個資法草案內容說明 128

3.3.1.1 基因資訊屬草案之保護範圍

草案最主要係擴大保護客體，不再以經電腦處理之個人資料為限，並擴 大適用範圍，不以「處理」為限，包括「蒐集」及「利用」，惟仍區分「公 務機關」與「非公務機關」之蒐集、處理與利用，惟非公務機關不再限制行 業別（草案第2 條第 7、8 款）。其中第 1 條修正為：「為規範個人資料之蒐 集、處理及利用，以避免人格權受侵害，並促進個人資料之合理利用，特制 定本法。」

第 2 條修正為：「本法用詞，定義如下：一、個人資料：指自然人之姓 名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家 庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡 方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。

二、個人資料檔案：指依系統建立而得以自動化機器或其他非自動化方式檢 索、整理之個人資料之集合。三、蒐集：指以任何方式取得個人資料。四、

處理：指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、

更正、複製、檢索、刪除、輸出、連結或內部傳送。五、利用：指將蒐集之 個人資料為處理以外之使用。六、國際傳輸：指將個人資料作跨國（境）之 處理或利用。七、公務機關：指依法行使公權力之中央或地方機關或行政法 人。八、非公務機關：指前款以外之自然人、法人或其他團體。九、當事 人：指個人資料之本人。」係增列「護照號碼、醫療、基因、性生活、健康 檢查、犯罪前科、聯絡方式」（原第3 條第 1 款）等七種資料。

雖「基因」與「基因資訊」似非同義，然基因資訊既屬「決定每個人遺 傳訊息及性向表現之基因特徵之 DNA 資料，經由分析、說明後，而可供使

11 日；並參閱前揭註 22 資料。

128 條文內容及修法說明內容來源：前揭註 127。

用、判斷、做出決策的訊息」，本質上即包含基因之遺傳特徵，應得逕認為 草案所增列之「基因」，包括「基因資訊」；且若認為草案第 2 條之「基 因」不包括「基因資訊」，則第 6 條之「基因」便不包括「基因資訊」，然 而，基因資訊既包含基因等遺傳特徵，其保護必要性不遜於「基因」，如僅 保護「基因」而不保護「基因資訊」，則會產生保護上之漏洞。故本文認 為，草案之「基因」，解釋上應包括「基因資訊」。

3.3.1.2 草案對基因資訊保護之修正情形

草案增列第 6 條有關「敏感性資料」之規定：「有關醫療、基因、性生 活、健康檢查及犯罪前科之個人資料，不得蒐集、處理或利用。但有下列情 形之一者，不在此限：一、法律明文規定。二、法律未明文禁止蒐集、處理 或利用，且經當事人書面同意。三、公務機關執行法定職務或非公務機關履 行法定義務所必要。四、當事人自行公開或其他已合法公開之個人資料。

五、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或 學術研究而有必要，且該資料須經過處理後或依其揭露方式，無從識別特定 當事人者為限。」增列之立法理由為：「……二、按個人資料中有部分資料 性質較為特殊或具敏感性，如任意蒐集、處理或利用，恐會造成社會不安或 對 當 事 人 造 成 難 以 彌 補 之 傷 害 。 是 以 ，1995 年 歐 盟 資 料 保 護 指 令

（95/46/EC）、德國聯邦個人資料保護法第 13 條及奧地利聯邦個人資料保護 法等外國立法例，均有特種（敏感）資料不得任意蒐集、處理或利用之規 定。……」

並增列第 7 條規定，明定第 6 條第 2 款所指「書面同意」：「前條第 2 款、第 15 條第 2 款及第 19 條第 5 款所稱書面同意，指當事人經蒐集者告知 本法所定應告知事項後，所為允許之書面意思表示。」增列理由為：「修正 條文第6 條第 2 款、第 15 條第 2 款及第 19 條第 5 款所定『經當事人書面同 意』，係資料蒐集者合法蒐集、處理或利用個人資料要件之一。書面同意既 對當事人之權益有重大影響，自應經明確告知應告知之事項，使當事人充分 瞭解後審慎為之，爰增訂第1 項規定。」

則基因資訊屬草案第 6 條保護之「敏感性資訊」，原則上不得蒐集、處 理或利用；而若依法蒐集時，應向當事人告知草案所定應告知事項，及得當 事人書面同意，藉以保證確實得當事人之「告知後同意」。

3.3.1.3 違反本法之責任修正

而草案延續個資法對於違反本法之公務或非公務機關，科以民事、刑事 及行政責任。民事部分，草案第28 條規定：「公務機關違反本法規定，侵害 當事人權利者，負損害賠償責任。但損害因天災、事變或其他不可抗力所致 者，不在此限（第 1 項）。被害人雖非財產上之損害，亦得請求賠償相當之 金額；其名譽被侵害者，並得請求為回復名譽之適當處分（第 2 項）。前二 項損害賠償總額，以每人每一事件新台幣 5000 元以上 10 萬元以下計算。但 能證明其所受之損害額高於該金額者，不在此限（第三項）。……（第 4 項 略）。」同草案第29 條規定：「非公務機關違反本法規定，侵害當事人權利 者，負損害賠償責任。但能證明其無故意或過失者，不在此限（第 1 項）。

依前項規定請求賠償者，適用前條第2 項至第 4 項規定（第 2 項）。」

刑事部分，個資法僅規定，意圖營利而違反本法時，處二年以下有期徒 刑、拘役或科或併科4 萬元以下罰金（個資法第 33 條參照），而草案擴大刑 事責任，其第40 條規定：「違反第 6 條、第 15 條、第 16 條、第 19 條、第 20 條第 1 項規定，或中央目的事業主管機關依第 21 條限制國際傳輸之命令 或處分，足生損害於他人者，處二年以下有期徒刑、拘役或科或併科新台幣 20 萬元以下罰金（第 1 項）。意圖營利犯前項之罪者，處五年以下有期徒 刑，得併科新台幣500 萬元以下罰金（第 2 項）。」

行政責任方面，個資法僅規定，違反本法規定時，主管機關得處以 2 萬 元以上 10 萬元以下之罰鍰，並得按次處罰（個資法第 38 條參照），而草案 限定僅有非公務機關（即公務機關以外者）有行政責任，其第 46 條規定：

「非公務機關有下列情事之一者，由中央目的事業主管機關或直轄市、縣

（市）政府處新台5 萬元以上 50 萬元以下罰鍰，並令限期改正，屆期未改正 者，按次處罰之：一、違反第6 條規定。……」

因此，若違反草案規定而侵害基因資訊，除民事賠償外，並提供刑事制 裁及行政罰鍰。而為避免個資法適用範圍過廣，草案第50 條第 1 項明定不適 用本法之情形：「自然人為單純個人或家庭活動之目的，而蒐集、處理或利 用個人資料者，不適用本法。」第 2 項規定境外蒐集亦適用本法：「公務機 關及非公務機關，在中華民國領域外對中華民國人民個人資料蒐集、處理或 利用者，亦適用本法。」以避免有心人士規避草案之適用。