論客戶資訊之保護--- 以個人資料保護法與營業秘密法為核心 - 政大學術集成

全文

(1)國立政治大學科技管理與智慧財產研究所碩士論文. 論客戶資訊之保護--以個人資料保護法與營業秘密法為核心 The Protection of Customer Information Based on Privacy and Trade Secrets. 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. i n U. v. 指導教授: 李治安博士研究生: 吳展宇撰中華民國一 O 三年六月. .

(2) 謝辭論文有幸能夠順利在一學期內完成，真的要多謝身邊的許多貴人。首先要感謝治安老師這一路上的支持與鼓勵，每個月定期與我討論論文進度，有耐心且細心地給予我修正的建議及寫作方向，能成為您的學生真是我的榮幸!另外，謝謝宗倫老師和龍昇老師熱心擔任口試委員，在論文修正上給了我很多建議及啟發，而我也依您們的指示作修改，使論文內容更加完整。至於萬學長在資訊管理措施方面的建議，更是打通我的任督二脈，使我對於美國及台灣的個資保護措施有更精確的認識，我一直感激在心。. 政治大迷失，苦苦找尋那有如珍珠一般的有用資料。幸好我身邊有群一起寫論文的好夥立在論文寫作的過程中，總會有遙遙無期的苦悶感，時常在茫茫的資料大海中. ‧ 國. 學. 伴，同門的雅心、美盈、倚瑄、慧芸，以及好友書帆、孟皓、旭高等人的陪伴，在我們彼此加油打氣下，大家都順利地在這個暑假結束前通過論文口試。於前往. ‧. 人生下個里程碑的同時，在此先祝福各位未來在各領域發展皆有所成就。. Nat. sit. y. 最後，感謝我的家人一直以來的支持，容忍我在研究所的三年期間內，得以. er. io. 無後顧之憂地求學並準備國家考試，並在該考試結束後全心全意寫論文。雖然這. al. v i n Ch 有勇氣面對這一連串的關卡，而我之後也會繼續努力不懈，好回報你們對我的鼓 engchi U 勵與期待。 n. 一路上並非十分平坦，但我想我已經是個很幸運的人，因為有你們作後盾，我才. .

(3) 論客戶資訊之保護 ‐‐‐以個人資料保護法與營業秘密法為核心摘要 . 論客戶資訊之保護--以個人資料保護法與營業秘密法為核心中文摘要客戶資訊對於企業而言是重要資產，其為企業帶來許多競爭上優勢。為了解消費者之需求及喜好，以提供合適之商品或服務，企業多半會將其彙整並建置成資料庫。然而，該等資訊多涉及客戶個人之資訊隱私，企業在蒐集、處理及應用時，應特別注意各該法規之要求，故本文將美國針對個人資訊隱私保護之各類判. 政治大提醒跨國企業在客戶資訊的蒐集及應用上所應注意之事項，並降低企業之遵法成立. 決及專法加以介紹，並與台灣之「個人資料保護法」(以下簡稱個資法)相互對照，. ‧ 國. 學. 本與違法風險。. ‧. 另外，客戶資訊若符合法定要件，可構成企業之營業秘密而受保護。美國「統一營業秘密法」、「經濟間諜法」及「反不正競爭法」中提供數種判斷標準，而. y. Nat. sit. 這些標準已逐漸被各州法院所採納。相較之下，台灣營業秘密法於民國 85 年制訂. er. io. 施行後，近期亦參考美國經濟間諜法而增訂刑事責任，用以嚇阻惡意侵害營業秘. al. n. v i n Ch 的規定，其與營業秘密法之適用上競合，亦為本文探究之重點。 engchi U. 密之行為。至於我國公平交易法就營業秘密之保護，則集中在該法第 19 條第 5 款. 因此，本文基於台美法制之比較目的，將研究範圍限於美國之個人資訊隱私保護專法及判決、統一營業秘密法、經濟間諜法及反不正競爭法等層面；台灣法亦限於個人資訊保護法、營業秘密法及公平交易法之探討，以及各該法規之交錯適用，並以表格的方式，將違反上述法規時所應負之民事責任、刑事制裁或行政罰之異同作出比較，便利讀者參考。. 另一方面，個資法之「安全措施」及營業秘密之「合理保密措施」兩者雖皆屬保護客戶資訊之措施，但實務上之認定標準並不相同。企業應如何妥善保管其所擁有之客戶資訊，方能符合上述兩種措施之要求，亦為本文討論之重點，故本 i .

(4) 論客戶資訊之保護 ‐‐‐以個人資料保護法與營業秘密法為核心摘要 . 文將針對台美兩國就上述兩種措施之認定標準進行介紹並相互比較，以提供業界一套具體之管理措施，便利跨國企業維護其所擁有之客戶資訊，提升企業營運效能，並增加客戶之信賴度。當客戶個人資料不幸被他人盜取時，企業得以控管損害之範圍，甚而可對客戶資訊之盜取者主張營業秘密侵害之損害賠償及相關罰則，以便公司順利經營，避免不必要的損失。. 關鍵字：客戶資訊、個人資料、安全措施、營業秘密、合理保密措施. 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. ii . i n U. v.

(5) The Protection of Customer Information Based on Privacy and Trade Secrets. Abstract . The Protection of Customer Information Based on Privacy and Trade Secrets Abstract Customer information is an important asset to the corporations, and it brings the corporations a lot of competitive advantages. To learn more about what the customers’ needs, the corporations often establish databases to store the information. However, Customer information is always related to the customer privacy, and the corporations. 政治大 Therefore, this article introduces 立 U.S. judgments and regulations about protecting the should follow the regulations when they collect, manage and use that information.. ‧ 國. 學. confidentiality of personally identifiable information, and compares them with the Personal Information Protection Act in Taiwan, to remind multinational enterprises. y. Nat. . sit. risk.. ‧. about the regulations for attention, and to reduce the cost of compliance and the legal. er. io. On the other hand, customer information can be the trade secret. U.S. Uniform. al. Trade Secrets Act, Economic Espionage Act of 1996(EEA), and Restatement (Third) of. n. v i n C h criteria for identifying Unfair Competition provide various e n g c h i U the trade secret, and these. criteria are gradually accepted by the district courts. In contrast, the Trade Secrets Act in Taiwan is enacted in 1996, and amended in 2013. The amendment to the Trade Secrets Act is based on EEA, and it provides that one who intentionally misappropriates another's trade secret shall be penalized. Furthermore, the Fair Trade Act § 19(5) also provides for the trade secret protection, and this article introduces the comparison about trade secret protection between the Trade Secrets Act and the Fair Trade Act. Therefore, to compare the legal protection of customer information between U.S. and Taiwan, this article narrows the range of research to U.S. Uniform Trade Secrets Act, Economic Espionage Act of 1996(EEA), Restatement (Third) of Unfair iii .

