首頁
《個人資料保護法》在金融業的適用及介紹
由 TFFU 於 週三, 01/30/2013 - 14:02 發表
Tagged:  •  
作者簡介: 
大台北銀行工會總幹事
出刊日期: 
2013/01/25
期數: 
第145/146期(合刊)
  民國84811日公布之《電腦處理個人資料保護法》(以下簡稱舊法),在歷經15年後,終於修正為現行之《個人資料保護法》(以下簡稱個資法),該法於99526日公布,除第6條、第54條外,其餘條文自101101日施行。然而,個資法施行將近4個月,許多人對個資法的了解仍處於蒙昧狀態,基此,本文就個資法對於我們生活造成的影響作一初探性的介紹。
個資法的修法重點及說明
一、擴大適用的主體及保護的客體
  (一)新版個資法通過後,金融業並非最主要受影響者
  個資法規範的主體,由原本舊法的八大類事業(徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業)及經指定之非公務機關,變更為二分法的公務機關及公務機關以外的自然人、法人或其他團體(非公務機關)。由此可以觀察到,金融業原本就是舊法規範對象;此外,金融業在金融監督管理委員會的嚴格監督下,本來就具有高度的內部控制以及個資保護的制度。因此,在個資法通過後,金融業是從既有的規範中更深入的加強保護個人資料,而非從無到有的建立一個制度,真正受影響的,是前開八大類事業外的非公務機關。
  (二)保護客體擴張,更全面保護個人資料
  由法規名稱可知,舊法與個資法最大的不同在於所規範的客體,由原本的「電腦資訊」變為「全面資料」。也就是舊法只規範「經電腦處理的個人資料」部分,新法尚包括「以其他方式處理、足以直接或間接識別個人的資料」。
二、將個資區分為特種個資與一般個資
  個人資料,指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。其中,醫療、基因、性生活、健康檢查、犯罪前科等資料是參考歐盟個資指令(歐盟的個資法規範),新增該等敏感性資料,除非法律明文規定、履行法定義務且有適當之防護措施、自行公開或已合法公開、統計或學術研究,否則不得蒐集、處理、利用(個資法第6條)。
  敏感性個資除了性生活、基因較容易理解之外,病歷、醫療及健康檢查在區別上說明如下:
  所謂「病歷」之個人資料是指下列各款資料:(1)醫師依醫師法執行業務所製作之病歷。(2)各項檢查、檢驗報告資料。(3)其他各類醫事人員執行業務所製作之紀錄。
  所謂「醫療」之個人資料,指病歷及其他由醫師或其他之醫事人員,以治療、矯正、預防人體疾病、傷害、殘缺為目的,或其他醫學上之正當理由,所為之診察及治療;或基於以上之診察結果,所為處方、用藥、施術或處置所產生之個人資料。
  所謂「健康檢查」之個人資料,指非針對特定疾病進行診斷或治療之目的,而以醫療行為施以檢查所產生之資料。
  其中,健康檢查與其餘二者無交集。醫療與病歷之關係,以條文文字觀之,醫療之個人資料已將病歷包含其中。
  另外,實務上金融業或保全業等行業,對於從業人員的選擇上,均會要求提供良民證,也就是刑事紀錄證明,此將涉及犯罪前科的蒐集,尤其是銀行業直接接觸法定貨幣之行業,對於從業人員的選任又必須謹慎的情況下,該條條文確實可能有窒礙難行之處,因此目前最新公布的個資法第6條並未施行,相信未來會有適度的調整(例如經當事人書面同意而提供亦應列為除外之事項)。
三、告知義務的要求
  依據個資法第8條,除了符合法定的要件外,原則上都必需要明確告知當事人下列事項:
1.公務機關或非公務機關之名稱。例如:個資同意書的表頭顯示為:「○○銀行蒐集、處理與利用個人資料告知暨同意書」。
2.蒐集之目的。請參考法務部發佈訂定之「個人資料保護法之特定目的及個人資料之類別」。以銀行、證券而言,應將:001人身保險、036存款與匯款、037有價證券與有價證券持有人登記、040行銷(包含金控共同行銷業務)、059(金融服務業依法令規定及金融監理需要,所為之蒐集處理及利用)、063067068069090129181C182(不一一列舉)…等,置於告知事項內(以上所舉例者是針對金融業的客戶個資之蒐集,至於事業單位對其所屬員工個資蒐集之目的,所需告知項目不完全相同,請特別注意)。惟各機關所選擇告知之目的係依實際執行之業務種類而定,然依筆者觀察,在告知目的或類別事項中,通常是寧可多列,也不要不小心遺漏導致挨罰。
