第四章 現行我國對身分竊用問題的處理
第三節 個人資料保護法律
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
故亦屬《刑法》偽造文書罪定義的一種文書,所以其論罪方式與實體 文書無異。
第三節 個人資料保護法律
第一項 1995 年《電腦處理個人資料保護法》
2741990 年 9 月間,行政院鑑於政府機關與民間企業開始大量使用 電腦儲存、處理所蒐集的個人資料,並廣泛予以利用,其流通與運用 得當者,對於交易安全保障、整體經濟發展、社會秩序維護與學術研 究均有助益;然如有誤用或濫用情事,勢必嚴重侵害個人隱私權益,
爰指示法務部研擬相關法律,作為利用個人資料與保護隱私權益的基 本 規 範 。 是 時 我 國 正 積 極 推 動 加 入 國 際 貿 易 組 織 (World Trade Organization: WTO),而歐盟各國一向對個人資料之保護十分重視,為 避免在加入 WTO 組織協商過程中,被指摘我國對個人資料保護不力,
法務部乃擬定立法計畫積極進行研擬法案工作。經先後邀請學者專家 與機關團體,舉行數十次研商會議後,法務部於 1992 年 6 月間研擬 完成《電腦處理個人資料保護法草案」,報請行政院審查後函請立法
274 參考自劉佐國,「我國個人資料隱私權益之保護—論『電腦處理個人資料保護法』之立法與修法
過程」,律師雜誌,第 307 期,,2004 年一月,42-51 頁。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
院審議,於 1995 年 7 月完成三讀立法程序,並經 總統於同年 8 月 11 日公布施行,在我國法制史上有關保護個人資料隱私權益方面,
建立一重要之里程碑。
1995 年公布施行之《電腦處理個人資料保護法》(以下簡稱本法)
係參照經濟合作開發組織(Organisation for Economic Co-operation and Development: OECD)所揭示的保護個人資料八大原則(即限制蒐集原 則、資訊內容完整正確原則、目的明確化原則、限制利用原則、安全 維護原則、公開原則、個人參加原則與責任原則)所制訂,其立法目 的在於避免人格權受侵害及促進資料之合理利用。由於本法嚴格規範 有關個人資料之蒐集、處理及利用行為,為避免對民間衝擊過大,並 考量執法之效能與社會各界接受之程度,爰參酌當時日本之《行政機 關計算機處理個人資料保護法》(行政機関の保有する個人情報の保 護に関する法律)與英國之《資料保護法》(Data Protection Act)立法 例,僅將經電腦處理之個人資料納入保護範疇,至於一般未經電腦處 理或儲存之資料(亦即人工資料)則不適用本法予以保護。另考量個 人資料蒐集之數量與利用情形,除公務機關外,僅限制大量蒐集個人 資料作成個人資料檔案,以供利用之徵信業及以蒐集或電腦處理個人 資料為主要業務之團體或個人(例如「財團法人金融聯合徵信中心」)、 醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業等八類
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
事業,為適用本法之非公務機關。另為怕掛一漏萬,爰授權法務部會 同中央目的事業主管機關指定特定之事業、團體或個人亦得適用本法。
迄今,業經指定適用者計有:期貨業、台北市產物人壽保險商業同業 公會、中華民國產物保險商業同業公會、中華民國人壽保險商業同業 公會、財團法人台灣更生保護會、財團法人犯罪被害人保護協會、不 動產仲介經紀業、利用電腦網路開放個人資料登錄之就業服務業(人 力銀行)、百貨公司業及零售式量販業、除語文類科外之文理類補習 班、無店面零售業、錄影節目帶出租業、運動場館業等十三個事業或 團體。非屬上開法定之八類事業或經指定適用本法者,則均不受本法 規範。
因為《電腦處理個人資料保護法》適用行業限制較知名的案例為:
國內知名的「博客來網路書店」網站,2007 年發生民眾購買金馬影 展套票,回覆會員註冊成功的電子郵件,夾帶其餘 477 位註冊成功之 會員資料含會員帳號、姓名、地址、電話、手機、電子信箱資料,外 流到其他數百人之信箱之中。曾某等十七位受害人,為此提起損害賠 償訴訟,要求博客來依個資法及侵害隱私權,賠償各人九至十萬元。
台北地方法院 2008 年 11 月 18 日 97 年度訴字第 1683 號判決博客來 必須賠償每人二千四百元至一萬一千九百元不等。法官審理認為,本 案確實是因為被告人員業務處理疏失,才將原告曾某等十七人的姓名
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
等個人資料,無端附加在購票確認系統回覆電郵,公開揭示和購票目 的無關的第三人,自屬侵害隱私權,原告主張受有非財產上的損害有 理由。至於違反個資法部分,法官認定博客來網站不是《電腦處理個 人資料保護法》規定的非公務機關,原告不能依該法求償。