(6) The Protection of Customer Information Based on Privacy and Trade Secrets. Abstract . Competition, and the judgments and regulations about protecting the confidentiality of personally identifiable information. It also introduces the Trade Secrets Act, the Fair Trade Act, and the Personal Information Protection Act in Taiwan. Furthermore, this article introduces how to utilize the protection of these regulations, and makes tables to illustrate the legal effect, including the damages, penalties and fines, if someone breaches these regulations.. On the other hand, both the “proper security measures” in the Personal Information Protection Act and the “reasonable measures to maintain secrecy” in the Trade Secrets Act are measures to protect customer information, but the criteria of these. 政治大 these measures, and compares 立 the criteria of the measures in Taiwan with those in U.S., measures are different. This article introduces how to keep customer information with. ‧ 國. 學. to provide multinational enterprises with the more convenient customer information management system, and then improve the operating efficiency and customers’ trust.. ‧. Furthermore, if customer information is stolen by someone, the corporations can control the damage, and claim for compensation. Therefore, they can avoid excess loss,. Nat. er. io. sit. y. and operate smoothly.. al. Key words: customer information, personally identifiable information, proper. n. v i n Creasonable security measures, trade secret, to maintain secrecy h e n gmeasures chi U. iv .

(7) 論客戶資訊之保護 ‐‐‐以個人資料保護法與營業秘密法為核心目錄 . 目錄第一章 . 緒論 .............................................................................................................. 1 . 第一節研究背景與動機 ........................................................................................ 2 第二節 . 名詞定義---個人資料、營業秘密 ...................................................... 3 . 第三節 . 研究範圍與限制 .................................................................................. 5 . 第四節研究架構與章節安排 ................................................................................ 6 第二章 . 客戶資訊在美國法上之保護 ...................................................................... 9 . 第一節. 個人資訊隱私之保護 ............................................................................ 9 . 壹、美國憲法對於個人資訊隱私之保護 ...................................................... 9 . 政治大. 貳、隱私權法 ................................................................................................ 10 . 立. 參、特殊類型資訊之保護法制 .................................................................... 14 . ‧ 國. 第二節. 學. 肆、美國之判決先例 .................................................................................... 19 統一營業秘密法 .................................................................................. 22 . ‧. 壹、營業秘密之要件 .................................................................................... 23 貳、營業秘密之盜用行為 ............................................................................ 30 . y. Nat. sit. 參、營業秘密案件之審理 ............................................................................ 32 . er. io. 肆、違反本法的法律責任 ............................................................................ 32 . al. n. v i n Ch 壹、本法就「營業秘密」之定義 ................................................................ 33 engchi U. 第三節. 經濟間諜法 .......................................................................................... 33 . 貳、經濟間諜之處罰 .................................................................................... 34 參、竊取營業秘密之處罰 ............................................................................ 36 肆、本法就「犯罪行為人」之定義 ............................................................ 38 伍、偵查與起訴 ............................................................................................ 39 陸、證據 ........................................................................................................ 40 柒、沒入財產之規定 .................................................................................... 40 捌、訴訟保密之規定 .................................................................................... 41 玖、民事禁制令與管轄之規定 .................................................................... 41 拾、小結 ........................................................................................................ 42 第四節. 反不正競爭法 ...................................................................................... 43 v . .

(8) 論客戶資訊之保護 ‐‐‐以個人資料保護法與營業秘密法為核心目錄 . 壹、本法就營業秘密之定義 ........................................................................ 43 貳、營業秘密之盜用 .................................................................................... 44 參、違反本法之法律責任 ............................................................................ 46 第五節小結 .......................................................................................................... 47 第三章. 客戶資訊在我國法上之保護 ...................................................................... 54 . 第一節. 個人資料保護法的保護 ...................................................................... 54 . 壹、客戶資訊為個資法之保護標的 ............................................................ 54 貳、資訊蒐集者之告知義務 ........................................................................ 56 參、資訊蒐集者之答覆查詢及補充更正義務 ............................................ 58 肆、主動或依當事人之請求刪除或停止利用個資之規定 ........................ 59 . 政治大陸、國際傳輸之限制 .................................................................................... 62 立伍、目的外利用之限制 ................................................................................ 60 . ‧ 國. 學. 柒、對主管機關檢查之配合義務 ................................................................ 64 捌、應對客戶資訊採取適當之安全措施 .................................................... 65 . ‧. 玖、委託他人蒐集、處理或利用個人資料時之監督義務 ........................ 66 拾、違反本法規定所應負之責任 ................................................................ 67 . Nat. y. 營業秘密法的保護 .............................................................................. 71 . sit. 第二節. er. io. 壹、營業秘密之成立要件 ............................................................................ 71 . al. v i n Ch 參、營業秘密之侵害行為態樣 .................................................................... 75 engchi U 肆、違反本法之民事責任 ............................................................................ 77 n. 貳、客戶資訊為營業秘密法之保護標的 .................................................... 73 . 伍、違反本法之刑事責任 ............................................................................ 78 第三節. 公平交易法的保護 .............................................................................. 83 . 壹、適用之對象 ............................................................................................ 84 貳、禁止之行為 ............................................................................................ 84 參、違反本法之法律效果 ............................................................................ 85 第四節. 適用法律的競合 .................................................................................... 88 . 壹、「營業秘密法」與「公平交易法」之競合 .......................................... 88 貳、公平交易法第 45 條之適用 .................................................................. 90 第五節. 小結 ...................................................................................................... 95 vi . .

(9) 論客戶資訊之保護 ‐‐‐以個人資料保護法與營業秘密法為核心目錄 . 第四章. 企業就客戶資訊可採取之管理措施 ........................................................ 103 . 第一節. 美國法上之管理措施 .......................................................................... 103 . 壹、個人資訊隱私之合理安全措施 .......................................................... 103 貳、統一營業秘密法之合理保密措施 ...................................................... 114 參、個人資訊隱私與營業秘密之管理措施異同比較 .............................. 119 第二節. 我國法上之管理措施 .......................................................................... 122 . 壹、個資法之適當安全措施 ...................................................................... 122 貳、營業秘密法之合理保密措施 .............................................................. 135 參、個人資料保護與營業秘密之管理措施異同比較 .............................. 139 第五章. 結論與建議 .............................................................................................. 142 . 政治大. 參考文獻 ...................................................................................................................... 144 . 立. . . y. sit. al. n. . io. . Nat. . er. . ‧. . ‧ 國. . 學. . Ch. engchi. vii . i n U. v.

(10) 論客戶資訊之保護 ‐‐‐以個人資料保護法與營業秘密法為核心目錄 . 表目錄表 1 美國個人資訊隱私保護及營業秘密法制之比較 ............................ 47 表 2 我國個資保護與營業秘密法制之比較 ............................................ 95 表 3 美國個人資訊隱私與營業秘密之管理措施比較 .......................... 119 表 4 產業個人資料保護快速自我檢視 .................................................. 124 表 5 我國實務肯認之合理保密措施態樣 .............................................. 136 表 6 我國個資保護與營業秘密之管理措施比較 .................................. 139 . 立. 政治大. Nat. sit. y. ‧. ‧ 國. 學圖目錄. er. io. 圖 1 研究架構與章節安排 .......................................................................... 7 . al. v i n Ch 圖 3 個資保護管理執行小組 .................................................................. 129 engchi U 圖 4 法規命令及相關主管機關之規範 .................................................. 131 n. 圖 2 HIPAA 的隱私保護原則 ..................................................................... 19 . 圖 5 建立個資盤點清冊 .......................................................................... 132 圖 6 個資風險之因應對策類型 .............................................................. 133 圖 7 PDCA 流程 ......................................................................................... 135 . viii .

