台灣電腦處理個人資料保護法與修正草案

4.2.1.1 電腦處理個人資料保護法

就個人資料保護，我國主要以「電腦處理個人資料保護法」來保障消費 者之個人隱私權，由於金融機構屬個資法規範八大行業之一，因此金融機構 對消費者個人資料之蒐集利用需符合個資法第 18 條所規範要件，如：經當事 人書面同意、與當事人有契約或類似契約關係而對當事人權益無侵害之虞 者、已公開資料且無害於當事人利益者等，並需先經目的事業主管機關登記 且發給執照後，方得進行個人資料蒐集、電腦處理及利用。且除有下列四項 情形：為增進公共利益、為免除當事人生命、身體、自主或財產上急迫之危 險、為防止他人權益之重大危害而必要者、或經當事人書面同意者外，需在 蒐集之特定目的必要範圍內利用之。同時，財政部亦依個資法第 20 條第 5 項 制訂「金融業個人資料檔案安全維護計畫標準」，要求金融機構遵照辦理，

以維消費者個人資料之安全。

檢視現有電腦處理個人資料保護法，可整理與金融機構處理個人資料相 關規定如下表：

符合下開條件者，可對個人資料為蒐集、編輯、儲存、輸出或其他處 理：基於特定目的，並經由當事人同意；與當事人有契約或類似契約之 關係而對當事人權益無侵害之虞；該資料為已公開或基於學術研究之必 要且對當事人之重大利益無害者；金融相關法令有特別規定者。

§ 18

金融機構未經金融監督管理委員會依本法登記並發給執照者，不得為個 人資料之蒐集、電腦處理或國際傳遞及利用。

§ 19

依本法申請個人資料之蒐集或電腦資料處理之金融機構，須載明資料類 別、範圍、保有期限、直接收受者、檔案安全維護計畫等。

§ 20

經申報核准之金融機構須於政府公報公告並登載於當地新聞紙。 § 21 金融機構為增進公共利益；免除當事人之生命、身體、自由或財產上之 急迫危險；防止他人權益之重大危害而有必要者；另行經當事人書面同 意者，得例外為特定目的以外之利用

§ 23

金融監督管理委員會認為有必要時，得攜帶證明文件進入金融機構檢 查，其不得規避、妨礙或拒絕，且經發現有違反本法規定之資料，得扣 押之。

§ 25

金融機構須維護個人資料正確，並應依職權或當事人之請求適時更正或 補充。

§ 26, 13

當事人依本法向金融機構為必要之請求時，其應於三十日內處理之；未 能於該期間內處理，應將其原因以書面通知請求人。

§ 26, 12

金融機構應指定專人依相關法令辦理安全維護事項，防止個人資料被竊 取、竄改、毀損、滅失或洩漏。

§ 26, 17

當事人請求閱覽個人資料或給複製本者，金融機構得酌收費用，其酌收 數額由金融監督管理委員會規定之。

§ 26, 16

金融機構違反本法規定而侵害當事人權益時，應負損害賠償責任；該請 求權於請求權人知悉時起，因二年不行使而消滅。

§ 28, 29

綜觀上述個資法相關規範及安全維護計畫保障下，目前台灣對於隱私權 保護已有基本保障，然針對涉及個人高度機密之金融資訊隱私權之保護則有 所不足，有待其他法規之補足。

4.2.1.2 個人處理資料保護法之修正

行政院院會於 2005 年 9 月 8 日通過修正「個人資料保護法」⁷³（原「電 腦處理個人資料保護法」），隨即送請立法院審議；日後該草案若順利完成 立法，將擴大個人資料保護之適用範圍，由目前之公務機關擴及至任何自然 人、法人或其他團體，並且不再以電腦處理之個人資料為限；且此次修正對 個人資料之保護採取依個人資訊種類不同加以區分之混合模式，區分所謂一 般資料與特種資料而異其規範⁷⁴；特種資料包含：醫療、基因、性生活、健

