依該法第十三條第一項:「公務機關應維護個人資料之正確,並應依職權或當 事人之請求適時更正或補充 之。」及第二十六條規定:「第十二條、第十三
條、第十五條、第十六條第一項及第十七條之規定,於非公務機關準用之。」,
係為個人資料正確性確保之規定。
6、當事人之權利:
依本法第四條規定:「當事人就其個人資料依本法規定行使之左列權利,不 得預先拋棄或以特約限制之:一、查詢及請求閱覽。二、請求製給複製本。三、
請求補充或更正。四、請求停止電腦處理及利用。五、請求刪除。」明定此些 權利不可預先拋棄或以特約限制之,並於第十二條、第十三條、第十五條、第 十六條及第二十六條,個別詳細規定當事人行使權利之條件、收費及處理期限 之問題。其中以第十五條規定:「公務機關受理當事人依本法規定之請求,應於 三十日內為之。其未能於該期限內處理者,應將其原因以書面通知請求人。」
明文規定接受請求者之處理期限為三十日,以避免公務機關藉故拖延,影響當 事人權益,對當事人保障始稱允當。
7、資料國際傳遞與利用之規定:
本法就公務機關及非公務機關資料國際間之傳遞均有明文規定,第九條規 定:「公務機關對個人資料之國際傳遞及利用,應依相關法令為之。」第二十四 條規定:「非公務機關為國際傳遞及利用個人資料,而有左列情形之一者,目的 事業主管機關得限制之:一、涉及國家重大利益者。二、國際條約或協定有特 別規定者。三、接受國對於個人資料之保護未有完善之法令者,致有損害當事 人權益之虞者。四、以迂迴方法向第三國傳遞及利用個人資料規避本法者。」
本法對公務機關及非公務機關資料國際傳遞之許可條件及限制,均有詳細 規定,對非公務機關詳列主管機關得限制之條件,足證立法者保護個人資料免 受 恣意侵害。在資訊化社會中,非公務機關對個人資料之侵害並不亞於公務機
關, 如徵信業者對特定人士資料蒐集,帶給當事人極大困擾。條文中明定非公 務機關 於個人資料處理之限制,未經主管機關許可登記發照,不得為資料之蒐 集及利用行為。此外,申請登記事項之公告與登載、備置冊供查閱管理等規定,
亦係為保障個人資料,並對抗非公務機關違法侵害人格權。
8、國家對資料處理之監督及損害賠償之救濟:
該法第十七條規定:「公務機關保有個人資料檔案者,應指定專人依相關法 令辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩露。」第 二十條第一項第十款及第十一款分別規定:「十、個人資料檔案維護負責人之姓 名。十一、個人資料檔案安全維護計畫。」當事人得依本法第三十一條及第三 十二條之規定,向公務機關之監督機關或非公務機關目的事業主管機關,請求 救濟。
此所謂監督機關,係指負責關於個人資料保護法實施之監督單位,故如何 於電腦處理個人資料保護法中,對於監督其實施之單位加以規定的問題,即謂 監督機關設置之規制,按各國立法例對於監督機關之設置,可分為設立獨立之 監督官或委員會為監督、由原行政機關自行監督,我國法制規定公務機關應指 定專人負責辦理維護安全事項,從比較法以觀,德國聯邦個人資料保護法設置 聯邦監察官,獨立行使職權,對人民基本權利保障具有重大意義,益從事個人 資料保護之公務員,必須具備專業法律素養,否則立法美意將無從實現。
(三)修正的法案
為規範電腦處理之個人資料,避免人格權受侵害,並促進個人資料的合理 利用,法務部參酌「經濟合作暨發展組織」 (OECD) 所揭示之保護個人資料八
大原則,研擬「電腦處理個人資料保護法」,於八十四年八月十一日制定公布 施行至今。
鑒於電腦科技日新月異,利用電腦蒐集、處理、利用個人資料之情形日漸 普遍,再加上各類型商務行銷大量蒐集個人資料,故對個人資料之保護造成威 脅。然而電資法的適用行業別,限制於徵信業等八類行業,一般行業及個人均 不受規範,保護之客體又只限於經過電腦處理之個人資料,不包括非經電腦處 理之個人資料,對於保護個人資料隱私權益規範不足。為使該法規範內容得以 因應急速變遷之社會環境,行政院會乃整理國內學界及實務界之修法意見,並 參酌各國個人資料保護之立法,於九十三年九月八日通過電資法修正草案,共 五十五條,並將名稱修正為「個人資料保護法」,其修正要點如下146:
1、擴大保護客體:
為落實對個人資料之保護,將保護客體予以擴大,不再以經電腦處理之個 人資料為限。(修正條文第二條第二款及第四款)
2、普遍適用主體:
