於眾多相關與個人資料保護相關之議題中,本研究鎖定觀察個人資料保護與 保險業間之互動,分析個資保護之規範,且進一步將核心凝聚於兩大個資法與保 險法法規適用之問題,總結前開各章節結論如下:
鑑於數位科技、各項產品技術為人類生活帶來重大變革,更需重新思考、形 塑隱私權保護之內容,此為自隱私權發展至個人資料保護之過程,外國個資保護 架構之演進亦是如此,我國於 2010 年將 1995 年電腦處理個人資料保護法修訂為 個人資料保護法之過程亦同。考量到電腦處理個人資料保護法之保護客體過於侷 限、適用之非公務機關主體過於狹隘、規範行為亦不足夠,且違法責任有失均衡,
於修正成為個人資料保護法時,便擴展個人資料之定義、將正當合理關聯加入目 的拘束原則概念中,亦新增過去所沒有的敏感性個資特別保護與告知義務之規定,
並擴大應受規範之主體,以及重新調整個資法上民事、行政與刑事責任。
關於歐盟 GDPR 與我國個資法之異同,表 3-1 指出其不同出現在第 2 項至第 15 項,幾乎涵蓋全部重點,不同之處包括:GDPR 適用之範圍較個資法為廣,個 資法未規範非我國公務機關或非具有我國國籍或於我國註冊登記之非公務機關 對我國國民個資蒐集處理利用之行為、GDPR 一併以處理行為涵蓋所有對個資所 為之操作、我國具所謂推定同意,GDPR 則均要求明確積極之同意、相關當事人之 權利個資法規範均不如 GDPR 詳盡,且尚欠缺資料可攜權以及有關自動決策及藉 大量個人資料所自動化產生之分析與側寫之源、我國無就兒童之個資建立特殊保 護規範、除特種個資種類不同,就特種個資之處理亦未強調同意需以書面為之、
關於個人資料保護影響評估之規範不如 GDPR 詳盡、就個人資料國際傳輸我國規 範較 GDPR 寬鬆、我國無設置資料保護官之規範,無建構資料保護認證及標章之 規範,亦無設置相關委員會之規定、就民事上損害賠償我國提供計算方式、我國 行政罰鍰較 GDPR 為輕許多。因此本研究認為,各界之所以稱歐盟 GDPR 乃極為嚴
格之個資保護架構,應是 GDPR 觸及範圍較現行個資法廣,規範更詳細,且其規 定之潛在罰鍰責任極沉重。
關於保險法第 177 條之 1 問題研究,本研究認為於個資法第 6 條修正後,個 資法第 6 條與保險法第 177 條之 1 核心規範內容重複,包括病歷以及當事人書面 同意部分,加上採取特別法優先於普通法,普通法補充適用原則,以致實際上適 用保險法第 177 條之 1 與個資法第 6 條兩條條文之結果,與直接適用個資法第 6 條相同,使保險法第 177 條之 1 存在必要大減。以壽險業為例,假若壽險業保險 人欲蒐集要保人病歷與性生活之敏感性個人資料,按現行法以及特別法優先於普 通法,普通法補充適用原則,病歷部分之法律規定依保險法第 177 條之 1 第 1 項 第 1 款,取得要保人書面同意即可蒐集處理利用;至於性生活部分,因特別法之 保險法第 177 條之 1 未規定,故回歸適用普通法之個資法第 6 條第 1 項第 6 款,
取得要保人書面同意即可蒐集、處理或利用。此時可發覺,前開依保險法第 177 條之 1 第 1 項第 1 款蒐集之病歷資料,透過個資法第 6 條第 1 項第 6 款亦可蒐 集之,直接全面回歸適用個資法第 6 條即可解決,保險法第 177 條之 1 於個資法 第 6 條修法後,顯然已喪失實益,徒增困擾。是故,本研究認為,除保險法第 177 條之 1 第 3 項規範內容較特殊,值得保留以外,可考慮刪除其餘條項;然,本研 究欲強調者係目前既有規定之間之矛盾,對於立法者考量保險業之特殊性,於保 險法中訂定個人資料保護相關規範之立法模式,本研究認為無需全然否定之,在 保險業經營與時俱進的同時,保留保險法第 177 條之 1 本身作為管道,必要時進 行增修項款,應可為保險業經營帶來一定程度上之彈性。
針對本研究第二個核心問題,要保人於保險契約存續期間請求刪除其個人資 料,本研究認為,法務部雖得以函釋解釋適用之法律,然在適用上需注意有無牴 觸更上位之原理原則。經分析,本件法務部函釋適用法律之結果牴觸個資法第 3 條,有違反法律優位原則之虞;又討論特定目的存否、可否適用個資法第 11 條 第 3 項,全然無益於解決此爭議問題,是故,本研究提出之解決方案係自保險契
約條款下手,將要保人請求刪除個資之意思表示,視為欲終止保險契約之意思表 示。同樣以壽險業為例,假若要保人(即被保險人)與人壽保險公司訂立健康保 險契約之時,壽險公司已取得蒐集、處理或利用要保人病歷、醫療、健康檢查等 敏感性個資之書面同意,所簽訂之保險契約亦列入是項條款,即:告知要保人,