73 電腦個人資料保護法修正草案條文對照表，法務部網址：http://www.moj.gov.tw/public/

Attachment/62228524321.pdf（最後點閱時間：2007 年 7 月 11 日）。

74 美國商務部「國家電信與資訊局（National Telecom and Information Authority）」所 提出關於個人資訊隱私規範之報告書（PRIVACY AND THE NATIONAL INFORMATION I N-FRASTRUCTURE PRINCIPLES FOR PROVIDING AND USING PERSONAL INFORMATION (1995)）即

康檢查及犯罪前科等五種資料，而上開特種資料原則不得蒐集、處理或利 用，然其中並不含與本文直接相關之財務資料。

此外，關於特定目的以外之個人資料利用，不得以概括方式取得其同 意，而須獲客戶單獨之書面同意，上述修正為此次修法重點，若完成修正後 應可降低目前客戶資料於行銷行為上之濫用。此外，「個人資料保護法」此 次修正對前述金融機構之交叉行銷亦有所規範，以下謹就與金融機構有關之 修法要點，說明如下：

1.當事人拒絕接受行銷之權利：若金融控股公司及其子公司利用客戶個 人資料時，應於首次使用時免費提供當事人表示拒絕之方式，當事人表示拒 絕者，應即停止使用其個人資料，以尊重當事人拒絕之權利⁷⁵；另依個資法 修正草案第 20 條第 2 項之規定，非公務機關利用個人資料從事行銷，而當事 人表示拒絕接受該行銷時，應即停止利用該個人資料進行行銷。

2.非特定目的外利用之書面同意，須另以書面單獨為之：為避免金融業 者強迫當事人立下「特定目的外之書面同意」，於個資法修正草案第 7 條規 定，屬於「特定目的外之書面同意」（即該草案第 20 條第 1 項第 5 款所稱之 經當事人書面同意），需單獨為之；是以，金控公司及其子公司間未來傳 遞、使用客戶資料時⁷⁶，應明確告知客戶關於資訊使用之目的、範圍及同意 與否對其權益之影響，且應取得客戶獨立之書面同意。

採取此種區分資料種類不同為基礎適用不同規範之混合模式；關於非敏感資訊（non-sensitive information）使用時採取選擇退出模式，而使用敏感資訊（採取此種區分資料種類不同為基礎適用不同規範之混合模式；關於非敏感資訊（non-sensitive informa-tion）時則採選擇加入模式。轉引自：熊愛卿，網際網路個人資料保護之研究，台灣 大學法律學研究所博士論文，頁 184（2000）；see also Jeff Sovern, Opting in, Opting out, or No Option at All: The Fight for Control of Personal Information, 74 WASH. L. REV. 1003, 1114 (1999).

75 個人資料保護法修正草案第 7 條第 2 項。

76 我國個資法並未如 GLBA 針對是否為關係企業另行規範，而係採較高標準之嚴謹規 範，將關係企業內各公司均視為個別企業，以建立資訊傳遞之中國牆；是以，當金 融機構欲將客戶資料傳遞非關係企業第三人時，亦需取得客戶之書面同意。

3.金融機構間接蒐集個人資料之告知義務：依個資法修正草案第 9 條之 規定，間接蒐集個人資料者應於資料處理或利用前，告知當事人法定應告知 之事項及資料來源；亦即，若金融控股公司及其子公司所蒐集客戶個人資訊 非由當事人直接提供者，於處理及利用前應告知當事人蒐集者名稱、蒐集目 的、資料類別、利用方式、資料來源等相關事項（此條為關於二手資料再使 用之規範）。

4.金融機構所持有之個人資料，若致其外洩或遭受竄改，應查明後以適 當方式通知當事人：依個資法修正草案第 12 條之規定，不論是公務或非公務 機關，因違反個資法之規定致個人資料被竊取、洩漏、竄改或其他侵害，應 查明後以適當方式通知當事人。易言之，一旦發生資料外洩或其他有損當事 人權益之情事時，資料持有者有主動告知當事人的義務。