(1)刪除非公務機關行業別之限制,使任何自然人、法人或其他團體,除為單 純個人或家庭活動之目的而蒐集、處理或利用個人資料外,皆須適用該法。
(修正條文第二條第八款及第五十條第一項)
(2)公務機關及非公務機關,在中華民國領域外對中華民國人民蒐集、處理或 利用個人資料者,亦有該法之適用。(修正條文第五十條第二項)
3、增修行為規範:
(1)有關醫療、基因、性生活、健康檢查及犯罪前科等五類資料為特種資料,
除符合法定要件外,原則上不得蒐集、處理或利用。(修正條文第六條) (2)該法所稱書面同意,指經蒐集者告知本法所定應告知事項後,所為允許之
書面意思表示。特定目的外利用個人資料需當事人書面同意者,不得以概
146 參考 http://www.lawbank.com.tw/fnews/pnews.php?nid=26135.00,93 年 10 月 1 日。
括方式取得其同意,而應另以單獨書面同意方式為之,以確保當事人之權 益。(修正條文第七條)
(3)不論是直接或間接蒐集資料,除符合得免告知情形者外,均須明確告知當 事人蒐集機關名稱、蒐集目的、資料類別、利用方式、資料來源等相關事 項。另為減少浪費起見,允許得於首次對當事人為利用時得併同告知。(修 正條文第八條及第九條)
(4)違反該法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求,
刪除或停止蒐集、處理或利用其個人資料;公務機關和非公務機關對其所 保有之個人資料,並有更正、補充及通知之義務。(修正條文第十一條) (5)從事商品行銷之非公務機關,應於首次行銷時免費提供當事人表示拒絕之
方式;當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷,以尊 重當事人有拒絕接受行銷之權利。(修正條文第二十條)
4、強化行政監督:
(1)為加強防制個人資料之濫用,中央目的事業主管機關或直轄市、縣 (市) 政 府,發現非公務機關違反該法規定或認有必要時,得派員攜帶執行職務證 明文件,進入檢查,如發現有違法情事,並得採取必要處分。(修正條文第 二十二條)
(2)中央目的事業主管機關或直轄市、縣(市)政府執行檢查時,所採取之措施,
或相關強制、扣留或複製行為,當事人如有不服,得聲明異議。(修正條文 第二十四條)
5、促進民眾參與:
(1)為結合民間力量,發揮該法保護個人資料之功能,增訂財團法人或公益社 團法人符合該法規定者,得提起團體訴訟,以協助隱私權益遭侵害之當事 人進行民事或行政救濟。(修正條文第三十二條)
(2)為鼓勵當事人透過團體訴訟主張權利,增訂團體訴訟裁判費減免之規定。
(修正條文第三十三條) 6、調整責任內涵:
(1)對於違法蒐集、處理或利用個人資料者,區別其是否具有「意圖營利」之 主觀要件,課予程度不等之刑事責任。(修正條文第四十條)
(2)為提升法益保護之周延程度,中華民國人民在我國領域外觸犯該法之罪 者,亦適用該法。(修正條文第四十二條)
(3)提高基於同一原因事實應對當事人負損害賠償責任之總額。(修正條文第二 十八條)
(4)提高對非公務機關所課之罰鍰額度;非公務機關之代表人、管理人或其他 有代表權人,除能證明已盡防止義務者外,並應課以同一額度之罰鍰,以 加強其監督之責任。(修正條文第四十六條至第四十九條)
7、配合增修條文:
(1)明定修法前不受該法規範之行業、團體或個人,在該法施行前已蒐集個人 資料者,應於一定時間內,補行告知當事人。(修正條文第五十三條) (2)為使民眾有充足之準備時間,政府亦能在該法修正施行前充分宣導,乃修
正規定該法施行日期由行政院定之。(修正條文第五十五條)
綜上所述,此次修法重點為擴大保護範圍,不再以經電腦處理之個人資料 為限;同時擴大規範對象,除為單純個人或家庭活動目的而蒐集、處理或利用 個人資料外,皆適用本法。草案明定目的外利用個人資料,需當事人書面同意 者,不得以概括方式取得其同意,法案規定應另以單獨書面同意方式為之,以 確保當事人權益。另外不論直接或間接蒐,除符合免告知情形外,均須明確告 知當事人蒐集機關名稱、目的、類別,利用方式及資料來源等相關事項;而非 法販售資料的刑度從現行二年提高至五年,損害賠償上限從二千萬元提高至五 千萬元。而「電腦處理個人資料保護法」修正草案已由立法院司法、科技聯席
委員會於九十四年四月十八日完成初審,以加速打擊侵害個人資料之不法行為。