第二章 我國社會福利資料蒐集、處理與利用之法律規範
第二節 資料保護法制
第一項 電腦處理個人資料保護法
我國第一部針對資料保護全方位的立法,是民國八十四年通過施行的「電 腦處理個人資料保護法」,其立法背景是為因應電腦科技進步迅速且使用日趨普 及,使得各類資料的處理變得較以往大量且快速,個人資料經電腦處理後,如有 濫用或不當利用之情事,將對人民隱私等權益造成重大危害,並使政府推展自動 化工作增加困擾92;此外,當時政府致力推展台灣成為亞太營運中心的政策,必 須符合外國對個人資料法制之要求,亦是促使該法快速通過的原因93。該法主要 參考「經濟合作及發展組織」(Organisation for Economic and Development, OECD) 於1980 年通過「有關個人資料之國際流通及隱私權保護準則」,該準則共五章二 十二條,其中第二章規定國內個人資料保護之八大原則,此八大原則相當程度的 表現在舊個資法的諸多條文94:
(一)限制蒐集原則:亦即對於個人資料之蒐集應予以限制,並以適法公平的方式 為之,必要時應讓當事人有知悉或同意的機會,其內涵與上述比例原則中的「最 小侵害手段」相當。在舊個資法具體設計中要求對個人資料之蒐集,應尊重當事 人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍蒐集(第 6 條);
公務機關蒐集個人資料非有特定目的並符合特定例外事由95,不得為之 (第 7 條);公務機關應公告對於個人資料蒐集、處理及有關政策之制定之事項96(第 10
92 許文義,前揭(註 10)書,頁 94-96。
93 王郁琦,網路上的隱私權問題,資訊法務透析,1996 年 10 月,頁 40。
94 就此,可參劉定基,個人資料的定義、保護原則與個人資料保護法適用的例外-以監視錄影 為例(下),月旦法學教室第 119 期,2012 年 9 月,頁 39-43;許文義,個人資料保護法論,三民,
2001 年,頁 162-163。
95 包括:1.於法令職掌必要範圍內者。2.經當事人書面同意。3.對當事人權益無侵害之虞。
96 包括: 包括檔案名稱、保有機關名稱、利用機關名稱、保有之依據及特定目的、個人資料之類 別、範圍、蒐集方法、通常傳遞之處所及收受者、國際傳遞個人資料之直接收受者、受理查詢、
更正或閱覽等申請之機關名稱及地址。
‧
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
條);非公務機關蒐集個人資料,非有特定目的並符合特定例外事由97,不得為之 (第 18 條)。
(二)資料正確原則:資料於特定目的範圍內應保持正確、完整、最新的狀態。舊 個資法要求公務機關及非公務機關就個人資料之蒐集或利用,應尊重當事人之權 益,依誠實及信用方法為之(第 6 條);公務機關應維護個人資料之正確,並應依 職權或當事人之請求適時更正或補充之(第 13 條)。
(三)目的特定原則:資料蒐集的目的應於蒐集之時即特定,其後之利用不得牴觸 最初蒐集之目的,目的變更時亦應特定之。除非法律另有規定或當事人同意,不 得為特定目的外之利用。其內涵相當於上述「目的拘束原則」,公務機關及非公 務機關非有特定目的並符合特定例外事由,不得蒐集、處理及利用個人資料(第 6、7、898、10、18、2399條)。
(四)利用限制原則:除非法律另有規定或當事人同意外,不得為目的外之利用,
其內涵亦與前述比例原則相當。該原則內涵具體展現在舊個資法第 8 條(公務機 關)及第 23 條(非公務機關)。
(五)安全維護原則:公務機關保有個人資料者,應採取適當的安全措施,防止資 料遺失、未經授權被存取、毀損、使用、竄改或洩漏之風險。舊個資法即規定,
公務機關保有個人資料檔案者,應指定專人依相關法令辦理安全維護事項,防止 個人資料被竊取、竄改、毀損、滅失或洩漏(第 17 條)。
97 包括:1.經當事人書面同意者。2.與當事人有契約或類似契約之關係而對當事人權益無侵害之虞 者。3.已公開之資料且無害於當事人之重大利益者。4.為學術研究而有必要,且無害於當事人之 重大利益者。5.依本法第三條第七款第二目有關之法規及其他法律有特別規定者。
98 公務機關利用個人資料非有特定目的並符合 1. 法令明文規定者。2.有正當理由而僅供內部使 用者。3.為維護國家安全者。4. 為增進公共利益者。5. 為免除當事人之生命、身體、自由、或 財產上之急迫危險者。6.為防止他人權益之重大危害而有必要者。7.學術研究而有必要,且無害 於當事人之重大利益者。8 有利於當事人權益者。9.當事人書面同意者等九要件之一者,不得為 之。
99 非公務機關利用個人資料非有特定目的並符合 1.為增進公共利益者。2. 為免除當事人之生 命、身體、自主或財產上之急迫危險者。3.為防止他人權益之重大危害而有必要者。4.當事人書 面同意者等四要件之一者,不得為之。
‧
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
