第四章 我國求職者的個人資訊保障
第一節 個人資料保護法
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
121
第四章 我國求職者的個人資訊保障
我國求職者的個人資訊保障,在憲法位階有「資訊隱私權」的庇護;在法律 位階,有個人資料保護法(簡稱個資法)與就業服務法(簡稱就服法)第 5 條第 2 項第 2 款作為基本規範,相關的特別規定還有職業安全衛生法及保全業法等;
且民法亦允許人民在隱私權或人格權受到侵害時,可請求財產上與非財產上的損 害賠償。
這些規定交織成一張保護人民隱私利益的蛛網,不過,在實務的操作下,是 否足夠堅韌,還是仍有破洞,除第二章介紹過的資訊隱私權,以下將一一述說相 關法規,並蒐集有關裁判,整合、分析我國法制對求職者的個人資訊保障是否尚 有不足,或已對雇主形成過度的限制。
第一節 個人資料保護法
第一項 個資法簡介
第一款 立法沿革
鑑於電腦科技的進步及資訊時代的來臨,訊息的流通已不再受疆域所限,為 保護其中的個人隱私,我國在 1995 年 8 月通過「電腦處理個人資料保護法(簡 稱電資法)」,提供相關的保障。1然而,因為立法當時的資訊科技尚未普及,並 考量到執法的效能,2電資法僅在「公務機關」、非公務機關的「八大行業」3與 主管機關公告的指定事業,4透過「電腦」處理個人資料時,始有適用。
可是,隨著科技的日新月異及網際網路的越發便捷,如今已不僅是資訊時代,
而是資訊爆炸的年代,電資法對個人資料的隱私保障已有不足。行政院幾經研議
1 關於電資法詳細的立法沿革可參李震山,「電腦處理個人資料保護法」之回顧與前瞻,中正法 學集刊,14 期,2003 年 12 月,頁 36-37。
2 參范姜真媺,個人資料自主權之保護與個人資料之合理利用,法學叢刊,57 卷 1 期,2012 年 1 月,頁 71。
3 依電資法第 3 條第 7 款,非公務機關的「八大行業」是指徵信業、醫院、學校、電信業、金融 業、證券業、保險業及大眾傳播業等。
4 如期貨業及財團法人台灣更生保護會等,詳可參財團法人資訊工業策進會科技法律中心,企業 利用個資進行問卷調查涉及問題之分析,2009 年 9 月,網址:https://stli.iii.org.tw/QA-Doc/QA-3.pdf,
最後瀏覽日期:2016 年 5 月 31 日。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
122
下,在 2004 年 8 月提出了電資法修正草案;多番波折後,在 2010 年 4 月獲得立 法院三讀通過,並於同年 5 月由總統公布「個人資料保護法」;之後又經過了 2 年多的緩衝準備期,個資法終於在 2012 年 10 月 1 日以分階段的方式,讓尚存爭 議的第 6 條(特種個人資料的規範)及第 54 條(個資法修正施行前間接蒐集個 人資料的告知義務)先暫緩實施,其餘條文則正式施行。
到了 2015 年 12 月 15 日,立法院三讀通過行政院在個資法分階段施行後另 行提起的修正草案,修正內容包括當時暫緩實施的第 6 條及第 54 條等相關規定,
這部分的規定已由總統在同年 12 月 30 日公布,並於 2016 年 3 月 15 日開始施行。
第二款 特色
新修個資法的特色,主要體現在以下的修正內容:5
1. 適用範圍的擴大:
個資法的規範客體已不限於經「電腦」處理的個人資料,尚含透過其他方式 處理、足以直接或間接識別他人的資料;6但不包括「自然人為單純個人或家庭 活動目的」使用個資的情形,亦不包含「於公開場所或公開活動中所蒐集、處理 或利用之未與其他個人資料結合之影音資料」。7在規範主體部分,個資法已將「公 務機關」與「公務機關以外的自然人、法人或其他團體」全數納入。8
2. 「一般個人資料」與「特種個人資料」的區別:
個資法參考歐盟與德國的立法例,將個人資料區分為「一般個資」與「病歷、
醫療、基因、性生活、健康檢查及犯罪前科」等 6 種「特種個資(或稱敏感性資 料)」,並予後者特別的保護,即:除非例外符合法定要件,否則原則上不可蒐集、
處理或利用之。9
5 本文僅介紹與求職者個人資訊保障相關的重要修正。
6 個資法第 2 條。
7 個資法第 51 條。
8 個資法第 2 條。
9 個資法第 6 條。又,特種個資的具體內涵可參個資法施行細則第 4 條:「(第 1 項)本法第二條 第一款所稱病歷之個人資料,指醫療法第六十七條第二項所列之各款資料。(第 2 項)本法第二 條第一款所稱醫療之個人資料,指病歷及其他由醫師或其他之醫事人員,以治療、矯正、預防人 體疾病、傷害、殘缺為目的,或其他醫學上之正當理由,所為之診察及治療;或基於以上之診察 結果,所為處方、用藥、施術或處置所產生之個人資料。(第 3 項)本法第二條第一款所稱基因
‧
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
124
「書面同意」時,即可蒐集、處理或利用;而暫緩實施的個資法第 6 條則規定,
就「特種個資」即使有當事人的「書面同意」,亦「不可」蒐集、處理或利用。
惟在 2016 年 3 月 15 日全面施行的個資法,為尊重當事人自主控制其個資的權利 以及區別資料的敏感性,上述規定已被修改為:如是「一般個資」,取得當事人
「同意」後,即可蒐集、處理或利用,不再有書面的要式要求;若為「特種個資」, 在有當事人「書面同意」下,亦例外可蒐集、處理或利用。