另外,對於違反本法規定,侵害個人資料隱私權益之行為人,僅 限意圖營利者始有刑事責任。違法蒐集、處理或利用個人資料,對個 人權益的侵害不可謂不大,但依《電腦處理個人資料保護法》第 33 條規定,需具有意圖營利的主觀構成要件,始能科處刑事責任。以臺 灣臺北地方法院為例,摘錄違反《電腦處理個人資料保護法》之刑事 有罪判決 5 例供參,如「表 3」275。如未有營利的意思或意圖,即使 故意洩漏了大筆個人資料,亦無法追究其刑責276,如其亦非為蒐集機 關之負責人,則無法課以行政責任(罰鍰),而民事損害賠償責任,
本法則規定應由蒐集機關本身負責。因此,如有不肖員工違法洩漏個 人資料,只要聲稱未有營利之意圖,又無具體事證可資證明其有獲利 之事實,幾乎無法可罰而殊有不公,對於惡意的資料外洩者,亦缺乏 儆戒的效果。277
275 資料來源:作者自行蒐集分析。使用資料庫:司法院法學資料檢索系統-判決查詢;案由檢索字
詞:「個人資料保護」。資料庫回傳查詢結果僅 13 筆,經檢視內容,其中 5 筆與違反《電腦處理 個人資料保護法》有關。裁判日期格式為中華民國年月日。最近檢索日:2012/07/09。
276 實務上曾查獲某中學老師長期將學生個人資料提供給經營補習班之友人,由於該老師堅稱未收受
報酬,又無其他意圖營利之具體事證,致無法追究渠本法規定之刑事責任。轉註自劉佐國(2004)。
277 同前註。
‧
‧
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
徵信業及資訊業者、網購賣家及公務機關。大部分案例引用現行個人 資料保護法第 18 條或第 28 條作為請求權基礎,此兩條文在新法依然 存在,僅有賠償額度自每人每事件 2 萬元以上 10 萬元以下,修正為 500 元以上 2 萬元以下;而同一原因事實合計最高賠償額,則由 2,000 萬元提高至 2 億元,如該原因事實所涉利益超過 2 億元,以該所涉利 益為限,是如當事人能證明超過外洩者獲有超過 2 億元之利益時,其 賠償額將會更高。
實際判賠之金額部分,唯一一件公務機關為被告之案件(臺灣臺 北地方法院 99 年度北國簡字第 16 號判決)遭判賠 5,000 元,與現行 個人資料保護法規定下限 2 萬元不符。由該判決析之,似與原告並未 主張法院應適用現行個人資料保護法第 27 條規定作為損害賠償額度 審酌之標準有關,並非係參酌新個人資料保護法規定降低賠償額度,
始作為賠償額度僅有 5,000 元之決定因素。其他 8 件賠償案例,賠償 金額均自 2 萬元起跳,除有 2 萬元、3 萬元及 8 萬元案件各一件以外,
有三位被告被判應賠償 10 萬元,超過 10 萬元則有 13 萬 7,900 元、
15 萬元、21 萬 4,500 元及 25 萬元者。
新《個人資料保護法》有關民事損害賠償規定之構成要件,規定 於第 28 條(針對公務機關):及第 29 條(針對非公務機關):「違反 本法規定致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利」
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
者。條文規定較舊《電腦處理個人資料保護法》更為詳盡,當事人得 據此加以求償之範圍,不僅僅止於個人資料被洩漏情形,舉凡違法蒐 集、應告知當事人而未告知、應通知而未通知、逾期保存或利用個人 資料、當事人請求更正或刪除卻未為之等等,均可能符合求償之構成 要件。而其他各種違反個人資料保護法要件的情狀,如個人資料外洩、
應通知未通知、逾期保存資料等侵害權利之行為,當事人勢將難以證 明其實際損害額之多寡,如此皆可適用新個人資料保護法第 28 條第 3 項規定,由法院以自由心證方式,酌定賠償金額。此時審判者究應 如何衡量其損賠金額之高低?判斷標準為何?勢必將成為攻防焦點 與審判爭議。279
影響層面極廣的新《個人資料保護法》,幾乎涉及所有的企業、
團體,以及個人,然而在立法過程中,由於欠缺充分討論,立委又各 自提出不同版本,以致通過條文完全脫離行政院版本,發生窒礙難行 的情形,業界為此也抱怨連連,認為不宜貿然實施,以避免對社會造 成衝擊。縱觀個資法條文,也確實有若干內容不合時宜之處,諸如 2010 年主要是參考歐盟 1995 年的指令,相關規範已過於陳舊,歐盟 執行委員會已考慮全面檢討修正,我國似也應納入參考。又第 6 條對
279 葉奇鑫、李相臣,「淺談個人資料保護法民事賠償責任及數位鑑識相關問題」,《司法新聲》,第
101 期,2012 年一月。頁 45。資料來源:ja.lawbank.com.tw/pdf/司法新聲 101 期_第 3 篇.pdf,(前 次檢索日: 2012/06/22)
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
於敏感性個人資料,包括醫療、基因、性生活、健康檢查及犯罪前科 等個人資料蒐集、處理或利用之限制過於嚴苛,完全違背現況;第 54 條對於間接蒐集個人資料,必須在一年內告知才能處理或利用,
執行上確有困難。另新法刑責過重,違反個資法動輒面臨刑事責任,
這些問題確實有檢討修正的必要。280
第二項 2010 年《個人資料保護法》
我國對於個人資料之保護規範,始於 1995 年頒布之《電腦處理 個人資料保護法》,後於 2010 年 4 月 27 日經立法院三讀修正通過,
並於同年 5 月 26 日經總統公布之新《個人資料保護法》,為該法第
並於同年 5 月 26 日經總統公布之新《個人資料保護法》,為該法第