【經濟日報】 個資保護法 適用範圍擴大

【經濟日報╱李貞儀】近年網路科技發達,個資外洩事件頻傳,舊法時期「電腦處理個人資料保護法」因僅將經電腦處理的個人資料納入保護客體,且適用 該法事業僅限制為徵信業等法定八類事業或其他經法務部會同目的事業主管機關指定適用者,且僅限意圖營利而侵害個人資料隱私權益行為人始有刑事責任等,導致 眾多個資外洩個案,受害人往往無法依據該法而得到保護。

有鑑於此,立法院民國99年4月27日三讀修正「電腦處理個人資料保護法」,並正式更名為「個人資料保護法」,期望以擴大適用本法主體、保護客體、增修行 為人之告知義務、增訂當事人權利並妥適調整罰責等措施,貫徹對個人資料保護,此次修正重點包含:

一、擴大適用本法主體:刪除非公務機關行業別限制,即任何 自然人、法人或其他團體,除為單純個人或家庭活動之目的而蒐集、處理或利用個人資料外,皆須適用本法(第2條第8款、第51條第1項第1款)。

二、擴大保護客體:不限於經電腦處理的個人資料,且明訂醫療、基因、性生活、健康檢查、犯罪前科等為特種資料,其蒐集、處理或利用的要件較一般個人資料更 為嚴格。

三、增修行為人告知義務:蒐集資料時不論是直接或間接蒐集,除符合得免告知情形者外,均須明確告知當事人蒐集者名稱、蒐集目的、資料類別、利用方式、資料 來源等相關事項(第8條、第9條)。

四、增訂當事人權利:增訂該從事商品行銷之非公務機關,應於首次行銷時提供當事人表示拒絕方式;當事人表示拒絕接受行 銷時,應即停止利用其個人資料行銷(第20條第2項、第3項)。

五、促進民眾參與:增訂符合規定財團法人或公益社團法人得代受害當事人提起團體訴訟,以協助其救濟遭侵害之隱私權益(第32條)。

六、加重持有個資業者的保管責任:保有個人資料檔案的非公務機關,須採行適當安全維護措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏(第27條第1 項)。倘未為適當安全維護措施,則主管機關得按次處新臺幣二萬元以上二十萬元以下罰鍰(第4 條第4款),且其代表人、管理人或其他有代表權人除能證明已盡防止義務者外,應與之並受同一額度罰鍰處罰(第50條)。

七、調整罰責:就違法蒐集、處理或 利用個人資料者,即使未具有「營利」主觀意圖,亦科處二年以下有期徒刑及新臺幣二十萬元以下罰金之刑事責任;就同一原因事實對當事人所負民事賠償責任上限 增加至新臺幣二億元,且如該原因事實所涉利益超過新臺幣二億元者,則以該所涉利益為限,且即使被害人無法證明損害者,亦得請求每人每件五百元至二萬元損害 賠償(第28條)。

綜觀修法方向,明定個人資料範圍不再限於經電腦處理的個人資料,且擴大適用本法之主體及於任何自然人、法人或其他團體,並要求企業蒐集、處理或利用個人資 料前,須先踐行事前告知義務,將明顯增加企業蒐集、處理、利用個人資料成本,此外,得由財團法人或公益社團法人代表提起集體訴訟且即使被害人無法證明損害 亦得請求五百至二萬元賠償等規定,亦提高企業面臨被訴機率與風險。

面臨新的個人資料保護法的衝擊,企業除宜注意於新法施行後對於個人資料蒐集、處理、利用應注意遵守新法的各項規定外,亦宜檢視確認就內部所蒐集的個人資 料,是否已就防止個人資料被竊取、竄改、毀損、滅失或洩漏等已以適當之軟、硬體建立內部資料管控及防止外部入侵安全措施,以於日後所保有的個人資料外洩遭 權利人求償時,藉此作為並無洩漏他人個人資料之故意或過失之證明,期能免除高額的損害賠償責任。

(作者是寰瀛法律事務所律師)