(11) 論客戶資訊之保護 ‐‐‐以個人資料保護法與營業秘密法為核心第一章緒論 . 第一章. 緒論. 在企業之經營過程中，掌握客戶資訊，了解消費者之需求及喜好，以提供合適之商品或服務，乃營運不可或缺之一環，更是為企業帶來競爭優勢之關鍵。而在高度仰賴客戶關係之產業，例如:銀行理財專員、保險業或其他擔任業務角色之人員，掌握客戶資訊，時常與客戶保持密切聯繫，逢年過節對客戶表達關心，更是維持客戶信賴度及忠誠度的要件之一，對品牌形象之塑造佔有舉足輕重的地位。因此，客戶資訊或客戶清單對於企業來說是重要資產，擁有大量客戶資訊之企業多半會將其彙整並建置資料庫，藉由統計方法進行交叉比對，以了解消費者之喜. 政治大. 好，開發客戶之潛在需求；或是藉由客戶聯繫，保持良好之客戶關係，經由口碑. 立. 相傳，開發更多的潛在客戶。. ‧ 國. 學. 然而，持有大量的客戶清單，勢必得承擔可能外洩之風險，而同業間所派出. ‧. 之商業間諜對客戶資訊虎視眈眈，更是讓人防不勝防。由於客戶資訊多涉及客戶之個人資訊隱私，一旦外洩係因企業未採取適當之安全措施，而違反個人資料保. y. Nat. sit. 護法(以下簡稱個資法)之規定時，企業將因此負法律責任。此外，縱使客戶資訊. er. io. 對企業具有經濟價值，但若企業未對其採取合理保密措施，則一旦該等資訊被競. al. n. v i n Ch 秘密法之法律責任。而營業秘密在公平交易法(以下簡稱公平法)上亦受到保護， engchi U. 爭者竊取，企業亦無法主張竊取者係侵害其營業秘密，要求竊取者需負違反營業. 該法所規範之要件為何，其保護密度與營業秘密法之保護密度相比，孰高孰低，亦值得深究。. 由上可知，客戶資訊受到個資法、營業秘密法及公平法之交錯保護，其適用上之競合，以及企業應採取何等管理措施，方能同時符合「安全措施」及「合理保密措施」之要求，以避免可能之法律風險，乃本文所欲探討之重點。另外，由於美國及我國之貿易往來關係密切，且我國營業秘密法多半參照該國之「統一營業秘密法」及「經濟間諜法」所制定，而該國之個人資訊隱私法規及競爭法規亦發展完善，因此本文以美國法制作為比較法之對象，比較兩國法規之不同，並提出企業在兩國之間所應採取之「安全措施」及「合理保密措施」為何，以供跨國 1 .

(12) 論客戶資訊之保護 ‐‐‐以個人資料保護法與營業秘密法為核心第一章緒論 . 企業在營運上之參考及運用。. 第一節研究背景與動機在數位資訊時代，大量客戶資訊集結形成巨量資料(big data)，對於企業在商業利用上佔有舉足輕重的地位，例如:統計客戶的需求量，制定適當的訂價策略，或是依照客戶的年齡層，提供適合的商品與服務，抑或是藉由現有的客戶，開發潛在的客戶等，可見客戶名單在商業實務上扮演的角色及價值是多面向的。其中，大量依賴業務員、顧客聯繫的產業(例如:保險業、直銷業等)，更是將顧客資訊視為其重要資產，並提撥大量資源在客戶名單維護及顧客聯繫上，希望藉由該等機. 政治大. 密資訊之持有及利用，可以在商場競爭中，獲得較多競爭上的優勢。而在法律層. 立. 面上，客戶資訊於符合法定要件時，亦可成為營業秘密法之保護標的，此一規定. ‧ 國. 學. 對於企業之影響，亦值得深究。在實務上，有許多案例爭執「客戶資訊」是否有受營業秘密法保護之適格性，有些律師甚至認為「客戶資訊」是營業秘密法上最. ‧. 常在訴訟中被爭執的主題，且美國判例法上甚至認為縱使已採取許多安全預防措施，客戶資訊仍有可能不受營業秘密法之保護1。因此，該採取何種方式才能讓客. y. Nat. al. er. io. sit. 戶資訊成為營業秘密法之保護範疇，乃本文研究之重點。. n. v i n C h603 號、第 689 號解釋所肯認。由於電腦的龐大資我國司法院釋字第 585 號、第 engchi U 另一方面，個人資料之自主權，屬憲法所保障人性尊嚴與隱私權之一環，為 2. 料儲存與快速運算能力，使得各行各業莫不利用電腦建立顧客之個人資料檔案，以作為顧客服務或開發商機使用，民眾之姓名、住址、電話、證件號碼等基本資. 料被廣泛蒐集，使個人資料隱私面臨極大風險。2004 年優力國際行銷公司蒐集台灣地區民眾逾一千五百萬筆個人資料，並將該等資料違法販售給詐騙集團供詐騙                                                        . 1. HJ Silberberg, EG Lardiere, Eroding Protection of Customer Lists and Customer Information Under the Uniform Trade Secrets Act, 42 THE BUSINESS LAWYER487, 487(1987). 2 司法院釋字第 603 號:隱私權雖非憲法明文列舉之權利，惟基於人性尊嚴與個人主體性之維護及人格發展之完整，並為保障個人生活私密領域免於他人侵擾及個人資料之自主控制，隱私權乃為不可或缺之基本權利，而受憲法第二十二條所保障（本院釋字第五八五號解釋參照）。其中就個人自主控制個人資料之資訊隱私權而言，乃保障人民決定是否揭露其個人資料、及在何種範圍內、於何時、以何種方式、向何人揭露之決定權，並保障人民對其個人資料之使用有知悉與控制權及資料記載錯誤之更正權。惟憲法對資訊隱私權之保障並非絕對，國家得於符合憲法第二十三條規定意旨之範圍內，以法律明確規定對之予以適當之限制。 2 .

