業主管機關依本法登記與發給執照,就不得為個人資料之蒐集、電腦處 理或國際傳遞及利用。又依同法第 18 條規定,個人資料之蒐集與電腦處理,應 有特定目的,並符合以下原因之一:經當事人書面同意者、與當事人有契約或類 似契約之關係而對當事人權益無侵害之虞者、已公開之資料且無害於當事人之重
37 參考電腦處理個人資料保護法第 3 條第 6 項。
38 參考電腦處理個人資料保護法第 3 條第 7 項。
39 法務部,法律字第 14816 號函,發文日期:民國 86 年 5 月 27 日。
40 法務部,法律字第 000403 號函,發文日期:民國 90 年 8 月 8 日。
大利益者、為學術研究而有必要且無害於當事人之重大利益者、依本法第 3 條第 7 款第 2 目有關之法規及其他法律有特別規定者,方得為之。又依同法第 20 條 規定,申請第 19 條之登記須提出申請書,申請書須載明申請人之姓名、住、居 所,法人或非法人團體,其名稱、主事務所、分事務所或營業所及其代表人或管 理人之姓名、住、居所、個人資料檔案名稱、個人資料檔案保有之特定目的等共 十一項事項,可見舊法對於非公務機關個人資料之蒐集、處理、利用較公務機關 嚴格許多,且因機關別異其處理的理由並不充分。
舊法在告知義務部分,缺乏明確規定,如蒐集時取得當事人書面之同意,特 定目的外使用個人資料時之書面同意,關於告知義務的踐行及告知內容,不可僅 取得概括同意的內涵未在舊法中顯現。除此之外,舊法並未區別直接蒐集、間接 蒐集行為,且蒐集、處理、利用非由當事人提供之個人資料的行為舊法漏未提及。
四、違法責任較輕
針對違反電腦處理個人資料保護法之民事賠償責任、刑事責任、行政責任,
規定在舊法第四章與第五章中。於損害賠償責任的部分,公務機關與非公務機關 均負無過失責任41,非公務機關得舉證免責。損害賠償總額以每人每一事件新臺 幣 2 萬元以上 10 萬元以下計算;若係基於同一原因事實對當事人負責,當事人 最高可請求 2000 萬元42。基於有損害即有賠償之法理,在當事人得舉證自己所受 之損害額時,不限制當事人得請求的損害賠償金額的上下限;又現今蒐集、處理、
利用、傳輸個人資料的情形非常普遍,大量的個人資料隱含之金錢利益不容小覷,
合計以最高總額新臺幣 2000 萬元為限似乎過低,在大量被害人之個資受侵害的 案件中,將壓縮各被害人所能得到的賠償金額,實務操作計算上亦可能產生困難;
且假若所涉利益遠大於新臺幣 2000 萬元,實難想像以其為上限之舊法違法責任 規定能對行為人產生約束力。
41 參考電腦處理個人資料保護法第 27 條、第 28 條。
42 參考電腦處理個人資料保護法第 27 條第 4 項。
此外,舊法定有意圖營利、意圖為自己或第三人不法利益或損害他人利益非 法變更刪除他人個人資料之刑事責任43,縱上開法律的適用主體為公務機關或非 公務機關,仍科與實際違法之自然人刑事責任,對非公務機關之負責人科與行政 責任44。然而若主觀上不具營利意圖違反舊法第 7 條、第 8 條、第 18 條、第 19 條第 1 項、第 2 項等條者即不構成犯罪,這樣是否仍能達到保護個人資料之目的 值得討論。
第二項 現行個人資料保護法規範重點
除前揭舊法已存之缺失與不足之處,為配合社會環境的急速變遷,加強保護 個人隱私資料,法務部曾多次舉辦公聽會,邀請各方專家學者,針對現行法缺失 和修法建議提出意見,從而促成「個人資料保護法」的誕生,2010 年 4 月 27 日 三讀通過,並於同年 5 月 26 日經總統公布生效。根據電腦處理個人資料保護法 修正草案總說明,電腦處理個人資料保護法將更名為「個人資料保護法」,其中 修正要點包含擴大保護客體、普遍適用主體、增修行為規範、強化行政監督、促 進民眾參與、調整責任內涵、配合增修條文等各項。然而,由於個資法新增修之 規範內容非常多,故本段落係針對與本研究相關之規範和重點作說明,共六點,
方便與後章節相互對照。
一、個人資料定義的擴展
過去非經電腦處理之資料,僅得依民事侵權行為而請求損害賠償。有論者提 出如醫院洩漏之資料為紙本病歷,則非個人資料而受不保護?又若自然人之照片 遭不當濫用,還需檢視該照片係傳統紙張相片亦或數位相機拍攝45?實屬荒謬。
故為完整實現對個人隱私資料之保護,新個資法將客體予以擴大,不再以經電腦
43 參考電腦處理個人資料保護法第 33 條、第 34 條。
44 參考電腦處理個人資料保護法第 38 條、第 39 條、第 40 條。
45 劉佐國,我國個人資料隱私權益之保護-論「電腦處理個人資料保護法」之立法與修法過程,
律師雜誌,第 307 期,2005 年 4 月,頁 44。
處理之個人資料為限。(參照個資法第 1 條、第 2 條第 2 款、第 4 款)
除此之外,新修個資法又將個人資料區分為「一般資料」與「特種個資」, 所謂「一般資料」,根據第 2 條第 1 款包含:「自然人之姓名、出生年月日、國民 身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、聯 絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料」。 至於「有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料」另於
除此之外,新修個資法又將個人資料區分為「一般資料」與「特種個資」, 所謂「一般資料」,根據第 2 條第 1 款包含:「自然人之姓名、出生年月日、國民 身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、聯 絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料」。 至於「有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料」另於