個資法說明與因應
資料準備:NII產業發展協進會 吳昭儀資深經理
現況
現況(續)
大綱
個人資保護法介紹 個人資保護法介紹
個人資料生命週期與案例說明
個資法因應與資安管理系統(ISMS) 結語
結語
大綱
個人資保護法介紹 個人資保護法介紹
個人資料生命週期與案例說明
個資法因應與資安管理系統(ISMS)
結語
個資法國際發展趨勢 個資法國際發展趨勢 個資法國際發展趨勢 個資法國際發展趨勢
Louis D. Brandeis : (11.13, 1856 ~ 10.5, 1941)
-“snapshot photography”
-“the right to be left alone”
- The right offered by the Fourth Amendment which disallowed unreasonable search and seizure.
與
"電腦處理個人資料管理辦法“
電腦處理個人資料保護法:84年8月11日制定公佈 個人資料保護法:99年5月26日修正公佈。
99年5月26日總統公佈日起,廢紙許可登記制度。
其他法條施行日期 由行政院定之 其他法條施行日期,由行政院定之。
施行細則,由法務部定之。
何時施行?
總統於99年5月26日公佈 總統於99年5月26日公佈
法務部預定完成施行細則之期間 11月25日之目標是否可以達成?
將由行政院訂定施行日期 今年十二月?明年六月?
今年十二月?明年六月?
自公佈日起,原有證照制度立即廢除
金融業目前已無個資法執照
保護個人資料的其他法律
民法18、195(侵害人格權)
財產上的損害賠償 財產上的損害賠償 精神慰撫金
回復名譽的適當處分
刑法315、315-1、318-1(妨害秘密罪)
有期徒刑 -> 三年以下 罰金 -> 三萬元以下
通訊保障及監察法19、24、25(秘密通信自由)
損害賠償
有期徒刑 -> 五年以下
新法修正重點
擴大適用主體:
現行法:公務機關與非公務機關(醫院、學校、電信業、
金融業、證卷業、保險業、大眾傳播業、徵信業等八類行 業
新法:打破行業別限制,包含各行各業及個人 擴大保護客體:
現行法:使用電腦或類似設備處理之個人資料檔案。
蒐集 :為建立個人資料檔案而取得個人資料
新法 :以任何方式(包含紙本)留存的資料
蒐集 :以任何方式取得的個人資料
新法修正重點(續)
增訂告知義務:
直接搜集及間接搜集之告知義務
修正施行前非由當事人提供之個人資料,應自本法修正 施行之日起一年內完成告知。
當事人拒絕行銷之權利 資料違法外洩之通知義務 加重罰則:
民事賠償:新台幣二千萬元->二億元
刑事處罰:新台幣伍萬元->一百萬 有期徒刑:
三年以下->五年以下
個資法架構
第一章 總則 (14)
第二章 (4) 公務機關對個人資料之
蒐集、處理及利用
第三章 (9) 非公務機關對個人資料之
蒐集、處理及利用
第四章 損害賠償及團體訴訟 (13) 第四章 損害賠償及團體訴訟 (13)
第五章 罰則 (10)
第六章 附則 (6)
檢視個資蒐集的合法性
確認是否為個人資料?
個人資料來源:直接從當事人取得 或自第三人間接取得
或自第三人間接取得
在特定目的內之使用或符合特定目 是否取得書面同意或符合蒐集、處理
之其他例外規定
是否完成告知義務或符合免告知之例外情形?
的之例外規定(單獨書面同意)
個人資料來源:直接從當事人取得 或自第三人間接取得
何謂個人資料?