(13) 論客戶資訊之保護 ‐‐‐以個人資料保護法與營業秘密法為核心第一章緒論 . 之用一案，引發各界關注，使民眾開始重視個人資料之保護。為因應個人資料自主控制之憲法意旨，我國於 2012 年修訂個人資料保護法(以下簡稱個資法)，對於企業就顧客個人資訊之蒐集、利用與保護等皆有一定程度之要求，避免大規模的資料外洩事件再度發生，使得國人的隱私權益受到保障。然而，在另一方面，新修正之規範亦增加企業之遵法成本與違法風險，故於近期深受高度仰賴客戶資訊之產業所關注，希望在蒐集與運用客戶個資時，不僅符合法規之要求，更獲得客戶之信賴。. 因此，本文擬以「論客戶資訊之保護---以個資法與營業秘密相關法規為核心」為題，探討在現行法下，企業應如何妥善保管其所擁有之客戶資訊，方能符合個. 政治大. 資法上「安全措施」之要求，以及營業秘密法上「合理保密措施」之要件。在客. 立. 戶個人資料被他人盜取時，得以控管損害之範圍，甚而可對客戶資訊之盜取者主. ‧. ‧ 國. Nat. 名詞定義---個人資料、營業秘密. io. sit. y. 第二節. er. 失。. 學. 張營業秘密侵害之損害賠償及相關罰則，以便公司之順利經營，避免不必要的損. al. n. v i n Ch 個人資訊的物品或集合；該等資訊包含(不限於)當事人之教育、金融活動、就醫、 engchi U 針對「個人資料」之定義，美國隱私法之定義為「任何被機構所持有之關於. 犯罪或受雇紀錄，而內容具備當事人之姓名或身分證號或其他個人特徵，例如: 指紋、聲紋或照片等3。」. 我國個人資料保護法則對「個人資料」做出以下之定義: 自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料4。.                                                         3 4. 5 U.S.C. § 552 a (a) (4). 參個人資料保護法第 2 條第 1 款。 3 . .

(14) 論客戶資訊之保護 ‐‐‐以個人資料保護法與營業秘密法為核心第一章緒論 . 而針對「營業秘密」之定義，美國統一營業秘密法之定義為「公式、模型、彙編、程式、設備、方法、技術或製程中具備以下二要件者 : (一)因其非廣為周知，且不易以一般方式探知，而具有現實或潛在之獨立經濟價值。一旦其被揭露或使用，將使他人獲得經濟價值。 (二)且擁有者為維持其秘密性，已付出合理之努力，亦即採取合理保密措施5。」. 美國經濟間諜法則將「營業秘密」定義為「所有形式與種類之財務、商業、科學、技術、經濟，或工程方面等資訊，包括式樣、計劃、彙編、程式設備、配方、設計、原型、方式、技術、製程、程序、程式，或代碼，不論其屬有形或無形，或係以何種方式儲存、編輯，或以有體的、電子的、圖像的、照像的、書寫. 政治大. 等方式記載，且符合下列各種情形者：. 立. (一)該等資訊之所有人已採取合理保密措施以確保其秘密性；. ‧ 國. 知，從而衍生出實際或潛在的獨立經濟價值6。」. 學. (二)該等資訊由於非屬一般公眾所廣為知悉，且公眾經由適當方式仍無法輕易探. ‧. 美國反不正競爭法則將「營業秘密」定義為「任何具有價值且機密之資訊，. y. Nat. er. io. 之中7。」. sit. 得為擁有者帶來實際或潛在之經濟上優勢，且擁有者得將該資訊運用在商業營運. al. n. v i n Ch 相較之下，我國營業秘密法將「營業秘密」定義為「方法、技術、製程、配 engchi U. 方、程式、設計或其他可用於生產、銷售或經營之資訊，而符合左列要件： (一)非一般涉及該類資訊之人所知者。 (二)因其秘密性而具有實際或潛在之經濟價值者。 (三)所有人已採取合理之保密措施者。8」.                                                         5. Unif. Trade Secret Act § 1(4).. 6. 18 U.S.C. § 1839(3).. 7. Restatement (Third) of Unfair Competition§ 39.. 8. 參營業秘密法第 2 條。 4 . .

(15) 論客戶資訊之保護 ‐‐‐以個人資料保護法與營業秘密法為核心第一章緒論 . 而我國公平交易法則將「營業秘密」定義為「產銷機密、交易相對人資料或其他有關技術秘密9。」此乃本文所探討之定義中最為簡潔的一個，但也容易產生規範上的漏洞。. 第三節. 研究範圍與限制. 客戶資訊多涉及客戶個人之資訊隱私，在美國法上屬憲法所保障之隱私權的一環。而美國針對個人資訊隱私保護之判決頗多，本文以「受保護之個人資訊範圍」作為標準，將判決分為三類加以介紹。另外，美國針對個人資訊隱私亦訂有. 政治大. 專法加以保護，其中最著名的莫過於隱私權法(Privacy Act)與資訊自由法(Freedom. 立. of Information Act)，以及其後之電腦比對及隱私保護法(Computer matching and. ‧ 國. 學. Privacy Protection Act)。該法除了規範一般政府部門外，更包含國營企業 (Government controlled corporation)在內，值得注意。另外，美國法上針對特定種. ‧. 類之個人資訊亦設有專法保護，本文將就涉及個人財務、信用資訊保護之「公平信用報告法」及「金融服務現代化法」加以介紹；而涉及個人醫療資訊保護之「美. y. Nat. er. io. 內。. sit. 國檔案機密相關法令」以及「醫療保險可攜性及責任法」，亦在本文之討論範圍之. al. n. v i n Ch 相較之下，台灣之個人資訊隱私保護法制相對單純，集中以「個人資料保護 engchi U. 法」加以規範。該法除了要求企業就其所擁有之客戶資訊應採取「安全措施」以避免外洩外，更對企業於蒐集客戶資訊時所應盡之告知義務、將客戶資訊進行國際傳輸時所受之限制等加以詳細規範。由於該規範對於企業之營運亦有所影響，違反者將可能負民事賠償責任、刑事或行政責任，因此本文亦一併加以介紹，提醒企業在客戶資訊的蒐集及應用上應加以注意之事項。. 至於營業秘密之部分，在美國「統一營業秘密法」及「反不正競爭法」中有提供數種常見標準後，這些標準逐漸被各州法院所採納。而「經濟間諜法」則是                                                         9. 參公平交易法第 19 條第 5 款 5 . .

