個人資保護法規範之 下之企業衝擊及風險主講人：東海大學法律學院研究所李成教授目錄n壹、案例明n貳、何謂隱私權n参、個人資保護法介紹n肆、個資法大解密n伍、企業因應策略壹、案例明案例明當使用個資 3公司遭罰n（中央社記者吳靜君台北8日電）金管會今天表示，遠雄人壽從 第一保經、萬榮保經取得未經當事人同意的個資，進行電話行 銷，共處3家公司或公司負責人新台幣130萬元罰鍰，且遠雄人 壽停止電銷1個月。n行政院金融監督管委員會表示，民眾接到遠雄人壽的電話行 銷時，發現從來沒與遠雄人壽往來，知為何會被行銷，因此 向金管會檢舉。n經金管會調查，是民眾與第一保險經紀人公司買過保單，第一 保經與萬榮保經是關係企業，所以萬榮公司輕易取得第一保經 個資。同時，萬榮公司又與遠雄人壽有業務合作關係，遠雄人 壽才取得第一保經、萬榮保經的客戶個資。n金管會表示，根據統計，受害的個資共有225筆。n金管會表示，根據電腦處個人資保護法、保險法及保險經 紀人管規則規定，各處第一保經、萬榮保經60萬元罰鍰、遠 雄人壽負責人10萬元、並且遠雄人壽停止電話行銷業務1個月。 中央社 20123月8日 下午8:09 案例明n調查：26%被裁員工會竊取公司資 Cyber-Ark認為這是因為企業保護資的觀落後，有近 6成的受訪者表示要取走公司機密資非難事，最常見的 媒介是行動儲存裝置，居次的是郵件，實體文件名列第三 。 狀況1：26%受訪者表示，如果明天就被炒魷魚，他們會 把公司的資訊帶走。 狀況2：24%的員工表示，若聽到工作可能保的傳聞， 他們會下載公司或競爭對手的機密資訊。 狀況3：52%表示，他們只會在這些資對未來有幫助時 才會進行下載。 狀況4：28%表示會用這些資來交?一個新職位，並有 28%表示會把相關資作為新工作的工具。案例明資料來源：Cyber-Ark全球經濟衰退對工作倫理的影響研究報告 公布日期：2009年11月23日 貳、何謂隱私權貳、何謂隱私n麼是隱私權？民法中人格權所保障的一種1965，美國邦最高法院才第一次將 隱私權納入憲法之保障中隱私權的概實在非常廣泛，於同的 情況下會有同之意義。貳、何謂隱私n隱私權個人資訊之取得及揭人身遷徙及居住之自由人對於自身財產事務之控制指個人之自我決定權，如婦墮胎之自我決 定權被歸為憲法上所保障之隱私權。隱私權包括個人資訊、身體、財產或是自我決 定等部分，簡單的，就是個人資訊的自我決 定權。貳、何謂隱私n個人資訊隱私權個人資訊隱私權之保護，係指政府、私人機構 或是個人，取得或是散布該自然人個人資訊之 管與限制。個人資訊係指依據某特定資訊，可辨出該個 人或是該個人之私人活動。個人資訊被認為係隱私權之一部分，係因將個 人資蒐集之後，可以知悉該個人之活動及該 個人之喜好。參、個人資保護法介紹n第 1 條 為規範個人資之蒐集、處及 用，以避免人格權受侵害，並促進個人 資之合用，特制定本法。 個人資保護法參、個人資保護法介紹n 個人資保護法規範對象包括了公務機 關、自然人、法人和其他團體。其中只有 部分條文與企業有關，我們從這些條文中 彙整出14項企業必知的個資法重點，這些 都是企業因應個資法時必須了解的法條內 容。參、個人資保護法介紹n規範行為蒐集、處及用個資。n個資定義包括個人的姓名、出生月日、身分證統一編號、護 照號碼、特徵、指紋、婚姻、家庭、教育、職業、病 歷、醫療、基因、性生活、健康檢查、犯罪前科、 絡方式、財務情況、社會活動，以及其他可以直接或 間接別出個人的資，論紙本或數位形式，都屬 於個資法的保護範圍。 n個人權個人可向企業請求查詢、閱覽、提供複製副本、更正 或補充、停止蒐集、停止處或用、請求刪除。個 人請求後，企業需於時限內回覆。n規範對象 公務機關、自然人、企業法人、其他團體（三人以上 即可視為團體）。