使其明確知悉其個人資料(包括敏感性個資)係整個保險契約存續期間不可或缺 之必要資料後,要保人仍決意主張個資刪除請求權時,該意思表示視為要保人向 保險公司終止保險契約之意思表示。因此,後續健康保險存續期間,若要保人仍 執意向保險公司請求刪除其病歷、醫療、健康檢查之個資,視為要保人向壽險業 保險人終止保險契約,直接進入終止保險契約之程序。附帶一提,本章節爭議問 題之討論之所以皆以個資刪除權為主,係為配合法務部函釋內容,故若當事人係 請求停止蒐集、處理或利用其個人資料,仍可套用相同之討論。
與個人資料有關之議題方興未艾,係因個人資料涉及的層面可深可廣,不僅 得與任何其他領域主題相互搭配,科技進步之迅速更強力引領個人資料保護議題 前進,個人資料保護是動態演進的議題,不僅無法預期更無法設限,本研究僅為 開端,期待未來得就其他與個人資料保護有關之議題為探討。
附錄
壽險業履行個人資料保護法告知義務內容參考範本
金管會 102.4.1 金管保壽字第 10102182620 號函核復洽悉
○○○○人壽保險公司(下稱本公司)依據個人資料保護法(以下稱個資法)第八 條第一項(如為間接蒐集之個人資料則為第九條第一項)規定,向 台端告知下 列事項,請 台端詳閱:
一、蒐集之目的:(各會員公司得參酌業務種類、屬性,參考法務部公告新修正 之「個人資料保護法之特定目的及個人資料之類別」,自行選擇適當項目)
(一)人身保險(00一)
(二)其他經營合於營業登記項目或組織章程所定之業務(一八一)
二、蒐集之個人資料類別:(各會員公司得參酌業務種類、屬性,參考法務部公 告修正之「個人資料保護法之特定目的及個人資料之類別」,例如:姓名、
身分證統一編號、聯絡方式等予以填載,詳如相關業務申請書或契約書內容)
三、個人資料之來源(個人資料非由當事人提供間接蒐集之情形適用)(各會員 公司得參酌資料來源選擇填載)
(一)要保人
(二)當事人之法定代理人、輔助人 (三)各醫療院所
(四)與第三人共同行銷、交互運用客戶資料、合作推廣等關係、或於本公司 各項業務內所委託往來之第三人。
四、個人資料利用之期間、對象、地區、方式(各會員公司得參酌業務種類、屬 性,自行選擇適當項目):
(一)期間:因執行業務所必須及依法令規定應為保存之期間。
(二)對象:本(分)公司及本公司海外分支機構、中華民國人壽保險商業同業 公會、中華民國產物保險商業同業公會、財團法人保險事業發展 中心、財團法人保險安定基金、財團法人金融消費評議中心、財 團法人金融聯合徵信中心、財團法人聯合信用卡中心、台灣票據 交換所、財金資訊公司、業務委外機構、與本公司有再保業務往
來之公司、依法有調查權機關或金融監理機關。
(三)地區:上述對象所在之地區。
(四)方式:合於法令規定之利用方式。
五、依據個資法第三條規定,台端就本公司保有 台端之個人資料得行使之權利 及方式:
(一)得向本公司行使之權利:
1.向本公司查詢、請求閱覽或請求製給複製本。
2.向本公司請求補充或更正。
3.向本公司請求停止蒐集、處理或利用及請求刪除。
(二)行使權利之方式:以書面或其他日後可供證明之方式(各公司得視實際 需要記載,惟應具體列出行使方式)。
六、台端不提供個人資料所致權益之影響(個人資料由當事人直接蒐集之情形 適用):
台端若未能提供相關個人資料時,本公司將可能延後或無法進行必要之審核 及處理作業,因此可能婉謝承保、遲延或無法提供 台端相關服務或給付 (視業務性質記載)。
受告知人:_________(簽章)
中 華 民 國 年 月 日
註:各公司履行上開告知義務,不限取得當事人簽名,縱無簽署亦不影響告知效 力,各公司應採下列方式之一保全履行告知義務之證明:
一、 電話行銷之電話錄音檔。
二、 當事人表明已受告知之書面文件或註明當事人已收受告知書之保單、
契約變更或理賠等簽收回條。
三、將告知書內容與要保書或保險契約相關申請文件合併列印。
參考文獻
壹、 中文部分 一、 書籍
1. 王澤鑑,債法原理–基本理論、債之發生、契約、代理權授與、無因 管理,三民書局,第二版,2012 年 3 月。
2. 江朝國,保險法基礎理論,瑞興圖書,第五版,2009 年 4 月。
3. 周悅儀,美國保護隱私權法制之研究,法務部法律事務司年度研究報 告,1993 年 12 月。
4. 許文義,個人資料保護法論,三民書局,2001 年 1 月。
5. 葉啟洲,保險法實例研習,元照出版社,第三版,2013 年 7 月。
6. 鄭玉波、劉宗榮修訂,保險法論,三民書局,第九版,2012 年 2 月。
7. 劉佐國,個人資料保護法釋義與實務:如何面臨個資保護的新時代,
7. 劉佐國,個人資料保護法釋義與實務:如何面臨個資保護的新時代,