(16) 論客戶資訊之保護 ‐‐‐以個人資料保護法與營業秘密法為核心第一章緒論 . 使國際性營業秘密竊取行為之處理層級提升至聯邦法，且賦予刑事制裁，以達到嚇阻該等行為之效果。因此，當企業之客戶資訊具備營業秘密之要件，而被他人竊取時，竊取者須依統一營業秘密法、經濟間諜法或反不正競爭法負法律責任。. 相較之下，台灣於 1996 年訂定營業秘密法，就營業秘密之保護提供較細緻而明確之規定，且該法於 2013 年參考美國之經濟間諜法而增訂刑事責任規定，以防止我國產業機密之外流。而我國公平交易法關於營業秘密之保護，主要是在該法第 19 條第 5 款「以脅迫、利誘或其他不正當方法，獲取他事業之產銷機密、交易相對人資料或其他有關技術秘密之行為，而有限制競爭或妨礙公平競爭之虞者，事業不得為之。」該條文與營業秘密法交錯適用，形成我國法對於營業秘密之保. 政治大. 護網。因此，當客戶資訊符合營業秘密之要件，而被他人盜用時，盜用者須依營. 立. 業秘密法或公平交易法負法律責任。. ‧ 國. 學. 本文基於台美雙方法制之比較目的，將研究範圍限縮至美國之個人資訊隱私. ‧. 保護、統一營業秘密法、經濟間諜法及反不正競爭法，排除侵權行為法及契約法之探討；台灣法的部分，亦限於個人資訊保護法、營業秘密法及公平交易法之規. y. Nat. er. io. sit. 定，排除刑法及契約法之探討。. al. n. v i n Ch 法之「合理保密措施」兩者雖皆為保護客戶資訊所採取之措施，但用語各異，且 engchi U 另外，在客戶資訊之管理措施方面，由於個資法之「安全措施」及營業秘密. 實務上所採取之認定標準亦不相同，因此就管理措施部分，將針對台灣及美國對於「安全措施」、「合理保密措施」之認定標準進行介紹，分析兩者之標準寬嚴，以提供業界一套具體明確之管理措施，避免客戶資訊外洩及將來可能之法律風險。. 第四節研究架構與章節安排本文之研究架構如以下圖示，期待藉由文獻資料的分析、統整，將台美兩國之個人資訊隱私及營業秘密法制進行比較分析，了解兩國之「合理/適當安全措施」 6 .

(17) 論客戶資訊之保護 ‐‐‐以個人資料保護法與營業秘密法為核心第一章緒論 . 及「合理保密措施」在管理層面上之異同，並得出對於企業法律遵循及管理層面之建議及結論。. 緒論 (研究動機、名詞定義). 學. ‧ 國. 立. 政治大. 客戶資訊在美國法上之保護. 客戶資訊在我國法上之保護 (個資法、營業秘密相關法制). ‧. (個人資訊隱私、營業秘密相關法制). n. er. io. sit. y. Nat. al. C h 兩國之管理措施U n i engchi. v. (合理/適當安全措施、合理保密措施). 結論與建議 (法律遵循、管理措施). 圖 1 研究架構與章節安排資料來源:本研究自行製作. 7 .

(18) 論客戶資訊之保護 ‐‐‐以個人資料保護法與營業秘密法為核心第一章緒論 . 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. engchi. 8 . i n U. v.

(19) 論客戶資訊之保護 ‐‐‐以個人資料保護法與營業秘密法為核心第二章客戶資訊在美國法上之保護 . 第二章. 客戶資訊在美國法上之保護. 客戶個人資訊多半涉及個人資訊隱私，美國雖然是隱私權法制的起源地之一，但其聯邦層級的個人資訊隱私保護法制相當分散，故本文擬就該國眾多資訊隱私法案及判決加以分析統整，期待能瞭解該國個人資訊隱私保護法制之現況。. 而當客戶資訊符合營業秘密之要件時，即受美國「統一營業秘密法」、「經濟間諜法」及「反不正競爭法」之保護。本文就上述三項法規之法律要件及違反的法律效果加以介紹，並比較其所保護營業秘密之範圍及效果上的差異，供赴美發展之企業得以遵循。. 第一節. 學. 個人資訊隱私之保護. ‧. ‧ 國. 立. 政治大. 1980 年，美國聯邦大法官 Louis Brandies 對隱私權有一句名言闡釋，「The Right. y. Nat. sit. To Be Let Alone」，亦即人民有安靜獨處的權利，因此「不被干擾」便是隱私權的. er. io. 核心價值。而人從出生到死亡，經歷了無數社會活動，不論是就學、工作、交易、. al. n. v i n Ch 上均得由當事人自行決定是否公開或提供他人利用；若違背資訊當事人之意願， engchi U 社交等，均累積了大量個人資訊，該等資訊若與國家安全或公共利益無涉，原則. 任意取得資訊並予以公開或濫用，干擾當事人的生活，當然就是侵害其隱私權。此即資料隱私權之由來，又稱「個人資料自決權」10。. 壹、美國憲法對於個人資訊隱私之保護. 在美國法上，並未如同我國發展出獨立一部個人資料保護法典，統整出上位之指導原則後，再建立跨領域資料保護處理之法規範體系。相反地，美國聯邦層級的個人資訊隱私權保護法制甚為分散，除在憲法層級上加以討論外，更須就眾                                                         10. 陳銘祥、劉靜怡、蔡達智、戴豪君、吳兆琰、邱映儀，科技與法律，頁 64-65，2010 年 9 月。 9 .

(20) 論客戶資訊之保護 ‐‐‐以個人資料保護法與營業秘密法為核心第二章客戶資訊在美國法上之保護 . 多法案及判決加以分析，方能描繪出該國針對個人資訊隱私保護法制之全貌。. 在憲法層面，美國最高法院在 Roe v. Wade 案中，承認個人在醫療方面之隱私權，此乃憲法所賦予之權利11。至於具體醫療資料之處理問題上，美國最高法院在 Whalen v. Roe 案12中指出，除受憲法增補條文第四條保障之個人不受政府對其私人事務之監督與入侵以外，個人尚有兩種不同之隱私利益：其一為避免個人事務之公開（non-disclosure interest or informational seclusion），其二為對若干重要決定之自主決定利益。該判決亦提到:「雖然建置醫療紀錄資料庫本身未必違憲，但需有適當之防護措施，且若涉及大規模蒐集個人資料並建置電腦化資料庫，則仍對隱私造成威脅。」由此可見，病患之個人資料(客戶資訊)，亦在隱私權保障之範圍內。. 立. 政治大. ‧ 國. 學. 貳、隱私權法. ‧. 美國對於個人資訊之收集及運用限制，在聯邦及各州有極多不同之專法規定，. y. Nat. sit. 其中較具一般性之聯邦法為 1974 年之隱私權法(Privacy Act)與資訊自由法. er. io. (Freedom of Information Act)，以及 1988 年之電腦比對及隱私保護法(Computer. al. v i n C h controlled corporation)雖屬私法人，但仍在規範府所控制之國營企業(Government engchi U n. matching and Privacy Protection Act) 13。上述法規之規範對象不限於政府部門，政. 效力範圍內14。隱私權法就個人資料之定義為:任何被機構所持有之關於個人資訊的物品或集合；該等資訊包含(但不限於)當事人之教育、金融活動、就醫、犯罪                                                         11. 410 U.S. 113 (1973). 429 U.S. 589 (1977). 13 關於美國資訊隱私權之具體內容，詳參 Paul M. Schwartz and Joel R. Reidenberg, Data Privacy Law, 1996。其對聯邦立法之介紹見該書第五章。 12. 14. 5 U.S.C. § 552(f) For purposes of this section, the term—. (1) “agency” as defined in section 551 (1) of this title includes any executive department, military department, Government corporation, Government controlled corporation, or other establishment in the executive branch of the Government (including the Executive Office of the President), or any independent regulatory agency. 10 .