代蒐集機關則視同委託者。參、個人資保護法介紹n告知責任 蒐集個資時應向當事人告知企業名稱、蒐集目的、資 別、當事人權、用時間、地區、對象與方式 、告知的影響等。使用目的改變時，企業應告知當事人。 非向當事人蒐集的現有顧客資庫，必須在法案施行1 內告知。個資異動後，應告知提供過個資的對象。發生個資外洩情事後，應告知當事人。 告知形式拘，有記錄可供事後舉證即可。參、個人資保護法介紹n免告知情況法律明文規定依法執行公務。告知將妨礙第三人重大益。當事人明知這些應告知內容。當事人自行公開或其他合法公開內容。無法告知當事人或法定代人。 學術研究之必要，且無法別之個資。大眾傳播業為公共益而蒐集。 參、個人資保護法介紹n可蒐集或處的條件必要條件： 應有特定目的，且只能在該目的範圍內用。 得蒐集醫療、基因、性生活與犯罪前科的個資。多擇一條件：法律明文規定。與當事人有契約關係，契約形式限，可用電子契約 。當事人自行公開或其他合法公開，企業需確認合法性 。當事人書面同意。取自一般可得來源（如搜尋引擎）。 公共益相關。 學術研究之必要，且無法別之個資。參、個人資保護法介紹n書面同意意指紙本同意書，能透過電子文件或電子簽 章取得同意。n適用個資法狀況 無法別該個人的個資。個人為了個人或家庭活動的蒐集、處或用 。 公開場所或公開活動中的影片、圖像與聲音資 （未與其他個資結合）。參、個人資保護法介紹n損害賠償當事人可向違反個資法的企業求償，每人每次5 百元2萬元，相同原因合計最高求償金額2億 元。n罰則 違法蒐集、處或用個資而產生損害時，處 2以下有期徒刑、拘役或併科20萬元以下罰金 。違法蒐集、處或用個資，意圖營者處5 以下有期徒刑、拘役或併科100萬元以下罰金。參、個人資保護法介紹n行政罰鍰違反蒐集、處與用相關法規，限期未改善 ，每次可罰550萬元。違反告知義務、維護義務、個人請求相關法規 ，限期未改善，每次可罰220萬元。拒絕主管機關檢查者，每次可罰220萬元。企業代表人未盡力防止發生上述違反事項，處 相同額度之罰款。參、個人資保護法介紹n企業現有個資（顧客與員工）處原則企業非直接向當事人蒐集的個人資，必須在 法案實施後一內告知當事人，未告知前能 處或用。現有行銷資庫可視為非首次行銷的個資， 用提供拒絕行銷的管道。 參、個人資保護法介紹肆、個資法大解密肆、個資法大解密nQ1 個資法麼時候實施？立法院於4月27日三讀通過個資法後，法務部會先用6 8個月完成施行細則，再呈報給行政院審核，審核時間約1 2個月。法務部預估在總統公布後1內，完成施行細則 的作業流程，再由行政院決定正式實施時間。nQ2 個資法管轄哪些行為？個資法管轄個人資的蒐集、處和用行為。nQ3 個資法保護哪些個人資？新版個資法規範了企業必須保護的個人資型 ，包括了個人的姓名、出生月日、身分證統一 編號、護照號碼、特徵、指紋、婚姻、家庭、教 育、職業、病歷、醫療、基因、性生活、健康檢 查、犯罪前科、絡方式、財務情況、社會活動 ，以及其他可以直接或間接別出個人的資都 屬於個資法的保護範圍。肆、個資法大解密nQ4 是是只有5千筆以上的個資才會適用個資法 ？是，只要有1筆個資就會受到個資法規範。5 千筆限制只是法案討論過程中，參考日本個資法 的法，後來未採納。nQ5 個資法是是管紙本上的個人資？是，論是電腦中的數位資，或者是寫在 紙張上的個人資，全都適用個資法。肆、個資法大解密nQ6 網路暱稱或Email屬於個資法規範的個人資嗎？由於網路暱稱易別出其代表的個人，所以，會受 到個資法規範。至於Email則有可能別出個人，法務部 會請主管機關NCC提供認定標準nQ7 如果個人資中部分內容模糊，例如身分證號 中有4 個數字模糊，是否還會受到個資法規範？