第五章 我國銀行國際傳輸保護規範 我國銀行國際傳輸保護規範 我國銀行國際傳輸保護規範 我國銀行國際傳輸保護規範
第一節 個人資料保護法 個人資料保護法 個人資料保護法 個人資料保護法
第一項 第一項第一項
第一項 制訂背景及修正制訂背景及修正制訂背景及修正緣制訂背景及修正緣緣由緣由由 由
我國現行個人資料保護之基本規範以 84 年 8 月 11 日公布訂定之
「電腦處理個人資料保護法」為主,該法主要規範公務及非公務機關以 電腦處理個人資料之行為,包括個人資料之蒐集、處理及利用,惟在該 法下之保護客體僅限於經電腦處理之個人資料,並訂有行業別適用之限 制規定。
隨著資訊科技及網際網路之快速發展,個人資料被蒐集、處理及利 用之情形大幅增加,對個人隱私造成影響,為因應社會發展及迎接個人 資料保護全球化時代之來臨,立法院於 99 年 4 月 27 日三讀通過「電腦 處理個人資料保護法」修正案,並更名為「個人資料保護法」(以下簡 稱新法),新法主要參考 1995 年歐盟指令、德國聯邦個人資料保護法、
奧地利聯邦個人資料保護法、日本個人資訊保護法等國之立法例,強化 個人資料之揭露、查詢及更正等自主控制,並將「亞太經濟合作論壇
(APEC)隱私保護網領」揭示之預防損害、告知、蒐集限制等原則納 入規範,同時令各目的事業主管機關應積極履行其法定監督職責,以確 實防止個人資料之外洩141。
新法修正重點包括(一)將個人資料之保護客體擴大至所有個人資 料(含電腦處理及人工紙本之個人資料),將適用主體擴大至所有法人、
團體及個人,並刪除行業別適用之限制規定;(二)為兼顧「個人隱私」
與「新聞自由」之平衡,對於大眾傳播業者因於新聞報導之公益目的而 蒐集之個人資料,免得告知當事人;(三)臉書、部落格等張貼有他人合 影之照片行為,屬於社交活動或家庭生活之目的範圍內,得排除適用個
141 依據「個人資料保護法」第 56 條修正說明,由於本次修正涉及擴大適用範圍、民間業者需相
當時間調整與準備及相關法規亦需配合增修,包括個人資料保護法施行細則之訂定等,故本次修 正後規定之施行日期,將由行政院另定。請參考 2010 年 4 月 27 日法務部新聞稿及「電腦處理個 人資料保護法」修正條文對照表。
人資料保護法,回歸民法;(四)提高違反個人資料保護法之民、刑事及 行政責任;(五)明定對於醫療、基因、罪犯前科等個人資料(即特種資 料或敏感性資料)須在符合法律明文規定之嚴格條件下,始得蒐集、處 理及利用;(六)利用個人資料於商品行銷者,應於首次行銷時,提供當 事人表示拒絕接受行銷之權利。
第二項第二項第二項
第二項 國際傳輸相關規國際傳輸相關規國際傳輸相關規範國際傳輸相關規範範 範
由於修正後之個人資料保護法目前尚未正式施行,故以下將分別說 明現行適用之「電腦處理個人資料保護法」(舊個資法)及修正後「個 人資料保護法」(新個資法)有關國際傳輸個人資料之相關規定。
一一
一一、、、、電腦處理個人資料保護法電腦處理個人資料保護法電腦處理個人資料保護法電腦處理個人資料保護法
現行法計分為六章,第一章為總則、第二章為公務機關之資料 處理、第三章為非公務機關之資料處理、第四章為損害賠償及其他 救濟、第五章為罰則及第六章為附則,其中涉及國際傳遞之規定如 下:
(一)公務機關將個人資料之國際傳遞及利用,應依相關法令為之
(第 9 條)。
(二)非公務機關未經目的事業主管機關依法登記並發給執照 者,不得為個人資料之蒐集、電腦處理或國際傳遞及利用(第 19 條第 1 項)。
(三)非公務機關為國際傳遞及利用個人資料,有下列情形者,目 的事業主管機關得為限制之規定,包括涉及國家重大利益 者、國際條約或協定有特別規定者、接受國對於個人資料之 保護未有完善之法令,致有損當事人權益之虞者,及以迂迴 方法向第三國傳遞及利用個人資料規避本法者(第 24 條
142)。該條規定主要參考歐洲議會發布之保護個人資料自動 化處理公約第三章第 12 條143及英國法第 4 條及第 12 條144之 立法例,考量資訊跨界流通,如有危害公益或私益之情形 時,為避免損益當事人之權益,故授權主管機關得酌情限制 之145。
(四)違反國際傳輸規定之刑罰及行政罰
1、意圖營利違反第 19 條第 1 項或目的事業主管機關依第 24 條所發布之限制命令者,致生損害於他人者,處 2 年以下有 期徒刑、拘役或科或併科新臺幣 4 萬元以下罰金(第 33 條)。 2、非公務機關違反第 19 條第 1 項及違反中央目的事業主管機
關依第 24 條所發布之限制命令者,得處負責人新臺幣 2 萬 元以上,10 萬元以下罰鍰,並令限期改正,逾期未改正者,
按次處罰之,情節重大者,並得撤銷依本法所為之許可或登 記(第 38 條第 1 項第 2 款、第 4 款及第 2 項)。
142 電腦處理個人資料保護法第 24 條所謂國家利益,指關於國家安全、外交、國防、重大經濟利
