壹、電腦處理個人資料保護法之立法沿革
有鑑於電腦科技快速發展,為迎接「資訊時代」之來臨,我國行政院
於一九八二年三月間正式成立「資訊發展推動小組」,全面推動自動化,
並指示法務部著手研究「因資訊工業發展所產生之法律問題」,法務部乃 於一九八五年底成立「資訊法律問題研究小組」,其間已充分意識到,電 腦處理個人資料與人民基本權利保護之關係。一九九○年九月行政院明確 函示法務部研擬「資料保護法」,並在制訂「資料保護法」完成立法前,
先參考經濟合作發展組織(OECD)所揭示的保護個人資料之八大原則,
訂定「行政院暨所屬各級行政機關電腦處理個人資料保護要點」,俾以資 過渡(李震山,2004:36)。
一九九一年九月法務部成立審議小組起草委員會,於一九九二年五月 完成「個人資料保護法草案」初稿後,即函送各有關機關及社會各界徵詢 意見,並在召開學者專家座談會後,於一九九二年六月函送行政院審查,
經該院召開多次審查會後,將草案名稱修正為「電腦處理個人資料保護 法」,於一九九三年送請立法院審議。一九九五年立法院為因應亞太營運 中心之需要,將「電腦處理個人資料保護法」列為推動亞太營運中心優先 審查法案之一,並於同年七月十二日以極快之速度表決通過,並經總統公 布自一九九五年八月十一日起施行,隨後則由法務部於一九九六年五月一 日訂定「電腦處理個人資料保護法施行細則」共四十六條,一併成為我國 個人資料保護之基本規範(李震山,2004:36-37)。
貳、電腦處理個人資料保護法之重要內容
誠如上述所言,一九九五年施行之「電腦處理個人資料保護法」,係 參照前述之經濟合作發展組織(OECD)所揭示的保護個人資料八大原則 所制訂,其立法目的在於避免人格權受侵害,以及促進資料之合理利用。
由於本法規範到有關個人資料之蒐集、處理及利用行為,故為避免對民間
衝擊過大,並考量執法之效能與社會接受之程度,爰參酌當時日本之「電 子計算機處理個人資料保護法」與英國之「資料保護法」(data protection act)
立法例,僅將經電腦處理之個人資料納入保護範疇,至於一般未經電腦處 理或儲存之資料(亦即所謂的人工資料),則不適用本法予以保護。而關 於本法之重要規範,茲摘要論述如下(劉佐國,2005:43-44):
一、本法規定之徵信業等八類事業及經法務部會同中央目的事業主 管機關指定適用本法之特定事業、團體,需向目的事業主管機關依本法登 記或許可並發給執照,始得為個人資料之蒐集、電腦處理或國際傳輸及利 用(參本法第十九條)。
二、不論是公務機關或適用本法之非公務機關,須有特定目的並符 合本法規定之要件,始得蒐集、電腦處理或利用個人資料(參本法第七條、
第八條、第十八條、第二十三條)。
三、關於個人資料之利用,原則上需與蒐集之特定目的相符,僅有 本法規定之例外情形,才能將個人資料作特定目的外之利用(參本法第八 條但書、第二十三條但書)。
四、保有個人資料檔案者,須指定專人辦理安全維護事項,防止個 人資料被竊取、竄改、毀損、滅失或洩漏(參本法第十七條)。
五、個人資料當事人原則上有請求查詢、閱覽、製給複製本、更正、
補充、停止電腦處理或利用、刪除等之權利,且上開權利不得預先拋棄或 以特約限制之(參本法第四條)。
六、違反本法規定,以致當事人權益受損害者,公務機關或非公務 機關將負民事損害賠償責任;意圖營利違反本法之行為人,須負刑事責 任:非公務機關之負責人,則負有行政責任(參本法第二十七條至第四十 一條)。
參、電腦處理個人資料保護法修正草案之要點
鑒於電腦科技日新月異,利用電腦蒐集、處理、利用個人資料之情形 日漸普遍,再加上各類型商務行銷廣泛大量蒐集個人資料,對個人隱私權 之保護,造成莫大威脅;而本法適用主體有行業別之限制,僅適用於徵信 業等八類行業,一般行業及個人均不受規範,保護之客體又只限於經電腦 處理之個人資料,不包括非經電腦處理之個人資料,對於保護個人資料隱 私權益規範不足。為使本法規範內容得以因應急速變遷之社會環境,法務 部整理國內學界及實務界之修法意見,並參酌各國個人資料保護之立法 例,擬具本法之修正草案3。該修正草案共五十五條,合計新增二十二條、
刪除十三條、修正二十八條(劉佐國,2005:47),並將名稱修正為「個 人資料保護法」。其修正要點如下:
一、擴大保護客體:為落實對個人資料之保護,將保護客體予以擴 大,不再以經電腦處理之個人資料為限(修正條文第二條第二款及第四 款)。
二、普遍適用主體:
(一)刪除非公務機關行業別之限制,使任何自然人、法人或其 他團體,除為單純個人或家庭活動之目的而蒐集、處理或利用個人資料 外,皆須適用本法(修正條文第二條第八款及第五十條第一項)。
(二)公務機關及非公務機關,在中華民國領域外對中華民國人 民蒐集、處理或利用個人資料者,亦有本法之適用(修正條文第五十條第 二項)。
三、增修行為規範:
3 參閱法務部版的「電腦處理個人資料保護法修正草案總說明」及「電腦處理個人資料保護法修 正草案條文對照表」。
(一)有關醫療、基因、性生活、健康檢查及犯罪前科等五類資 料為特種資料,除符合法定要件外,原則上不得蒐集、處理或利用(修正 條文第六條)。
(二)本法所稱書面同意,指經蒐集者告知本法所定應告知事項 後,所為允許之書面意思表示。特定目的外利用個人資料需當事人書面同 意者,不得以概括方式取得其同意,而應另以單獨書面同意方式為之,以 確保當事人之權益(修正條文第七條)。
(三)不論是直接或間接蒐集資料,除符合得免告知情形者外,
均須明確告知當事人蒐集機關名稱、蒐集目的、資料類別、利用方式、資 料來源等相關事項。另為減少勞費起見,允許得於首次對當事人為利用時 得併同告知(修正條文第八條及第九條)。
(四)違反本法規定蒐集、處理或利用個人資料者,應主動或依 當事人之請求,刪除或停止蒐集、處理或利用其個人資料;公務機關和非 公務機關對其所保有之個人資料,並有更正、補充及通知之義務(修正條 文第十一條)。
(五)從事商品行銷之非公務機關,應於首次行銷時免費提供當 事人表示拒絕之方式;當事人表示拒絕接受行銷時,應即停止利用其個人 資料行銷,以尊重當事人有拒絕接受行銷之權利(修正條文第二十條)。
四、強化行政監督:
(一)為加強防制個人資料之濫用,中央目的事業主管機關或直 轄市、縣(市)政府,發現非公務機關違反本法規定或認有必要時,得派 員攜帶執行職務證明文件,進入檢查,如發現有違法情事,並得採取必要 處分(修正條文第二十二條)。
(二)中央目的事業主管機關或直轄市、縣(市)政府執行檢查 時,所採取之措施,或相關強制、扣留或複製行為,當事人如有不服,得 聲明異議(修正條文第二十四條)。
五、促進民眾參與:
(一)為結合民間力量,發揮本法保護個人資料之功能,爰增訂 財團法人或公益社團法人符合本法規定者,得提起團體訴訟,以協助隱私 權益遭侵害之當事人進行民事或行政救濟(修正條文第三十二條)。
(二)為鼓勵當事人透過團體訴訟主張權利,增訂團體訴訟裁判 費減免之規定(修正條文第三十三條)。
六、調整責任內涵:
(一)對於違法蒐集、處理或利用個人資料者,區別其是否具有
「意圖營利」之主觀要件,課予程度不等之刑事責任(修正條文第四十 條)。
(二)為提升法益保護之周延程度,中華民國人民在我國領域外 觸犯本法之罪者,亦適用本法(修正條文第四十二條)。
(三)提高基於同一原因事實應對當事人負損害賠償責任之總額
(修正條文第二十八條)。
(四)提高對非公務機關所課之罰鍰額度;非公務機關之代表人、
管理人或其他有代表權人,除能證明已盡防止義務者外,並應課以同一額 度之罰鍰,以加強其監督之責任(修正條文第四十六條至第四十九條)。
七、配合增修條文:
(一)明定修法前不受本法規範之行業、團體或個人,在本法施 行前已蒐集個人資料者,應於一定時間內,補行告知當事人(修正條文第 五十三條)。
(二)為使民眾有充足之準備時間,政府亦能在本法修正施行前 充分宣導,爰修正規定本法施行日期由行政院定之(修正條文第五十五 條)。
檢視現行的「電腦處理個人資料保護法」與行政院於二○○四年議決 通過之「個人資料保護法草案」,兩者最主要的差別即在於「保護客體」、
「適用主體」、「行政監督」、「民眾參與」、「責任內涵」等五個面向。現行 的「電腦處理個人資料保護法」其保護之對象並不包括人工處理之個人資 料,而只限定於經電腦處理之自動化資料,有關人工處理之個人資料只能 依據民法、刑法保護之。唯依照前述的經濟合作發展組織所揭示的保護個 人資料八大原則之宗旨,係對資料處理過程中所涉及之個人隱私加以保
「適用主體」、「行政監督」、「民眾參與」、「責任內涵」等五個面向。現行 的「電腦處理個人資料保護法」其保護之對象並不包括人工處理之個人資 料,而只限定於經電腦處理之自動化資料,有關人工處理之個人資料只能 依據民法、刑法保護之。唯依照前述的經濟合作發展組織所揭示的保護個 人資料八大原則之宗旨,係對資料處理過程中所涉及之個人隱私加以保