3.個人資料之類別。同上參考「個人資料保護法之特定目的及個人資料之類別」。
4.個人資料利用的期間、地區、對象及方式。
5.當事人得行使之權利與方式。
6.當事人得自由選擇提供個資時,不提供將對其權益之影響等事項。
  另外,個資法第9條對於間接蒐集得到之個人資料,亦要求告知前開個資的當事人,其個資來源及第8條第1款至第5款所列事項。例如:當事人於授信申請時,填寫其配偶之姓名、身分證統一編號及財力狀況者,即為間接蒐集之資料;應徵時,於人事資料表中填入父、母及兄弟姐妹資料等亦屬之。
四、當事人得主張之權利
  個資法第3條賦予當事人之權利如下:
1.得查詢或請求閱覽或請求製給複製本,但是金融業還是可以酌收必要合理費用。
2.得請求補充或更正,依個人資料保護法施行細則第19條,當事人應為適當之釋明。
3.除公務或非公務機關因職行執務或業務所必須者外,得請求停止蒐集、處理或利用及請求刪除個人資料。
五、團體訴訟之增訂
  個資法第34條新增團體訴訟求償的規定,財團法人或公益社團法人得代受害之當事人向違反個資法的企業提起團體訴訟,以協助當事人救濟遭侵害之隱私權益。受害當事人每人每次可求償新臺幣(以下同)50020,000元,相同原因產生的賠償金額合併計算,最高可以達到2億元(個資法第2829條)。如此的金額是非常可觀的數字,因此不論是企業或團體,應保留完整的書面紀錄,以防在未來有心人士故意興訟或濫用此制度之人出現時,能夠有效的防禦、舉證,以釐清事實真相。
六、主管機關之監督、罰則的提高、賠償責任的增加
  依據個資法中央目的事業主管機關(如:金管會)或直轄市、縣(市)政府,發現企業違反規定或認有必要時得派員檢查(個資法第22條以下),如發現有違法情況,除了可以扣留違法使用的個人資料外,主管機關還可以限期要求企業改善,若不改善則按次罰鍰,依違反情節不同,從2萬元到50萬元不等(個資法第4748條)。此外如果情節重大者可能會被列為黑名單公布負責人姓名及違法情形,對企業之形象殺傷力甚大。
  個資法第41條規定,企業違法使用個人資料造成當事人損失,除賠償當事人外,經手個人資料的員工也要面臨2年刑期或20萬元以下罰金,若是意圖營利違法利用個人資料來營利,刑期更是加重到5年以下有期徒刑,或併科罰金1百萬元。如果企業負責人(代表人、管理人或其他有代表權人)未能證明已盡防止義務,主管機關除了對企業先行開罰外,亦會對負責人作同一額度之處罰。
個資法的因應對策
  由於金融業在主管機關的高度監督下,對於個人資料的保護,可以認為是各大行業類別中最為周到的,因此本文嘗試以非金融業之企業或團體為例,模擬所應注意之事項。
一、個資盤點:掌握企業或團體內部,到底擁有多少個資(包括電腦儲存資料或紙本資料),瞭解保護的標的後,才能有效分配保護個資所須耗費的資源。由於個資的數量龐大,在盤點時建議先將類別確定,再分工執行會更有效率。
二、制度化:確認在企業或團體的業務流程中(包括公司配發之筆電、公司所有使用之表單),所有可能接觸個人資料的作業,將個資保護內化,並使之符合法令規範。如果行有餘力,亦應訂定個資規章,規範事故預防、通報及應變機制,以及對於設備安全管理之措施。
三、配置個資管理的專責人員:依個資法施行細則第12條,尚需配置管理之人員,因此企業團體必須要選任專責人員,以示該企業團體對於個資之保護確實有投入一定比例資源。
四、教育訓練:必須對於個資保護為認知宣導及教育訓練。
  筆者認為,個資法在此次修正變為一體適用許多行業,對於小型的企業團體殺傷力極大,小企業本身在資源上就無法與中大型企業比擬,但是接觸個資的類別並不會因此就減少,對於個資的管理人員或資訊安全之維護,對於小企業團體而言更是雪上加霜,因此個資法在這幾年一直困擾工商界。然而,個資法的罰則涉及刑事責任,以及直接對負責人訂有罰鍰的規定,種下了個資法對於企業團體之影響只會持續增溫的種苗,除非法令有所修正,否則所有的企業都必須要面臨相同的問題。
  所幸個資法在精神上有「能證明已盡防止義務」者不罰的內涵,相信執法者在處罰或判決時,會依實際投入保護個資之程度及努力防免的作為來判斷處罰的輕重。只要我們能夠在工作的同時隨時注意到個資的保護,那些處罰與麻煩自然就不會找上我們了!
如果想要發表回應,請先登入