5. 罰責的加重 :
個資法在民事、14刑事15及行政責任16部分,均有較電資法更嚴厲的規範。在 民事責任,電資法原本規定當事人個資受到不法侵害時,每人每一事件可請求 2 萬元以上 10 萬元以下的損害賠償,且資料蒐集者就同一事件的多數受害人僅須 負 2000 萬元的賠償上限;個資法則規定只有在當事人不易或不能證明其實際損 害時,才須有 500 元以上 2 萬元以下的賠償上限與下限,且為敦促資料蒐集者謹 慎蒐集、處理或利用他人個資,就同一事件的多數受害人必須負 2 億元的賠償上 限,若因此所獲利益超過 2 億,則以所獲利益為上限。
在刑事責任,電資法原本規定「意圖營利」而違反電資法有關資料的蒐集、
處理或利用等規範者,才須遭受刑事制裁(2 年以下有期徒刑、拘役或科或併科 4 萬元以下罰金),且為告訴乃論之罪。2012 年 10 月 1 日分階段施行的個資法,
在第 41 條就前述情形17除有更嚴厲的刑責(5 年以下有期徒刑,得併科 100 萬元 以下罰金),並修改為非告訴乃論之罪外,更規定不具營利意圖者,亦構成犯罪
(2 年以下有期徒刑、拘役或科或併科 20 萬元以下罰金),不過此部分依舊為告 訴乃論之罪。然而,在 2016 年 3 月 15 日全面施行的個資法,立法者就第 41 條 刑事責任的成立卻有了較為緊縮的規範,必須是「意圖為自己或第三人不法之利 益或損害他人之利益」者,始會受到刑事處罰(5 年以下有期徒刑,得併科 100 萬元以下罰金)。18
在行政責任,未依規定蒐集、處理或利用資料者,電資法原本規範主管機關 得處行為人 2 萬元以上 10 萬元以下的罰鍰,並令限期改正,屆期未改正者,可
14 個資法第 28-29 條。
15 個資法第 41 條、第 45 條。
16 個資法第 25 條、第 47-48 條。
17 指有個資法第 6 條第 1 項、第 15 條、第 16 條、第 19 條、第 20 條第 1 項等規定的違反。
18 其餘情形因可非難性較低,依民事損害賠償責任或行政罰解決即可。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
125
按次處罰;個資法則將罰鍰提升為 5 萬元以上 50 萬元以下(第 47 條)。未履行 應盡的告知、通知義務或忽視當事人權利者,電資法本來規定主管機關得處行為 人 1 萬元以上 5 萬元以下的罰鍰,並令限期改正,屆期未改正者,可按次處罰;
個資法則將罰鍰提升為 2 萬元以上 20 萬元以下(第 48 條),且個資法還新增了 罰鍰以外的必要處分,像是主管機關可公布非公務機關的違法情況及其姓名或名 稱與負責人,或是禁止非公務機關蒐集、處理或利用特定個資等(第 25 條)。
第二項 個資法的適用
個資法的立法目的,是為了建立蒐集、處理或利用個資的正當程序與規範,
落實個人自主控制己身資訊的權利,防止人格權遭受不當的侵害。19個資法第 5 條即規定:「個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信 用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之 關聯。」但具體上雇主到底可否及如何蒐集、處理或利用求職者的特定資訊,本 文依個資法對資料種類的區分,也就是「一般個資」與「特種個資」,分別進行 說明,並提出適用上的疑問。
第一款 一般個資的蒐集、處理或利用
第一目 公領域雇主
「公領域」雇主如欲「蒐集或處理」求職者的一般個資,須有特定目的及符 合個資法第 15 條所定的情形。所謂特定目的,資料蒐集者可參考法務部依個資 法第 53 條公告的「個資法之特定目的及個人資料之類別」,而雇主蒐集求職者個 人資訊的特定目的,可參考的項目即為「人事管理(甄選)」。
關於個資法第 15 條所定情況,共有 3 款,分別為「執行法定職務必要範圍 內」、「經當事人同意」及「對當事人權益無侵害」,公領域雇主可主張且較無 疑義的依據應是「執行法定職務必要範圍內」。有關「執行法定職務必要範圍內」
的操作,應特別注意者,什麼是執行「法定職務」20的「必要」範圍,此須觀察
19 參個資法第 1 條及范姜真媺,同前註 2,頁 73。
20 個資法施行細則第 10 條:「本法第六條第一項但書第二款及第五款、第八條第二項第二款及 第三款、第十條但書第二款、第十五條第一款、第十六條所稱法定職務,指於下列法規中所定公
‧
24 歐盟的個資保護工作小組(Article 29 Working Party)在 2011 年,有提出一份針對「當事人同 意」的看法,說明哪些情形應限制、甚或禁止「同意」作為資料的蒐集事由,其中亦論及「當事 人的同意,必須是在沒有欺騙、畏懼、強迫或不同意時將引發顯著負面後果的情形下,始屬有效。… 舉例來說,僱傭關係中因勞方通常會懼怕若不同意雇主的要求,將會受到不利對待,如喪失工作,
24 歐盟的個資保護工作小組(Article 29 Working Party)在 2011 年,有提出一份針對「當事人同 意」的看法,說明哪些情形應限制、甚或禁止「同意」作為資料的蒐集事由,其中亦論及「當事 人的同意,必須是在沒有欺騙、畏懼、強迫或不同意時將引發顯著負面後果的情形下,始屬有效。… 舉例來說,僱傭關係中因勞方通常會懼怕若不同意雇主的要求,將會受到不利對待,如喪失工作,