(21) 論客戶資訊之保護 ‐‐‐以個人資料保護法與營業秘密法為核心第二章客戶資訊在美國法上之保護 . 或受雇紀錄，而內容具備當事人之姓名或身分證號或其他個人特徵，例如:指紋、聲紋或照片等15。由此可知，金融業之客戶的資產及信用狀況，與醫療業之病患的病歷資料等，皆在隱私權法保障之範圍。. 而該法亦規定機構對個人資訊之儲存需與所欲達成之目的有關聯(relevant)且必要(necessary)者為限，且需儘量向本人(subject individual)蒐集資料；而個人資料之紀錄應力求正確及完整，並建立適當之行政及技術安全措施以確保個人資料紀錄之安全16。該法原則禁止在未經本人之書面請求或同意下，逕自公開個人資料紀錄，惟有十二項例外之規定17，例如:對所有聯邦執法機關之揭露，以及對政府有關部門及國會之揭露。其中，應用最廣之例外則為「例行性之使用」 (routine use)，. 政治大. 但此種應用應與其原始蒐集之目的「相容」（compatibility），且需對本人有實際通. 立. 知(actual notice)，並將擬議之例行性使用公開於聯邦政府公報(federal register)18。. ‧ 國. 學.                                                         15. 5 U.S.C. § 552 a (e) Each agency that maintains a system of records shall—. sit. y. Nat. 16. ‧. 5 U.S.C. § 552 a (a) (4) the term “record” means any item, collection, or grouping of information about an individual that is maintained by an agency, including, but not limited to, his education, financial transactions, medical history, and criminal or employment history and that contains his name, or the identifying number, symbol, or other identifying particular assigned to the individual, such as a finger or voice print or a photograph.. io. er. (1) maintain in its records only such information about an individual as is relevant and necessary to accomplish a purpose of the agency required to be accomplished by statute or by executive order of the. al. n. President;. Ch. engchi. i n U. v. (2) collect information to the greatest extent practicable directly from the subject individual when the information may result in adverse determinations about an individual’s rights, benefits, and privileges under Federal programs; (5) maintain all records which are used by the agency in making any determination about any individual with such accuracy, relevance, timeliness, and completeness as is reasonably necessary to assure fairness to the individual in the determination. 17. 5 U.S.C. § 552 a(b) Conditions of Disclosure.. 18. 5 U.S.C. § 552 a (a) Definitions.— For purposes of this section—(7) the term “routine use” means, with respect to the disclosure of a record, the use of such record for a purpose which is compatible with the purpose for which it was collected. (e) Agency Requirements.— Each agency that maintains a system of records shall—(4) subject to the provisions of paragraph (11) of this subsection, publish in the Federal Register upon establishment or revision a notice of the existence and character of the system of records, which notice shall include—(D) each routine use of the records contained in the system, including the categories of users and the purpose of such use. 11 .

(22) 論客戶資訊之保護 ‐‐‐以個人資料保護法與營業秘密法為核心第二章客戶資訊在美國法上之保護 . 由此可知，企業在蒐集客戶資訊時，需與所欲達成之目的有關聯且必要，例如: 金融業限於調查客戶之資產及信用狀況，不得調查客戶之婚姻狀況及性傾向，且需儘量向本人蒐集資料，以力求個人資料之正確及完整性，並建立安全措施以保護個人資料紀錄之安全，避免外洩。另外，除有法定例外之情形，否則在未經本人之書面請求或同意下，不得公開客戶資料紀錄。. 而當事人請求機構給予其所持有牽涉該當事人之個人資料時，機構若拒絕給予，民事法院得命該機構提供；當事人請求機構修正其所持有牽涉該當事人之個人資料時，機構若拒絕修正，法院得命該機構修正之。又若機構未依本法規定妥善保管個人資料，致當事人受損害時，得向法院請求損害賠償19。因此，當病患. 政治大. 學. ‧ 國. 立                                                         19. 5 U.S.C. § 552 a (g). ‧. (1) Civil Remedies.— Whenever any agency. y. Nat. (A) makes a determination under subsection (d)(3) of this section not to amend an individual’s record in. sit. accordance with his request, or fails to make such review in conformity with that subsection;. n. al. er. io. (B) refuses to comply with an individual request under subsection (d)(1) of this section;. i n U. v. (C) fails to maintain any record concerning any individual with such accuracy, relevance, timeliness,. Ch. engchi. and completeness as is necessary to assure fairness in any determination relating to the qualifications, character, rights, or opportunities of, or benefits to the individual that may be made on the basis of such record, and consequently a determination is made which is adverse to the individual; or (D) fails to comply with any other provision of this section, or any rule promulgated thereunder, in such a way as to have an adverse effect on an individual, the individual may bring a civil action against the agency, and the district courts of the United States shall have jurisdiction in the matters under the provisions of this subsection. (2) (A) In any suit brought under the provisions of subsection (g)(1)(A) of this section, the court may order the agency to amend the individual’s record in accordance with his request or in such other way as the court may direct. In such a case the court shall determine the matter de novo. 12 .

(23) 論客戶資訊之保護 ‐‐‐以個人資料保護法與營業秘密法為核心第二章客戶資訊在美國法上之保護 . 要求醫院提供其自身之病歷，或要求醫院修正錯誤之就醫紀錄，而遭醫院拒絕時，得請求法院命醫院提供病歷或修改紀錄。又若因醫院未採取安全措施，致病歷外洩而病患受有損害時，亦得要求醫院負損害賠償責任。. 在 1988 年通過之電腦比對及隱私保護法(Computer matching and Privacy Protection Act)修改隱私權法之規定，就資訊比對20增加額外之程序限制，例如:資料提供機構(source agency)與收受機構(recipient agency)須先訂立書面協議，比對前應做成本效益分析，且各機構應先設立「資訊確保處」(Data Integrity Board)。若在比對後欲對個人採取不利措施（adverse action），機構之人員應先作獨立之查. 政治大.                                                                                                                                                                (B) The court may assess against the United States reasonable attorney fees and other litigation costs. 立. reasonably incurred in any case under this paragraph in which the complainant has substantially. ‧ 國. (3). 學. prevailed.. ‧. (A) In any suit brought under the provisions of subsection (g)(1)(B) of this section, the court may enjoin the agency from withholding the records and order the production to the complainant of any agency. y. Nat. sit. records improperly withheld from him. In such a case the court shall determine the matter de novo, and. n. al. er. io. may examine the contents of any agency records in camera to determine whether the records or any. i n U. v. portion thereof may be withheld under any of the exemptions set forth in subsection (k) of this section,. Ch. engchi. and the burden is on the agency to sustain its action.. (B) The court may assess against the United States reasonable attorney fees and other litigation costs reasonably incurred in any case under this paragraph in which the complainant has substantially prevailed. (4) In any suit brought under the provisions of subsection (g)(1)(C) or (D) of this section in which the court determines that the agency acted in a manner which was intentional or willful, the United States shall be liable to the individual in an amount equal to the sum of— (A) actual damages sustained by the individual as a result of the refusal or failure, but in no case shall a person entitled to recovery receive less than the sum of $1,000; and (B) the costs of the action together with reasonable attorney fees as determined by the court. 20. 資訊比對(Data matching)係指就兩筆以上之紀錄做電子比較，用以發現被記載於一個以上的資料庫中之特定個人。 13 .