特種資料蒐集、處理與利用
1. (個資法第六條)有關醫療、基因、性生活、健康檢查及犯罪前科 之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在 之個人資料 不得蒐集 處理或利用 但有下列情形之一者 不在 此限:
1. 法律明文規定。
2. 公務機關執行法定職務或非公務機關履行法定義務所必要,且有 適當安全維護措施。
3. 當事人自行公開或其他已合法公開之個人資料。
4 公務機關或學術研究機構基於醫療 衛生或犯罪預防之目的 為 4. 公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為 統計或學術研究而有必要,且經一定程序所為蒐集、處理或利用 之個人資料。
5. 前項第四款個人資料蒐集、處理或利用之範圍、程序及其他應遵 行事項之辦法,由中央目的事業主管機關會同法務部定之。
第二章:公務機關
1. 個資法第十五條:公務機關對個人資料之蒐集或處理,除第 六條第一項所規定資料外,應有特定目的,並符合下列情形 之一者:
1. 執行法定職務必要範圍內。
2 經當事人書面同意。
2. 經當事人書面同意。
3. 對當事人權益無侵害。
第二章:公務機關(續)
1. 個資法第十六條:公務機關對個人資料之利用,除第六條第一項所規 定資料外,應於執行法定職務必要範圍內為之,並與蒐集之特定目的 相符。但有下列情形之一者,得為特定目的外之利用:
1. 法律明文規定。
2. 為維護國家安全或增進公共利益。
3. 為免除當事人之生命、身體、自由或財產上之危險。
4. 為防止他人權益之重大危害。
5 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要 5. 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,
且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當 事人。
6. 有利於當事人權益。
7. 經當事人書面同意。
第二章:公務機關(續)
1 個資法第十七條:公務機關將下列事項公開於電腦網站,或 1. 個資法第十七條:公務機關將下列事項公開於電腦網站,或
以其他適當方式供公眾查閱,其有變更者,亦同:
1. 個人資料檔案名稱。
2. 保有機關名稱及聯絡方式。
3. 個人資料檔案保有之依據及特定目的。
4 個人資料之類別。
4. 個人資料之類別。
2. 個資法第十八條:公務機關保有個人資料檔案者,應指定專
人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
第四章:損害賠償及團體訴訟
1. 個資法第二十八條:公務機關違反本法規定,致個人資料遭不法蒐集、個資法第二十八條 公務機關違反本法規定 致個人資料遭不法蒐集 處理、利用或其他侵害當事人權利者,復損害賠償責任。但損害因天 災、事變或其他不可抗力所致者,不在此限。
1. 被害人雖非財產上之損害,亦得請求賠償相當之金額,其名譽被侵 害者,並得請求為回復明與之適當處分。
2. 依前二項情況,如被害人不易或不能證明其實際損害情節,以每人 每一事件新臺幣五百元以上二萬元以下計算。
3. 對於同一原因事實造成多數當事人權利受害者之事件,經當事人請 求損害賠償者,其合計最高總額以二億元為限。但因該原因事實所 涉利益超過二億元者,以該所涉利益為限。
4. ....
第四章:損害賠償及團體訴訟
1 個資法第三十條:損害賠償請求權,自請求權人知有損害及賠償義務 1. 個資法第三十條:損害賠償請求權,自請求權人知有損害及賠償義務
人者起,因二年間不行使而消滅,自損害發生時起,逾五年者,亦同。
2. 個資法第三十一條:損害賠償,除依本法規定外,公務機關適用國家 賠償法之規定,非公務機關適用民法之規定。
3. 個玆法第三十二條:依本章規定提起訴訟之財團法人或公益社團法人,
應符合下列要件:
I. 財團法人之登記財產總額達新台幣一千萬元或社團法人之社員人數 I. 財團法人之登記財產總額達新台幣一千萬元或社團法人之社員人數
達一百人。
II. 保護個人資料事項於其章程所定目的範圍內。
III.許可設立三年以上。
第五章:罰則
1. 違法蒐集、處理或利用個人資料,足生損害與他人者:處二年以下有 期徒刑、拘役或併科新台幣貳拾萬元以下罰金(告訴乃論:41)。
2. 意圖營利犯前項之罪者:處五年以下有期徒刑,得併科新臺幣一百萬 以下罰金(無須告訴,檢察官得依職權訴追:41)。
3. 意圖為自己或第三人不法之利益或損害他人之利益,而對於個人資料 檔案為非法變更、刪除或以其他非法方法,致妨害個人資料檔案之正 確而足生損害他人者:處五年以上有期徒刑、拘役或科或併科新台幣 確而足生損害他人者 處五年以上有期徒刑 拘役或科或併科新台幣 一百萬元以下罰金(無須告訴, 檢察官得依職權訴追:42)。
4. 公務員假借職務之權力、機會或方法,犯本章之罪者,加重其刑至二 分之一。
大綱
個人資保護法介紹 個人資保護法介紹
個人資料生命週期與案例說明
個資法因應與資安管理系統(ISMS)
結語
結語
個人資料生命週期管理
校務行政相關之個人資料
個人資料之種類與性質
案例
1. 學校活動(含社團)是否可透過信件寄發給所有學生?誰可 以寄發或使用?
學校或社團辦活動可以透過信件寄發通知給學生,因為此 舉符合學校教育及成立社團之特定目的。
學校辦活動之單位、以及社團都可以寄發及使用學生的個 人資料。
若學校活動是廠商的行銷活動,即有爭議空間,學校不可 以把學生資料給合辦活動的廠商來使用
以把學生資料給合辦活動的廠商來使用。
學校須評估學校使用學生個人資料之用途與目的,確認是
否符合學校只「教育興學」目的,更謹慎的作法為與教育
部討論,請教育部依學校教學需求,請法務部增修「特定
案例(續)
2. 教授要求助理、行政人員或電算中心提供學生資料,在何種 情形下可以提供?
