簡評「個人資料保護法」2015年修正案(台灣)

闕立婷 律師
我國於1995年8月1日初次公布之電腦處理個人資料保護法後,在2010年5月26日第一次公布重大的修正,並更名為個人資料保護法(以下稱「個資法」)。並於2012年10月1日正式施行。惟個資法第6條規範關於特種資料之收集、處理、利用,第54條規定個人資料保護法施行前非由第三人提供之個人資料,應於個資法施行後一年內完成告知等,因考慮社會各方認為該二條規定太嚴格,若貿然實施對民眾及社會衝擊太大,故暫緩施行。
而在幾次草案修正後,立法院三讀通過個資法部分條文修正案,並於2015年12月30日,以總統華總一義字第10400152861號令公布,包含修正並開始施行之第6條及54條。此次修正之重點包括:確定「特種資料」的範圍,以及規範特種資料之蒐集、處理、利用的原則與例外;當事人同意的方式除了特種資料之外,得以推定之方式表示同意、無須書面同意;非不法意圖違法使用個資之除罪化;以及放寬對個資法施行前間接蒐集個資之告知期間等。
2015年12月31日個資法部分條文修正案公布後,法務部於2016年3月2日公布修正之個人資料保護法施行細則(下稱「個資法施行細則」)。行政院亦指定個資法以及個資法施行細則於2016年3月15日施行,目前已全面適用新修正之個人資料保護法。
此次修正之重點如下:
一、確認「特種資料」的範圍
(一) 新增病歷為特種資料:
原個資法第6條係規定「醫療」、「基因」、「性生活」、「健康檢查」及「犯罪前科」等五種個人資料,原則上不得蒐集、處理或利用。惟個資法第2條例示之個人資料範圍包含「病歷」及「醫療」(註1:個資法第2條第1款:「個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。」)。因病歷乃醫療個人資料內涵之一,為免爭議,本次個資法修正增列「病歷」亦屬特種資料之一,與原有之5種個人資料,原則上均不得被蒐集、處理或利用。
(二) 新增得蒐集、處理或利用特種資料的例外規定:
1. 原個資法第6條第1項第4款規定:「公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且經一定程序所為蒐集、處理或利用之個人資料」,得例外予以蒐集、處理或利用當事人之特種資料,同條第2項亦規定公務機關或學術機構蒐集、處理或利用個人資料之範圍、程序及其他應遵行事項之辦法,由中央目的事業主管機關會同法務部定之。
惟因公務機關或學術機構基於醫療、衛生或犯罪預防之目的,以及統計或學術研究必要,常有需要蒐集、處理或利用特種個人資料之情形。故本次新增當事人之特種資料如經過提供者匿名化處理,或由蒐集者依其公布揭露方式無從再識別特定當事人者,因無侵害個人隱私權益之可能,故基於資料之合理利用以及促進學術發展,本次修正於此情形下,得例外准許蒐集、處理及利用當事人之個人資料。
又因蒐集、處理或利用特種資料之程序,公務機關得以行政規則訂定之;學術研究機構亦得由中央目的事業主管機關,依個資法第27條第2項規定,指定非公務機關(即學術研究機構)訂定個人資料檔案安全維護計畫或業務中止後個人資料處理方法(註2:個資法第27條第2項:「中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。」),故無需授權訂定規範蒐集、處理、利用該等資料之範圍及程序之必要,故本次修正刪除原個資法第6條第2項的規定。
2. 為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施,得蒐集、處理、利用當事人之特種個人資料(註3:個資法第6條第1項第5款。):
緣公務機關於執行法定職務時常須請求其他機關協助提供個人資料(參行政程序法第19條第2項第4款),惟他機關提供個人資料行為係個人資料之利用行為,且非該機關之法定職務。故無法依個資法第6條但書第2款提供當事人之特種個人資料。故為協助公務機關執行法定職務,或非公務機關履行法定必要範圍內,為使他機關提供個人資料有法律依據,故增列本款規定。
3. 經當事人書面同意,但不逾越特定目的之必要範圍或其他法律另有限制不得蒐集、處理或利用當事人之特種資料(註4:個資法第6條第1項第6款:「經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限」):