這部分模糊的個人資，由於一般人無法輕易別 ，等同失去別力，因此，這資就適用個資法。但 若和其他個資搭配後具有別力，仍舊需要受到個資法規 範。肆、個資法大解密nQ8 是是只有企業才需要遵守個資法？是，論是自然人（也就是一般人），法人（企業） 或其他團體都需要遵守個資法的規範。nQ9 其他團體如何定義？任何3個人以上所組成的團體，或者團體可以有一位代 表人或主席，就是一個團體。論哪一種團體都要遵守個 資法。換句話，你和三五好友組成一個球隊，球隊所蒐 集的個人保險資、通訊資，都要遵守個資法的規範。肆、個資法大解密nQ10 在國外蒐集個資是否要遵守個資法？論在國內外，只要對中華民國的國民蒐集、 處或用個資，都適用個資法。nQ11 個資法保障了哪些個人的個資權？每一個人對於他的個人資可以請求閱覽或查 詢、請求提供複製本、請求更正或補充、請求停 止蒐集、停止處或用，最後還可以請求刪除 。肆、個資法大解密nQ12企業是否可以拒絕個人提出的個資處請求？只有在三種情況下，企業可拒絕個人的請求， 包括妨害國家重大益、妨害公務機關執行法定 職務、妨害蒐集機關或第三人重大益時等。nQ13企業必須多快回應個人提出的個資處請求？對於個人要求查詢、瀏覽或複製的請求，企業 必須在15天內決定是否同意，若要拒絕得書面 明由，最多可再延長15天。若是請求補充或更 正，則可在30天內答覆，最多再延長30天。肆、個資法大解密nQ14 若個人要求企業刪除個人資，但另有法律 規定要 求企業保存，企業該如何處？若有其他法律規定，就可以拒絕個人的刪除請求。個資 法規定，企業可依其他法律的規定或法定義務來蒐集、處 和用個資。nQ15 個資法的主管機關為何？每個行業的目的事業主管機關就是個資法主管機關，或 者，企業向哪個機關登記註冊，該機關就是個資法主管 機關。若牽涉到多個主管機關或者主管機關清楚時，則 透過公務機關的協調繫機制決定如何共同執行或由誰主 管監督，若無法決定則交由行政院決定。肆、個資法大解密nQ16企業可以任意自定蒐集或處資的目的嗎？行，法務部將會和各事業目的主管機關訂定新的特定 目的項目，企業必須從中選擇其中一項或多項作為資蒐 集目的，就像是現行電腦處個人資保護法所訂定 的101項特定目的。企業蒐集個資時能踰越所選定的特 定目的範圍，才能算是合法蒐集。nQ17 若有當事人投訴企業侵犯個資時，企業是否需要舉證 ，證明自己確實遵守個資法的規範？是的，在個資法中規定由企業負擔舉證的責任，若有當 事人投訴企業侵犯個資，企業必須證明自己盡到保護個人 資的義務，才能免責。肆、個資法大解密nQ18 當事人合法公開在網路上的資是否可以蒐集？凡是當事人合法公開，或者是其他合法管道公開的資 ，企業就能蒐集用，但是企業必須確認這些資來源的 合法性。nQ19 個資法要求企業直接對當事人蒐集個資前，要先告知 當事人，企業可以透過哪些方式告知？告知形式拘，電話通知、簡訊、電子郵件、書面通知 等都可以，最重要的是，企業得保留記錄，事後才可以舉 證已經盡到告知義務，通知方式則沒有限制。肆、個資法大解密nQ20 直接對當事人蒐集個資時，有哪些情況用 告知？對當事人蒐集個資時，下列情況就免告知，包 括依法規定免告知、執行法定職務或法定義務時 、告知時將妨礙公務、妨礙第三人重大益，或 者是當事人明確知道這些應告知的內容。最後一 項例如當事人提供個資給仲介業者時，當事人已 經知道房仲業者會將這些資拿來建檔，作為提 供房屋資訊的繫之用，此時房仲業者就用再 告知。肆、個資法大解密nQ21 如果企業是直接向當事人蒐集個資，仍舊需要告知 當事人嗎？即便是向當事人蒐集個人資，企業仍然要告知當事 人，只有部分情況下才免告知。nQ22 麼情況下企業取得個資時，用告知當事人？用告知的情