老師因為教學所需(如與學生聯繫科業有關事項、瞭解學 生家庭背景與能力等),可能會需要學生的個人資料。
學校負責保管資料的人員須判斷老師索取學生資料之目的,
是否逾越教學必要範圍,以判斷是否提供?
建立個人資料調閱的申請與審核機制。
案例(續)
新生訓練是否是適當實績讓學生知道學校可能利用其個人資 3. 新生訓練是否是適當實績讓學生知道學校可能利用其個人資 料的狀況,學校是否一併在新生訓練或註冊時取得其同意授 權?
除非學校使用個人資料有可能超過教育行政指特定目的,
否則是不需要學生額外授權的。
但因新法增加「告知」的義務,因此在學生入學時應立即 履行告知義務,詳述學校使用個人資料之範圍與用途等。
如果學校對於學生的個人資料有逾越特定目的之利用,應
及早告知學生並取得其「書面同意」。
案例(續)
4. 畢業紀念冊上的學生資料是否屬於個人資料?圖書館中陳列 的歷屆畢業紀念冊是否應該管理?
畢業紀念冊的學生(及家長)資料是屬於個人資料。
過去畢業紀念冊的收集與公開並非違法行為,但因為現在 越來越多的販賣個人資料或詐騙個人資料之行為,所以學 越來越多的販賣個人資料或詐騙個人資料之行為 所以學 校應改變個人資料之保管方式,就能加以控管限制閱覽畢 業紀念冊的人員。
案例(續)
5. 學生畢業後是否仍可以寄發活動通知?或應該在學生畢業前 先取得其同意授權?歷屆畢業生個人資料應該如何管理,才 符合個資法?
學校使用校有個人資料還須符合「教育行政」之特定目的,
若超過特定目的則不能使用,可能需要在學生畢業前取得 授權。
一般人並不會反對學校辦理校友活動是超過特定目的,但
學校應與教育部、法務部溝通,確保學校能繼續使用校有
資料。此外,學校應建立管控機制,避免校有資料外洩。
案例(續)
6. 若當事人尚未成年,請問個人資料蒐集需要取得當事人或監護人同意 嗎?
嗎?
民法規定,滿20歲為成年。未成年人包括:
未滿七歲,無行為能力人:應由法定代理人代表意思代表,並 帶受意思表示。
滿七歲以上,為限制行為能力人,其為意思表示及受意思表示,
原則上應得法定代理人之允許。
依民法規定 未成年人為書面同意 應由法定代理人代為書面同意 依民法規定,未成年人為書面同意,應由法定代理人代為書面同意,
或得到法定代理人之允許。
雖有上述限制,但民法規定,已經結婚之未成年人,有行為能力。
換言之,已經結婚只未成年人,可以自行為書面同意,並無法定代 理人代為書面同意或允許之問題。
案例(續)
7. 老師擔心學生因閱讀一些讀物而造成行為偏差,是否可以向圖書館調 閱學生借書記錄?
借書記錄含學生姓名、社會活動或其它得以識別學生之資料,
此屬於個人資料之範疇。
圖書館保存借書記錄之目的為「學生資料管理」,並不具評估學生 行為偏差與否只目的。
老師向圖書館調閱學生借書記錄,固然可認為是學校內部「教育或 訓練行程」目的,但仍應與該目的之必要範圍內為之,並應尊重當 事人權益。
事人權益。
如有證據可合理懷疑某學生偏差行為與閱讀有關聯,老師為進一步 確認而向圖書館調閱學生借書記錄,或可被認為符合「教育或訓練 行政」目的之必要範圍。若老師在無任何證據情況下,全面調閱學 生借書記錄,恐被認為逾越「教育或訓練行政」目的之必要範圍,
案例(續)
8 學生找工作時,公司會要求學校提供該學生在學成績等資料,學校是 8. 學生找工作時,公司會要求學校提供該學生在學成績等資料,學校是
否可以提供?
學校無從判斷學生是否有到某公司謀職,應由學生向學校提出申請,
並由學生或學校直接提供給公司。
9. 在公告欄公告曠課學生名單(學生姓名、學號),有違反個資法嗎?
有關獎懲應符合學校辦理「教育與訓練行政」之目的,公佈並不違 反個資法。
反個資法
10.若當事人自行公開其特種個人資料,是否可以蒐集與傳播?