依大法官釋字第603號解釋揭示憲法保障「個人自主控制個人資料之資訊隱私權」,個人資料當事人同意權本屬憲法保障之基本權,若完全排除經當事人同意之情形,係嚴重限制憲法所保障之基本權,不符憲法第23條之比例原則。故增訂除法律另有限制或當事人之同意係違反其意願,例如公務機關或非公務機關利用權勢、強暴、脅迫等違反其意願之方法,否則公務機關或非公務機關經當事人同意時,得蒐集當事人之特種資料。惟因特種個人資料相對於一般個人資料更具敏感性,故本條亦規定當事人對特種個人資料蒐集、處理及利用之同意,須以書面為之,以求慎重。
4. 蒐集、處理或利用個人資料時,準用個資法第8條及第9條之告知義務,書面同意亦準用個資法第7條規定(註5:個資法第6條第2項:「依前項規定蒐集、處理或利用個人資料,準用第8條、第9條規定;其中前項」):
個資法第8條及第9條規定,公務機關及非公務機關依個資法第15條及第19條規定蒐集個人資料時,需向當事人告知特定事項。惟因個資法第15條及第19條係規範公務機關及非公務機關向當事人蒐集及處理一般資料之情形,不包含特種資料。故增訂個資法第6條第2項,公務機關或非公務機關蒐集、處理或利用當事人特種個人資料時,應準用個資法第8條及第9條履行法定告知義務,且當事人依照本款規定的同意,準用個資法第7條第1、2項,係於當事人經公務機關或非公務機關告知個資法規定應告知事項後所為允許之意思表示。
二、新增當事人於個資法下的同意,不以書面為限(註6:個資法第7條:「第15條第2款及第19條第1項第5款所稱同意,指當事人經蒐集者告知本法所定應告知事項後,所為允許之意思表示。第16條第7款、第20條第1項第6款所稱同意,指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之意思表示。公務機關或非公務機關明確告知當事人第8條第1項各款應告知事項時,當事人如未表示拒絕,並已提供其個人資料者,推定當事人已依第15條第2款、第19條第1項第5款之規定表示同意。蒐集者就本法所稱經當事人同意之事實,應負舉證責任。」):
(1) 個資法修正後,第15條第2款、第16條但書第7款、第19條第1項第5款以及第20條第1項但書第6款放寬對於當事人「同意」方式,不限於以書面為之。故因此刪除個資法第7條第1項、第2項關於當事人「書面同意」的文字。
(2) 為減輕現行實務上仍需另行取得當事人同意之行政作業,故本次修法增訂公務機關或非公務機關如已明確告知當事人法定應告知事項,而當事人未明示拒絕渠等蒐集其個人資料,且已提供其個人資料予公務機關或非公務機關時,推定當事人已依個資法第15條或第19條同意公務機關或非公務機關蒐集或處理其個人資料。惟如就當事人是否同意之事實認定發生爭執時,因未同意提供係屬消極事項,無從負舉證責任,自應由主張當事人已同意之公務機關或非公務機關負擔舉證責任。
三、新增免為告知義務之規定(註7:個資法第8條第2項第6款:「有下列情形之一者,得免為前項之告知:六、個人資料之蒐集非基於營利之目的,且對當事人顯無不利之影響。」):
法務部修正說明指出,由於個人資料範圍甚廣,公務機關或非公務機關合法蒐集當事人之個人資料時,若其蒐集非基於營利之目的,且對當事人顯無不利之影響時,應得免除蒐集者之告知義務,以避免增加蒐集者合法蒐集行為過多之成本。
四、新增非公務機關對個人資料之蒐集或處理,除應有特定目的,且應符合特定情形(註8:個資法第19條第1項:「非公務機關對個人資料之蒐集或處理,除第6條第1項所規定資料外,應有特定目的,並符合下列情形之一者:
一、法律明文規定。
二、與當事人有契約或類似契約之關係,且已採取適當之安全措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
五、經當事人同意。
六、為增進公共利益所必要。
七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。
八、對當事人權益無侵害。」):
(1) 法務部修正說明指出,非公務機關基於「與當事人有契約或類似契約之關係」蒐集或處理個人資料時,非公務機關本即應照個資法第27條第1項規定採取適當之安全措施。故修正個資法第19條第1項第2款,非公務機關在有蒐集或處理個人資料之特定目的,且於當事人有契約或類似契約之關係時並已採取適當之安全措施時,得蒐集或處理當事人之個人資料。
(2) 另如前述,當事人於個資法下之同意已不以書面同意為限,故修正本條第1項第5款,非公務機關於具有特定目的,且取得當事人同意時,得蒐集或處理當事人之個人資料。