益等,惟實際運用時,則依具體情形來認定;接受國對於個人資料的保護未有完善法令,致有損 當事人權益之虞者,如 A 國不尊重人權,其對個人資料的保護無完善的法令,故對 A 國為國際 傳遞及利用個人資料,我國政府自得予以限制;另以迂迴方法向第三國傳遞及利用個人資料規避 本法之規定,如我國非公務機關欲傳遞個人資料至 A 國,但因該國家對個人資料之保護尚無完 善之法律,致有損當事人權益之虞,恐遭禁止,非公務機關乃先傳遞至 B 國,再由 B 國傳遞至
A 國等情形。見法務部出版「電腦處理個人資料保護法問答手冊」(上),第 36 頁。
143 依據歐洲議會於 1981 年通過之保護個人資料自動化處理公約第三章「跨國資料傳輸」第 12 條「個人資料跨國傳輸及國內法」規定,當自動化處理或蒐集後以自動化處理之個人資料進行跨 國傳輸時,原則上監理機關不得以個人隱私權保護之單一目的,禁止或限制一方將個人資料跨國 傳輸至另外一方,除非接受國對於個人資料之保護未有完善之法令或資料傳輸之一方意圖以迂迴 方法向第三國(地區)傳輸個人資料以規避上開規定。請參考 Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data no. 108, Chapter III—Transborder data flow, Article 12, available at http://conventions.coe.int/Treaty/en/Treaties/Html/108.htm(last visited November 16, 2011)。
144 依英國 1984 年個人資料保護法第 4 條第 3 項第 E 款規定,若擬將個人資料傳輸至英國以外 之國家或地區時,應將該國家或地區之名稱及相關說明向登記處登錄。見經社法規譯介叢書 028
「資料保護法」,行政院經濟建設委員會健全社法規工作小組,頁 5-6,1988 年 9 月。
145 立法院公報第 84 卷第 46 期院會記錄,1995 年 7 月。
(五)相關解釋函令
電腦處理個人資料保護法發布迄今,法務部針對該法中涉及 國際傳輸相關規定發布之解釋函令甚少,僅以下二則:
1、個人資料傳輸至大陸地區是否為國際傳輸
依法務部 94 年 8 月 26 日法律字第 0940029553 號函規定,
按非公務機關對個人資料之國際傳遞,依電腦處理個人資料保 護法第 19 條第 1 項規定,非經目的事業主管機關登記並發給 執照者,不得為之;國際傳遞規定之立法目的係為落實個人資 料之保障,避免跨境個人資料流通失控,故就我國政府法律權 限未及地域之跨境傳遞予以規範管理。因此,公務或非公務機 關將個人資料傳輸至我國法權未及之地域,即屬該法所稱之
「國際傳遞」,從而向大陸地區傳輸個人資料,自為該法所定 之「國際傳遞」。
2、外國在台分公司將其持有之客戶個人資料傳遞至外國本公 司,是否違反電腦處理個人資料保護法
依法務部 90 年 4 月 27 日法律決字第 014746 號函,電腦 處理個人資料保護法第 23 條規定:「非公務機關對個人資料 之利用,應於蒐集之特定目的必要範圍內為之。但有左列情形 之一者,得為特定目的外之利用:(一)為增進公共利益者。(二) 為免除當事人之生命、身體、自由或財產上之急迫危險者。(三) 為防止他人權益之重大危害而有必要者。(四)經當事人書面同 意者。」又該法第 3 條第 5 款就「利用」乙詞已明文規定,係 指公務機關或非公務機關將其保有之個人資料檔案為內部使 用或提供當事人以外之第三人。依上開意旨,保險公司將其保 有之保戶保險資料提供外國人之本公司(總公司),符合上開 第 23 條規定自得為之。
至於非公務機關為個人資料之國際傳遞,依該法第 19 條 第 1 項規定,非經目的事業主管機關登記並發給執照者,不得 為之,故該公司既已向目的事業主管機關登記並取得執照,依 上開規定自得為國際傳遞。
二 二 二
二、、、、個人個人個人個人資料資料資料保護法資料保護法保護法 保護法
新法計分為六章,第一章為總則、第二章為公務機關對個人資 料之蒐集、處理、及利用、第三章為非公務機關對個人資料之蒐集、
處理及利用、第四章為損害賠償及團體訴訟、第五章為罰則及第六 章為附則,其中涉及國際傳輸之規定如下:
(一)明定國際傳輸之定義:指將個人資料作跨國(境)之處理或 利用。依該款立法說明,國際傳輸之範圍包括機關內部之資 料傳送(屬資料處理),如總公司將資料傳送給分公司、公 務機關將資料傳送給國外辦處事處,或將資料提供予當事人 以外之第三人(屬資料利用),如母公司將資料提供予子公 司或他公司、公務機關將資料傳送給他公務機關等情形,均 屬之。(第 2 條第 6 款)
(一)明定國際傳輸之定義:指將個人資料作跨國(境)之處理或 利用。依該款立法說明,國際傳輸之範圍包括機關內部之資 料傳送(屬資料處理),如總公司將資料傳送給分公司、公 務機關將資料傳送給國外辦處事處,或將資料提供予當事人 以外之第三人(屬資料利用),如母公司將資料提供予子公 司或他公司、公務機關將資料傳送給他公務機關等情形,均 屬之。(第 2 條第 6 款)