已公開的特種資料雖然可以蒐集,但是蒐集及利用仍須依個資法織 特定目的範圍,也不能任意傳播。
案例(續)
11.若將同仁資料提供給保險公司進行投保,那我有沒有利用(將蒐集 祇個人資料為處理以外之使用)的行為?我算對保險公司揭露個人 資料嗎?
依據公司(或機關)行政處裡,的確公司(或機關)有權利提 供保險公司(例如勞保局、健保局或保險公司,因為這是公司
(或機關)福利的一部分有關公司(或機關)同仁保險公司所 需的資料 保險公司透過公司(或機關)人事或行政人員取得 需的資料。保險公司透過公司(或機關)人事或行政人員取得 這份個人資料後,保險公司只能作為與保險業務範圍內的應用,
不得延伸做其他不符合保險業務外之行銷或其他目的之使用。
案例(續)
12.考績表有公司(或機關)名稱與姓名、分數等,算個人資料嗎?
是的。考績表示公司(或機關)內部使用,除非當事人找工作 時,對方要求他將提供前一公司(或機關)相關資料,當事人 可以要求過去公司(或機關)提供他過去公司考績(或者成績 單),當然是當事人要求的揭露。沒有當事人的要求,我們當 單) 當然是當事人要求的揭露 沒有當事人的要求 我們當 然沒有權利把我們手上他過去的考績或成績單提供給第三方。
案例(續)
13.公告欄公告曠課學生名單(學生姓名、學號)有違反個資嗎?
有關獎懲之作法 應符合學校辦拉教育行政之目的 供不應不違反 有關獎懲之作法,應符合學校辦拉教育行政之目的,供不應不違反 個人資料保護法。
14.學校為了保護學生,收集學生病史、健康、身份(低收入戶)資料等,
有涉及特種個資嗎?
有關病史、健康檢查部分,要看教育部的法規有沒有允許,務必請 教育部與法務部協調、確定,以便學校單位遵行。低收入戶並非特 種個資。
種個資
15.個資法中的特種個人資料規範中,若個資擁有者自行公開,是否可以 收集?是否可以拿來傳播?
雖然自行公開之特種資料可以收集,但處理、利用仍要遵行各資法 規定之範圍,也就是說,必須符合特定目的,並不是可以任意傳播
案例(續)
16.學校是否可以寄發校友或學校認同卡給學生或校友?
學校當初蒐集校友個人資料之特定目的為「教育行政 或學生資 學校當初蒐集校友個人資料之特定目的為「教育行政」,或學生資 料管理。學校寄發認同卡給校友,構成利用校友個人資料之行為,
似乎踰越上述特定目的,除非取得校友之書面同意,否則不得為之 17.網頁上的學生家長區,家長可以查詢學生之個人曠課、操行嗎?
學校將學生的缺曠課資料及操行成績提供家長查詢,似為學校執行 法定職務必要範圍,且與蒐集之特定目的(教育行政)相符。惟大 學生瞭解自己的缺曠課資料及操行成績,依其年齡及身份,應為其 學生瞭解自己的缺曠課資料及操行成績 依其年齡及身份 應為其 日常生活必需,且滿20歲之大學生已為成年人,不論其為意思表示 或受意思表示,均無須法定代理人(家長)之允許,因此大專院校 是否有必要將學生缺曠課資料及操行成績提供給家長查詢,使能達 到教育行政指目的?恐有疑義,建議教育部應與法務部會同對此作 出統一解釋,以便學校之所遵循,避免學生質疑。
案例(續)
18.推廣中心是否可以利用報名學校的甄/筆試的考生資料,寄給落榜 生推廣學分班之招生資料?
學校當初蒐集考生個人資料之特定目的為學生資料管理,並非 行銷推廣中心之課程。推廣中心將招生資料寄給落榜生,構成 利用考生個人資料之行為,逾越學生資料管理之特定目的,除 利用考生個人資料之行為 逾越學生資料管理之特定目的 除 非取得考生之書面同意,否則不得為之。
大綱
個人資保護法介紹 個人資保護法介紹
個人資料生命週期與案例說明
個資法因應與資安管理系統(ISMS)
結語
法務部預計與施行細則中訂定之 十二項安全維護事項
1. 必要之組織
2. 界定個人資料之範圍
3. 個人資料搜集、處理或利用之程序 4. 當事人行使權利之處理程序
5. 資料安全
6. 資料稽核
7. 人員管理及教育訓練 8. 記錄及證據之保存
9. 設備管理
10.緊急應變措施及通報
主管應扮演的角色
建置個資保護體系 訂定相關規範:
管理要點
標準作業流程及書表格式 建立專責組織:
專人及個資聯絡窗口 層級化的安全管理措施 最小限度蒐集與利用 隨時評估隱私風險 訂定避免損害擴大之程序 定期教育訓練