(3) 又原個資法第15條第3款規定,公務機關得於特定目的及「對當事人權益無損害」之情形下,合法蒐集、處理當事人之個人資料。惟非公務機關並無相同規定可適用,致實際上造成非公務機關之困擾及增加作業成本,例如,尚需另行取得新任職員工或客戶之緊急連絡人同意,始能取得緊急聯絡人之資料,惟公司取得緊急連絡人資料,對其權益並無侵害。故增訂個資法第19條第1項第8款,於當事人權益無侵害之情形下,可合法蒐集、處理當事人之個人資料。
五、新增個資法下之刑事責任,係以行為人有不法意圖為要件
行為人如非意圖為自己或第三人不法之利益或損害他人之利益,而違反個資法相關規定者,因可受非難性之程度較低,以民事損害賠償、行政罰即足已。僅在行為人有意圖為自己或第三人不法之利益或損害他人之利益而違反個資法規定時,因可受非難性之程度較高,始以刑罰處罰,故修正個資法第41條的規定,加上行為人需有不法意圖,始有刑事責任,且刑責從原本的二年以下提高為五年以下,併科罰金為二十萬元以下提高為一百萬元以下(註9:個資法第41條:「意圖為自己或第三人不法之利益或損害他人之利益,而違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定,或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分,足生損害於他人者,處五年以下有期徒刑,得併科新台幣一百萬元以下罰金。」)。
六、 修正已取得非由當事人提供之個人資料之蒐集者,於個資法修正條文施行後為處理或利用者,應於處理或利用該個人資料前,向當事人告知 :
個資法於99年5月26日公布時擴大範圍,使原本不受個資法規範從事個人資料蒐集、處理或利用者,均適用個資法的規範。原個資法第54條規定於個資法施行前,已取得非由當事人提供之個人資料,應於個資法通過施行後一年內,依照個資法第9條規定於處理或利用該個人資料前向當事人為告知。惟因原個資法第54條造成之衝擊過大,故暫緩施行。本次修正第54條,規定蒐集者於個資法本次修正後,應於處理或利用當事人之個人資料前,依個資法第9條之規定向當事人進行告知義務(註10:個資法第54條第1項:「本法中華民國九十九年五月二十六日修正公布之條文施行前,非由當事人提供之個人資料,於本法一百零四年十二月十五日修正之條文施行後為處理或利用者,應於處理或利用前,依第九條規定向當事人告知。」),且蒐集者可於首次利用該當事人之個人資料前,一併告知(註11:個資法第54條第2項:「前項之告知,得於本法中華民國一百零四年十二月十五日修正之條文施行後首次利用時併同為之。」)。
七、本次個資法修正評析:
(1) 個資法通過後多年,實務上因關於病歷、醫療等特種資料之爭議過大,故暫緩施行個資法第6條之規定。惟實際上卻反而造成一般公司行號可能因人事管理之目的而需蒐集員工之特種資料,在法律未針對特種資料有特別規定情形下,以往在蒐集特種資料時,仍依照蒐集當事人之一般資料辦理,反而可能造成對當事人的保護不周,例如:在具有特定目的,且與當事人有契約或類似契約關係時,非公務機關即可依照個資法第19條蒐集當事人之個人資料,無須當事人同意。本次修正後明文規定特種個人資料之取得,除非有其他法律明文規定,或非公務關履行法定義務之必要範圍,或當事人已自行公開等法定要件下,原則上需取得當事人之書面同意,始得蒐集當事人之個人資料,對當事人較有保障。
(2) 惟個資法第6條第2項準用個資法第7條第1項情形下,公務機關或非公務機關取得當事人同意之意思表示,係以履行個資法之告知義務為前提。故如蒐集者取得當事人蒐集其特種個資之書面同意,惟其告知事項有缺漏致違反個資法第8條的情形下,當事人同意之意思表示將可能被視為無效,致蒐集者無法合法地蒐集當事人之個人資料,此仍需特別注意。
(3) 又實務作業上,放寬讓一般公司行號履行告知義務,且當事人亦提供其個人資料的情形下,推定當事人已為個資法第19條、第20條同意。於此可減輕蒐集者之行政作業成本,確有利處。惟為免將來舉證之困難,一般仍建議於蒐集者履行告知義務時,同時可以其他書面取得當事人蒐集、處理或利用其個人資料的同意(註12:法務部過去函釋指出,公司之告知義務與員工同意蒐集其個人資料之同意書,因屬不同事項,宜於不同書面為之。參法律決字第10200655250號:「至於公司請員工於告知書上簽署,係為取得其知悉告知內容之紀錄,與其是否同意個人資料之蒐集或處理無涉,且公司將告知書與同意書列於同一書面,未明顯區隔,易造成員工混淆,而為概括同意。為避免員工混淆,公司執行個資法第8條之告知說明,與同法第19條之取得當事人書面同意,宜於不同書面為之。」),以求慎重。