(24) 論客戶資訊之保護 ‐‐‐以個人資料保護法與營業秘密法為核心第二章客戶資訊在美國法上之保護 . 證(independent verification)；或如資訊限於利益給付(benefits)之指明與金額，而對提供之資訊正確性有高度信心，機構皆應通知本人事實之認定，並予本人對其正確性提出異議機會21。因此，當醫院或銀行等眾多機構就其個別所擁有之客戶資訊相互作交叉比對時，均須依照該法所訂之流程辦理，以保障個人之資訊隱私。. 在資訊使用之監督方面，隱私權法要求機構建立內部及外部之監督機制，各機構應指定「隱私權執法人員」(Privacy Act Official)，評估該機構遵守隱私權法之情形。此外，依電腦比對及隱私權保護法之規定，各機構之首長應指定高級職員擔任「資訊確保處」之成員，檢討機構內部資訊比對之活動有無違法之情事。因此，在牽涉大量客戶資訊之產業，例如:醫療業、金融服務業等，「資訊確保處」. 政治大. 及「隱私權執法人員」即扮演舉足輕重之地位，須評估企業在客戶資訊之運用上，. 立. 是否符合隱私權相關法規，以避免可能之法律風險。. ‧ 國. 學. 至於機構之外部監督部分，則為管理及預算局(Office of management and. ‧. Budget)與國會之委員會。前者僅對資訊使用之政策架構提出指導原則(Guidelines) 與通知，其關切重點主要在於資訊使用之效率，對資訊保護著墨不多22。後者則. Nat. sit. y. 依隱私權法之規定23，負責收取各機構就紀錄體系建立及修改之擬議通知，實務. n. al. er. io. 上係由眾議院之政府資訊小組委員會(sub-Committee on Government information) 擔任此項監督工作。. Ch. engchi. i n U. v. 參、特殊類型資訊之保護法制. 除前述規定就個人資訊之蒐集利用行為做統一規範外，美國法就不同之資訊種類尚有專法加以規範，且各該專法多涉及私人機構就個資之蒐集利用行為。因此，以下依所規範之不同資訊種類，分別加以介紹:                                                         21. 5 U.S.C. § 552 a (p) Verification and Opportunity to Contest Findings.. 22. Paul M. Schwartz and Joel R. Reidenberg, Data Privacy Law, 118-128 (1996).. 23. 5 U.S.C. Section 552 a (o). 14 .

(25) 論客戶資訊之保護 ‐‐‐以個人資料保護法與營業秘密法為核心第二章客戶資訊在美國法上之保護 . 一、個人財務、信用等資訊. 美國有關個人財務信用資訊保護之規範，主要係「公平信用報告法」及「金融服務現代化法」。在美國這高度資本化之社會，個人的財務信用資料是在該國生存的基本要素，於從事信用卡申辦、銀行貸款、保險、求職、承租房屋等經濟活動中，皆須提出個人之信用報告，才具備申請之資格，由此可見信用資料在該國扮演舉足輕重的地位，而維護資料之私密性及正確性，更是法制面上所欲規範之重點。因此，「公平信用報告法」(Fair Credit Reporting Act)即規範消費者信用報告機構(Consumer Reporting Agencies)之資料蒐集處理準則及資訊主體所擁有之權利 24. 政治大. ，例如:客戶就其自身之信用資料，得請求信評機構更正錯誤資訊。此外，美國. 立. 於 2003 年通過「公平及正確信用交易法」(Fair and Accurate Credit Transactions Act). ‧ 國. 學. 則要求美國個人信用評等機構，須提供當事人每年一次免費申請信用紀錄之管道，以落實個人得確實掌握其自身資訊之流向，並有檢視或要求信用機構更正錯誤資. 範架構中。. ‧. 訊之權利25。目前「公平及正確信用交易法」已整合進「公平信用報告法」之規. sit. y. Nat. er. io. 此外，「公平信用報告法」就資訊安全措施亦有所規定，以避免個資竊取之情. al. v i n Ch 當事人同意外，該法亦肯認在符合法定要件下，得將信用報告中之資訊揭露給有 engchi U n. 形發生26。該法並要求制定合理程序，以確保信用報告中的個人資料正確性27。除. 權獲取該個資之第三人或政府機構，惟信用報告機構應制定合理程序以確認使用者之身分，並監督使用者之使用符合原目的範圍內28。信用評等機構若故意或過失違反本法對個資保護之要求，致個資當事人受損害者，當事人得請求損害賠償；第三人藉冒充身分而獲取個資，或將個資運用於法定目的以外者，亦同29。因此，                                                         24. The content of Fair Credit Reporting Act, http://www.consumer.ftc.gov/sites/default/files/articles/pdf/pdf-0111-fair-credit-reporting-act.pdf, (last visited 2014/04/26). 25 15 U.S.C. § 1681j (a)Free Annual Disclosure. 26 15 U.S.C. § 1681c-1.(Identity theft prevention; fraud alerts and active duty alerts); 15 U.S.C. § 1681c-2.( Block of information resulting from identity theft). 27 15 U.S.C. § 1681e (b) Whenever a consumer reporting agency prepares a consumer report it shall follow reasonable procedures to assure maximum possible accuracy of the information concerning the individual about whom the report relates. 28 15 U.S.C. § 1681e (a). 29 15 U.S.C. § 1681n Civil liability for willful noncompliance 15 .