(六)公開透明原則:鑒於個人資料檔案公告後,當事人可得知其情,進而行使舊 法第4 條之查詢及請求閱覽、請求製給複製本、請求補充或更正、請求停止電腦 處理及利用、請求刪除等權利。對於個人資料蒐集、處理及有關政策之制定等皆 應公開之。公務機關得藉由公告免去主動個別告知的義務。其內涵相當於前述「透 明原則」。具體展現在舊個資法第10 條。
(七)個人參與原則:基於資訊自決之理念,當事人對於其自身之個人資料應有一 定之控制權,具體而言應包含以下幾個面向:(1)向管理人確認其是否擁有關於 己身之資料。(2)有權於合理期間,以合理的金額及方式知悉關於己身之資料(3) 於前述請求被拒絕時,有權獲知其理由並得加以異議。(4)異議有理由時,得請 求刪除、更正、補充或修改相關資料。在舊個資法規定下,當事人程序權不得預 先拋棄(第 4 條),公務機關依請求答覆查詢、提供閱覽或製給複製本之義務(第 12 條),相對地,申請人應負擔一定查詢、提供閱覽或製給複製本之行政費用(第 16 條)
(八)課責原則:資料管理人違反相關原則時應負一定之責任。其中管理人為公務 機關者,應負「通常事變責任」,即除因天災、事變或其它不可抗力原因外,因 此造成當事人權益受損害者,皆應負損害賠償責任(第 27 條);管理人為非公務 機關者,應負「推定過失責任」,亦即先推定當事人有故意過失,但其可透過舉 證免責(第 28 條)。在主觀責任條件上,立法者顯然認為公務機關應負較非公務 機關更重的損害賠償責任。
綜上所述,本文整理於下表
個人資料保護原則 舊個資法條文 對應我國憲法原則內涵 限制蒐集原則 第6 條(蒐集、處理、利用個資基
本原則)
第7 條(公務機關蒐集、處理個資
比例原則(憲法第 23 條)
‧
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
之要件)
發展,運用足以確保資訊正 確及安全之方式為之,並對 所蒐集之指紋檔案採取組 織上與程序上必要之防護 措施(釋字 603 號解釋) 公開透明原則 第10 條(公務機關公告義務)
個人參與原則 第4 條(程序權不可拋棄)
第 12 條(公務機關答覆查詢、提 供閱覽或製給複製本之義務) 第 16 條(查詢、提供閱覽或製給 複製本之行政費用)
資訊自決理念
課責原則 第27 條(公務機關) 第28 條(非公務機關) 圖表來源:作者自繪
第二項 個人資料保護法
舊個資法施行後,由於許多規範並不全面以及適用上之諸多疑義,迭有修 法之呼籲,2003 年法務部通過之「電腦處理個人資料保護法修正草案」(此即為 現行個人資料保護法之前身)某程度呼應了這些缺失,其修正重點如下100: (一)擴大保護客體:舊法的保護範圍顧名思義,限於「經電腦處理之個人資料」,
然觀察 OECD 上述原則之宗旨,其對於處理資料之技術應係採中立觀點,並不 限於「自動化資料」(automated data)。故將保護課體予以擴大,不再以經電腦處
100 就此可參劉佐國,我國個人資料隱私權益之保護-論「電腦處理個人資料保護法」之立法與 修法過程,律師雜誌第307 期,2005 年 4 月,頁 47-50;李震山,「電腦處理個人資料保護法」
之回顧與前瞻,中正法學集刊第14 期,頁 31-42;劉靜怡,不算進步的立法:「個人資料保護法」
初步評析,月旦法學雜誌第183 期,頁 148-151。
‧
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
理之個人資料為限,而將人工資料併予納入。
(二)擴大適用主體:舊個資法第 3 條第 7 款下的非公務機關包含:(1)徵信業及以 蒐集或電腦處理個人資料為主要業務之團體或個人。(2)醫院、學校、電信業、
金融業、證券業、保險業及大眾傳播業。(3)其他經法務部會同中央目的事業主 管機關指定之事業、團體或個人。如此列舉式的規範方式,造成實務上許多應規 範而解釋上無法涵蓋在內之私人,例如:網路服務業者、多層次傳銷公司、保險 經紀人、代理人等,特別是新興的電子商務業者及新興網路業者,若不將之納入,
則保障個人免受各種型態侵害之立法本意無法落實。故刪除非公務機關行業別之 限制,改採概括規範之方式,即任何自然人、法人或其他團體,除為單純個人或 家庭活動之目的,而蒐集、處理或利用個人資料外,皆適用本法。相應的原本列 舉私人事業經許可始得蒐集個人資料之規定亦廢除之。
(三)增訂告知後同意之規範:舊個資法雖賦予當事人請求答覆查詢、提供閱覽或 製給複製本等程序權,但並未規定機關就相關事項的告知義務,又當事人就其個 人資料之蒐集、處理或利用之同意,多數是在不了解相關事項及權利義務下所為 的同意,是以明訂蒐集與處理或利用時皆應對當事人告知,並且明定告知之方式 及內容(包含蒐集機關名稱、蒐集之目的、個人資料之類別、個人資料利用之期 間、地區、對象及方式、當事人得行使之權利、方式及對象、當事人提供資料係 基於自由選擇或義務及提供或不提供資料時對其權益之影響)。惟同條同時增定 許多得例外不告知之情形。
(四)敏感性資料之特別限制:有關醫療、基因、性生活、健康檢查及犯罪前科等 敏感性資料為特種資料,其蒐集、處理或利用之要件較一般個人資料更為嚴格。
(四)敏感性資料之特別限制:有關醫療、基因、性生活、健康檢查及犯罪前科等 敏感性資料為特種資料,其蒐集、處理或利用之要件較一般個人資料更為嚴格。