简评「个人资料保护法」2015年修正案(台湾)

阙立婷 律师
我国于1995年8月1日初次公布之计算机处理个人资料保护法后,在2010年5月26日第一次公布重大的修正,并更名为个人资料保护法(以下称「个资法」)。并于2012年10月1日正式施行。惟个资法第6条规范关于特种数据之收集、处理、利用,第54条规定个人资料保护法施行前非由第三人提供之个人资料,应于个资法施行后一年内完成告知等,因考虑社会各方认为该二条规定太严格,若贸然实施对民众及社会冲击太大,故暂缓施行。
而在几次草案修正后,立法院三读通过个资法部分条文修正案,并于2015年12月30日,以总统华总一义字第10400152861号令公布,包含修正并开始施行之第6条及54条。此次修正之重点包括:确定「特种资料」的范围,以及规范特种资料之搜集、处理、利用的原则与例外;当事人同意的方式除了特种数据之外,得以推定之方式表示同意、无须书面同意;非不法意图违法使用个资之除罪化;以及放宽对个资法施行前间接搜集个资之告知期间等。
2015年12月31日个资法部分条文修正案公布后,法务部于2016年3月2日公布修正之个人资料保护法施行细则(下称「个资法施行细则」)。行政院亦指定个资法以及个资法施行细则于2016年3月15日施行,目前已全面适用新修正之个人资料保护法。
此次修正之重点如下:
一、确认「特种数据」的范围
(一) 新增病历为特种资料:
原个资法第6条系规定「医疗」、「基因」、「性生活」、「健康检查」及「犯罪前科」等五种个人资料,原则上不得搜集、处理或利用。惟个资法第2条例示之个人资料范围包含「病历」及「医疗」(注1:个资法第2条第1款:「个人资料:指自然人之姓名、出生年月日、国民身分证统一编号、护照号码、特征、指纹、婚姻、家庭、教育、职业、病历、医疗、基因、性生活、健康检查、犯罪前科、联络方式、财务情况、社会活动及其他得以直接或间接方式识别该个人之数据。」)。因病历乃医疗个人资料内涵之一,为免争议,本次个资法修正增列「病历」亦属特种资料之一,与原有之5种个人资料,原则上均不得被搜集、处理或利用。
(二) 新增得搜集、处理或利用特种数据的例外规定:
1. 原个资法第6条第1项第4款规定:「公务机关或学术研究机构基于医疗、卫生或犯罪预防之目的,为统计或学术研究而有必要,且经一定程序所为搜集、处理或利用之个人资料」,得例外予以搜集、处理或利用当事人之特种数据,同条第2项亦规定公务机关或学术机构搜集、处理或利用个人资料之范围、程序及其他应遵行事项之办法,由中央目的事业主管机关会同法务部定之。
惟因公务机关或学术机构基于医疗、卫生或犯罪预防之目的,以及统计或学术研究必要,常有需要搜集、处理或利用特种个人资料之情形。故本次新增当事人之特种资料如经过提供者匿名化处理,或由搜集者依其公布揭露方式无从再识别特定当事人者,因无侵害个人隐私权益之可能,故基于数据之合理利用以及促进学术发展,本次修正于此情形下,得例外准许搜集、处理及利用当事人之个人资料。
又因搜集、处理或利用特种数据之程序,公务机关得以行政规则订定之;学术研究机构亦得由中央目的事业主管机关,依个资法第27条第2项规定,指定非公务机关(即学术研究机构)订定个人资料档案安全维护计划或业务中止后个人资料处理方法(注2:个资法第27条第2项:「中央目的事业主管机关得指定非公务机关订定个人资料档案安全维护计划或业务终止后个人资料处理方法。」),故无需授权订定规范搜集、处理、利用该等数据之范围及程序之必要,故本次修正删除原个资法第6条第2项的规定。
2. 为协助公务机关执行法定职务或非公务机关履行法定义务必要范围内,且事前或事后有适当安全维护措施,得搜集、处理、利用当事人之特种个人资料(注3:个资法第6条第1项第5款。):
缘公务机关于执行法定职务时常须请求其他机关协助提供个人资料(参行政程序法第19条第2项第4款),惟他机关提供个人资料行为系个人资料之利用行为,且非该机关之法定职务。故无法依个资法第6条但书第2款提供当事人之特种个人资料。故为协助公务机关执行法定职务,或非公务机关履行法定必要范围内,为使他机关提供个人资料有法律依据,故增列本款规定。
3. 经当事人书面同意,但不逾越特定目的之必要范围或其他法律另有限制不得搜集、处理或利用当事人之特种数据(注4:个资法第6条第1项第6款:「经当事人书面同意。但逾越特定目的之必要范围或其他法律另有限制不得仅依当事人书面同意搜集、处理或利用,或其同意违反其意愿者,不在此限」):