(26) 論客戶資訊之保護 ‐‐‐以個人資料保護法與營業秘密法為核心第二章客戶資訊在美國法上之保護 . 除客戶本人得要求信評機構更正錯誤之信用報告資訊外，信評機構本身亦應制定合理程序，以確保信用報告中的客戶資料正確性。而除了當事人同意或其他法定情事外，信評機構不得將信用報告中之客戶資訊揭露給無權獲取該個資之第三人。若該機構因故意或過失洩漏客戶資訊，致客戶受有損害者，受害客戶得請求損害賠償；第三人藉冒充身分而獲取客戶資訊，或本係合法獲取客戶資訊，卻擅自將該個資運用於法定目的以外者，亦應負賠償責任。. 至於金融服務現代法 (Financial Services Modernization Act of 1999，又稱 Gramm-Leach-Bliley Act，簡稱 GLBA)，其規範目的在增進金融業百貨化後之交易效率，並整合眾多金融商品，希望藉由類似金融控股公司之設計，使消費者得. 政治大. 以在單一金融機構中購買多數商品或服務，例如:在銀行亦可同時從事證券交易或. 立. 購買保險。然而，欲達成此目標，前提必須是金融機構能對消費者之財務狀況有. ‧ 國. 學. 更深入的了解，方能主動提供更多商品或服務之資訊。因此，GLBA 不僅允許關係企業之間對客戶資料的相互流用，甚至在非關係企業之間，除當事人明示反對. ‧. 外，亦可相互流用客戶資料。相較於大多數國家之個人資料法制，係要求在當事. n. al. er. io 二、個人醫療資訊. sit. Nat. 逕庭，對當事人之個人資料保護上是較為不利的30。. y. 人明示同意下，方能蒐集、處理及利用個人資料，GLBA 之制度設計顯然是大相. Ch. engchi. i n U. v. 美國聯邦層級就醫療隱私有眾多成文規定，惟其涵攝之內容有所不同，例如: 美國檔案機密相關法令(Confidentiality of Records)明文規定，除有緊急救護、內部                                                                                                                                                                (a) Any person who willfully fails to comply with any requirement imposed under this title with respect to any consumer is liable to that consumer in an amount equal to the sum of (1) (A) any actual damages sustained by the consumer as a result of the failure or damages of not less than $100 and not more than $1,000; or (B) in the case of liability of a natural person for obtaining a consumer report under false pretenses or knowingly without a permissible purpose, actual damages sustained by the consumer as a result of the failure or $1,000, whichever is greater; (2) such amount of punitive damages as the court may allow; and (3) in the case of any successful action to enforce any liability under this section, the costs of the action together with reasonable attorney’s fees as determined by the court. (b) Any person who obtains a consumer report from a consumer reporting agency under false pretenses or knowingly without a permissible purpose shall be liable to the consumer reporting agency for actual damages sustained by the consumer reporting agency or $1,000, whichever is greater. 30 陳銘祥、劉靜怡、蔡達智、戴豪君、吳兆琰、邱映儀，科技與法律，頁 66-67，2010 年 9 月。 16 .

(27) 論客戶資訊之保護 ‐‐‐以個人資料保護法與營業秘密法為核心第二章客戶資訊在美國法上之保護 . 查核之必要，或是符合法院簽發命令之要件，否則不得揭露藥物濫用或診療紀錄等極為敏感之個人資訊；但取得當事人之書面同意者，不在此限。而美國聯邦 Medicare 計畫之所屬醫院及長期照護機構等，亦須依法保護病患紀錄，並防止未經授權之資料利用31，如有違反者應負刑事責任32。此外，前述之 1974 年隱私法                                                         31. 42 U.S.C. § 290dd-2. (a) Requirement Records of the identity, diagnosis, prognosis, or treatment of any patient which are maintained in connection with the performance of any program or activity relating to substance abuse education, prevention, training, treatment, rehabilitation, or research, which is conducted, regulated, or directly or. 政治大. indirectly assisted by any department or agency of the United States shall, except as provided in. 立. subsection (e) of this section, be confidential and be disclosed only for the purposes and under the. ‧ 國. 學. circumstances expressly authorized under subsection (b) of this section. (b) Permitted disclosure. ‧. (1) Consent. y. Nat. The content of any record referred to in subsection (a) of this section may be disclosed in accordance. sit. with the prior written consent of the patient with respect to whom such record is maintained, but only to. n. al. er. io. such extent, under such circumstances, and for such purposes as may be allowed under regulations prescribed pursuant to subsection (g) of this section. (2) Method for disclosure. Ch. engchi. i n U. v. Whether or not the patient, with respect to whom any given record referred to in subsection (a) of this section is maintained, gives written consent, the content of such record may be disclosed as follows: (A) To medical personnel to the extent necessary to meet a bona fide medical emergency. (B) To qualified personnel for the purpose of conducting scientific research, management audits, financial audits, or program evaluation, but such personnel may not identify, directly or indirectly, any individual patient in any report of such research, audit, or evaluation, or otherwise disclose patient identities in any manner. (C) If authorized by an appropriate order of a court of competent jurisdiction granted after application showing good cause therefor, including the need to avert a substantial risk of death or serious bodily harm. In assessing good cause the court shall weigh the public interest and the need for disclosure 17 .

(28) 論客戶資訊之保護 ‐‐‐以個人資料保護法與營業秘密法為核心第二章客戶資訊在美國法上之保護 . (Privacy Act of 1974)就病患之病歷資訊揭露亦有所規定。其規範之各聯邦機構雖可藉由建檔之方式儲存大量個人資料，但僅於符合嚴格之要件下，方得揭露該等檔案資料。但取得資訊主體之書面同意者，不再此限33。此規定類似由醫療照護機構保管病患病歷之有形檔案，惟僅病患本人得授權揭露檔案內的無形資訊，故除經病患本人同意或符合法定要件外，醫療機構不得揭露病患之病歷資訊。. 在美國，食品藥物管理局 (Food and Drug Administration，簡稱 FDA)及健康與公民服務部 (Department of Health and Human Services，簡稱 HHS)乃臨床試驗或人體試驗之主管機關，但關於其資料隱密性之細部規定，主要仍由醫院或研究機構所設置之機構審核委員會(Institutional Review Board，簡稱 IRB，又稱醫學研. 政治大. 究倫理委員會)，於審查之過程中訂定具體規範標準34。. 立. ‧ 國. 學. 至於電子化健康資訊之保護，則牽涉「醫療保險可攜性及責任法」(Health Insurance Portability and Accountability Act of 1996，簡稱 HIPAA)。該法授權 HHS. ‧. 建立電子醫療資訊之交換標準35，其中 HL7 標準36已成為業界重要的發展依據，. n. er. io. al. sit. Nat. 所制定之隱私規則者，將面臨民事賠償與刑事制裁39。. y. 且在安全標準37及電子簽章標準38領域皆有相對應之規範。違反該等基於 HIPAA. Ch. engchi. i n U. v.                                                                                                                                                                against the injury to the patient, to the physician-patient relationship, and to the treatment services. Upon the granting of such order, the court, in determining the extent to which any disclosure of all or any part of any record is necessary, shall impose appropriate safeguards against unauthorized disclosure.. 32. 42 U.S.C. § 290dd-2 (f) Penalties. 5 U.S.C. §552a (b). 34 IRB 主要負責於研究計畫進行前，審查其是否符合醫學研究倫理標準，病患(受試者)之隱私權益乃主要審核項目之一，參見 21 C.F.R. 812 (Subpart D---IRB Review and Approval)。 35 42 U.S.C. §1320-2. 36 HL7(Health Level Seven)是醫療方面的標準發展組織(Standards Developing Organizations)，其透過臨床病患之照護及醫療服務之實行、管理和評估資料標準，提升資訊交換、管理及整合之可能性，詳參 http://www.hl7.org/ (最後瀏覽日:2014/4/19)。 37 42 U.S.C. § 1320d.詳參 http://www.law.cornell.edu/uscode/text/42/1320d (最後瀏覽日:2014/4/19)。 38 45 U.S.C. §142.310. 39 關於保護健康和心理健康資訊的 HIPAA 隱私規則，詳參 http://www.omh.ny.gov/omhweb/chinese/hipaa/phi_protection.html (最後瀏覽日:2014/4/28)。 33. 18 .