依大法官释字第603号解释揭示宪法保障「个人自主控制个人资料之信息隐私权」,个人资料当事人同意权本属宪法保障之基本权,若完全排除经当事人同意之情形,系严重限制宪法所保障之基本权,不符宪法第23条之比例原则。故增订除法律另有限制或当事人之同意系违反其意愿,例如公务机关或非公务机关利用权势、强暴、胁迫等违反其意愿之方法,否则公务机关或非公务机关经当事人同意时,得搜集当事人之特种资料。惟因特种个人资料相对于一般个人资料更具敏感性,故本条亦规定当事人对特种个人资料搜集、处理及利用之同意,须以书面为之,以求慎重。
4. 搜集、处理或利用个人资料时,准用个资法第8条及第9条之告知义务,书面同意亦准用个资法第7条规定(注5:个资法第6条第2项:「依前项规定搜集、处理或利用个人资料,准用第8条、第9条规定;其中前项」):
个资法第8条及第9条规定,公务机关及非公务机关依个资法第15条及第19条规定搜集个人资料时,需向当事人告知特定事项。惟因个资法第15条及第19条系规范公务机关及非公务机关向当事人搜集及处理一般数据之情形,不包含特种数据。故增订个资法第6条第2项,公务机关或非公务机关搜集、处理或利用当事人特种个人资料时,应准用个资法第8条及第9条履行法定告知义务,且当事人依照本款规定的同意,准用个资法第7条第1、2项,系于当事人经公务机关或非公务机关告知个资法规定应告知事项后所为允许之意思表示。
二、新增当事人于个资法下的同意,不以书面为限(注6:个资法第7条:「第15条第2款及第19条第1项第5款所称同意,指当事人经搜集者告知本法所定应告知事项后,所为允许之意思表示。第16条第7款、第20条第1项第6款所称同意,指当事人经搜集者明确告知特定目的外之其他利用目的、范围及同意与否对其权益之影响后,单独所为之意思表示。公务机关或非公务机关明确告知当事人第8条第1项各款应告知事项时,当事人如未表示拒绝,并已提供其个人资料者,推定当事人已依第15条第2款、第19条第1项第5款之规定表示同意。搜集者就本法所称经当事人同意之事实,应负举证责任。」):
(1) 个资法修正后,第15条第2款、第16条但书第7款、第19条第1项第5款以及第20条第1项但书第6款放宽对于当事人「同意」方式,不限于以书面为之。故因此删除个资法第7条第1项、第2项关于当事人「书面同意」的文字。
(2) 为减轻现行实务上仍需另行取得当事人同意之行政作业,故本次修法增订公务机关或非公务机关如已明确告知当事人法定应告知事项,而当事人未明示拒绝渠等搜集其个人资料,且已提供其个人资料予公务机关或非公务机关时,推定当事人已依个资法第15条或第19条同意公务机关或非公务机关搜集或处理其个人资料。惟如就当事人是否同意之事实认定发生争执时,因未同意提供系属消极事项,无从负举证责任,自应由主张当事人已同意之公务机关或非公务机关负担举证责任。
三、新增免为告知义务之规定(注7:个资法第8条第2项第6款:「有下列情形之一者,得免为前项之告知:六、个人资料之搜集非基于营利之目的,且对当事人显无不利之影响。」):
法务部修正说明指出,由于个人资料范围甚广,公务机关或非公务机关合法搜集当事人之个人资料时,若其搜集非基于营利之目的,且对当事人显无不利之影响时,应得免除搜集者之告知义务,以避免增加搜集者合法搜集行为过多之成本。
四、新增非公务机关对个人资料之搜集或处理,除应有特定目的,且应符合特定情形(注8:个资法第19条第1项:「非公务机关对个人资料之搜集或处理,除第6条第1项所规定数据外,应有特定目的,并符合下列情形之一者:
一、法律明文规定。
二、与当事人有契约或类似契约之关系,且已采取适当之安全措施。
三、当事人自行公开或其他已合法公开之个人资料。
四、学术研究机构基于公共利益为统计或学术研究而有必要,且资料经过提供者处理后或经搜集者依其揭露方式无从识别特定之当事人。
五、经当事人同意。
六、为增进公共利益所必要。
七、个人资料取自于一般可得之来源。但当事人对该数据之禁止处理或利用,显有更值得保护之重大利益者,不在此限。
八、对当事人权益无侵害。」):
(1) 法务部修正说明指出,非公务机关基于「与当事人有契约或类似契约之关系」搜集或处理个人资料时,非公务机关本即应照个资法第27条第1项规定采取适当之安全措施。故修正个资法第19条第1项第2款,非公务机关在有搜集或处理个人资料之特定目的,且于当事人有契约或类似契约之关系时并已采取适当之安全措施时,得搜集或处理当事人之个人资料。
(2) 另如前述,当事人于个资法下之同意已不以书面同意为限,故修正本条第1项第5款,非公务机关于具有特定目的,且取得当事人同意时,得搜集或处理当事人之个人资料。
(3) 又原个资法第15条第3款规定,公务机关得于特定目的及「对当事人权益无损害」之情形下,合法搜集、处理当事人之个人资料。惟非公务机关并无相同规定可适用,致实际上造成非公务机关之困扰及增加作业成本,例如,尚需另行取得新任职员工或客户之紧急联系人同意,始能取得紧急联络人之资料,惟公司取得紧急联系人资料,对其权益并无侵害。故增订个资法第19条第1项第8款,于当事人权益无侵害之情形下,可合法搜集、处理当事人之个人资料。
五、新增个资法下之刑事责任,系以行为人有不法意图为要件
行为人如非意图为自己或第三人不法之利益或损害他人之利益,而违反个资法相关规定者,因可受非难性之程度较低,以民事损害赔偿、行政罚即足已。仅在行为人有意图为自己或第三人不法之利益或损害他人之利益而违反个资法规定时,因可受非难性之程度较高,始以刑罚处罚,故修正个资法第41条的规定,加上行为人需有不法意图,始有刑事责任,且刑责从原本的二年以下提高为五年以下,并科罚金为二十万元以下提高为一百万元以下(注9:个资法第41条:「意图为自己或第三人不法之利益或损害他人之利益,而违反第六条第一项、第十五条、第十六条、第十九条、第二十条第一项规定,或中央目的事业主管机关依第二十一条限制国际传输之命令或处分,足生损害于他人者,处五年以下有期徒刑,得并科新台币一百万元以下罚金。」)。
六、 修正已取得非由当事人提供之个人资料之搜集者,于个资法修正条文施行后为处理或利用者,应于处理或利用该个人资料前,向当事人告知 :
个资法于99年5月26日公布时扩大范围,使原本不受个资法规范从事个人资料搜集、处理或利用者,均适用个资法的规范。原个资法第54条规定于个资法施行前,已取得非由当事人提供之个人资料,应于个资法通过施行后一年内,依照个资法第9条规定于处理或利用该个人资料前向当事人为告知。惟因原个资法第54条造成之冲击过大,故暂缓施行。本次修正第54条,规定搜集者于个资法本次修正后,应于处理或利用当事人之个人资料前,依个资法第9条之规定向当事人进行告知义务(注10:个资法第54条第1项:「本法中华民国九十九年五月二十六日修正公布之条文施行前,非由当事人提供之个人资料,于本法一百零四年十二月十五日修正之条文施行后为处理或利用者,应于处理或利用前,依第九条规定向当事人告知。」),且搜集者可于首次利用该当事人之个人资料前,一并告知(注11:个资法第54条第2项:「前项之告知,得于本法中华民国一百零四年十二月十五日修正之条文施行后首次利用时并同为之。」)。
七、本次个资法修正评析:
(1) 个资法通过后多年,实务上因关于病历、医疗等特种资料之争议过大,故暂缓施行个资法第6条之规定。惟实际上却反而造成一般公司行号可能因人事管理之目的而需搜集员工之特种资料,在法律未针对特种资料有特别规定情形下,以往在搜集特种资料时,仍依照搜集当事人之一般资料办理,反而可能造成对当事人的保护不周,例如:在具有特定目的,且与当事人有契约或类似契约关系时,非公务机关即可依照个资法第19条搜集当事人之个人资料,无须当事人同意。本次修正后明文规定特种个人资料之取得,除非有其他法律明文规定,或非公务关履行法定义务之必要范围,或当事人已自行公开等法定要件下,原则上需取得当事人之书面同意,始得搜集当事人之个人资料,对当事人较有保障。
(2) 惟个资法第6条第2项准用个资法第7条第1项情形下,公务机关或非公务机关取得当事人同意之意思表示,系以履行个资法之告知义务为前提。故如搜集者取得当事人搜集其特种个资之书面同意,惟其告知事项有缺漏致违反个资法第8条的情形下,当事人同意之意思表示将可能被视为无效,致搜集者无法合法地搜集当事人之个人资料,此仍需特别注意。
(3) 又实务作业上,放宽让一般公司行号履行告知义务,且当事人亦提供其个人资料的情形下,推定当事人已为个资法第19条、第20条同意。于此可减轻搜集者之行政作业成本,确有利处。惟为免将来举证之困难,一般仍建议于搜集者履行告知义务时,同时可以其他书面取得当事人搜集、处理或利用其个人资料的同意(注12:法务部过去函释指出,公司之告知义务与员工同意搜集其个人资料之同意书,因属不同事项,宜于不同书面为之。参法律决字第10200655250号:「至于公司请员工于告知书上签署,系为取得其知悉告知内容之纪录,与其是否同意个人资料之搜集或处理无涉,且公司将告知书与同意书列于同一书面,未明显区隔,易造成员工混淆,而为概括同意。为避免员工混淆,公司执行个资法第8条之告知说明,与同法第19条之取得当事人书面同意,宜于不同书面为之。」),以求慎重。