slide1
Download
Skip this Video
Download Presentation
現行個資法暨施行細則規定對商工行政資訊之衝擊及因應

Loading in 2 Seconds...

play fullscreen
1 / 86

現行個資法暨施行細則規定對商工行政資訊之衝擊及因應 - PowerPoint PPT Presentation


  • 68 Views
  • Uploaded on

現行個資法暨施行細則規定對商工行政資訊之衝擊及因應. 國巨律師事務所 朱瑞陽律師 [email protected] 前言 --層出不窮的個資外洩事件. 公司董監事. 工商憑證申請聯絡人. 公司設立登記. 教育程度及經歷. 經理人消極資格事項. 個人隱私資料隨時隨地都在被蒐集. 公司負責人徵信資料. 商業登記資料. 4. 遭駭客入侵系統. 內部人員外洩. 委外廠商未盡保 密義務或作業疏失. 內控程序疏失 導致資料外洩. 資訊外洩管道. 資安外洩. 遭惡意軟體破壞. 5. 內控疏失:博物館電子報會員名單全都露.

loader
I am the owner, or an agent authorized to act on behalf of the owner, of the copyrighted work described.
capcha
Download Presentation

PowerPoint Slideshow about ' 現行個資法暨施行細則規定對商工行政資訊之衝擊及因應' - amir-glenn


An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript
slide1

現行個資法暨施行細則規定對商工行政資訊之衝擊及因應現行個資法暨施行細則規定對商工行政資訊之衝擊及因應

國巨律師事務所

朱瑞陽律師

[email protected]

slide4

公司董監事

工商憑證申請聯絡人

公司設立登記

教育程度及經歷

經理人消極資格事項

個人隱私資料隨時隨地都在被蒐集

公司負責人徵信資料

商業登記資料

4

國巨律師事務所,限經濟部101年度 商工策略會議使用

slide5

遭駭客入侵系統

內部人員外洩

委外廠商未盡保密義務或作業疏失

內控程序疏失導致資料外洩

資訊外洩管道

資安外洩

遭惡意軟體破壞

國巨律師事務所,限經濟部101年度 商工策略會議使用

5

slide6
內控疏失:博物館電子報會員名單全都露
  • 某博物館三月二十二日發送電子報時,不慎把約五千筆訂戶的電子郵件信箱資訊,放在電子報內容中發送出去,訂戶收到連忙向館方抗議,擔心被有心人士刻意收集email名單來販售或散發垃圾病毒郵件。
  • 該館長坦承是承辦人員疏失,未依照電子報發送流程,先填寫電子報內容、主旨後,再輸入訂戶電子郵件的規定,反而將約五千筆訂戶電子郵件鍵入電子報內容中,直接發送出去,除接獲訂戶電話反映,第一時間發現也趕緊停止發送。
  • 爆料民眾另指因電子報訂戶多是高社經地位,這批電子郵件的購買行情一筆名單值一元,代傳廣告信一封也有零點五元,屬市場搶手貨!網路行銷業者則表示,目前五十萬筆電子郵件信箱值三萬五千元,「五千筆約兩、三百元,筆數不夠多,願意買的恐怕有限!」業者並強調:「有身分證字號的比較值錢,一筆有五元行情。」

(台灣時報,2012/3/25)

國巨律師事務所,限經濟部101年度 商工策略會議使用

slide7

內控疏失:公所辦路跑 個資全po網

  • 某市公所在今年元旦舉行「越野賽及第四屆市長盃路跑賽」,卻被參賽者爆料,市公所將參賽者的電話、住址、出生年月日等個人資料,直接公布在市公所官網上
  • 林小姐表示,今年元旦時她參加這個路跑活動,賽前瀏覽市公所官網查閱參賽者名單,欲了解各組參賽人數,沒想到名單上不僅是有參賽者姓名,連個人的電話、住址、出生年月日都直接公布在官網上,他痛批:「直接洩漏參賽者個資,我真的很生氣!」
  • 市公所民政課表示,因當時作業時間倉促,疏失造成民眾的資料被刊登在網路上,經民眾反映後已緊急將名單撤除,承諾會檢討改進。

(蘋果日報,2012/2/26)

國巨律師事務所,限經濟部101年度 商工策略會議使用

slide8
內控疏失:信託開戶資料滿天飛
  • 台北縣八里鄉台15線西濱快速道路14公里處,前天下午3時許,出現至少千張以上、A4大小的文件紙張隨風漫天飛舞,不僅飄落在地上,不少還飛到路面外,掉落在下方涵洞中,發現個資散落的「藍色公路」咖啡館黃老闆表示,當時曾目擊壯觀景象,「真的很多呢!有千張以上在空中亂飛,我店門前就看得見。」
  • 黃老闆指出,他撿起一些紙張仔細看,才發現這些是前○○○局申請開戶、晶片金融卡、及信用卡往來文件,資料年度從1998年至2006年不等,「看見單據上有姓名、聯絡電話、身分證號、印鑑、帳戶相關重要資料,真的嚇了一大跳!」
  • 《蘋果》依文件資料的電話號碼聯繫到數名開戶人,一名開戶者驚呼:「若被壞人拿去,後果不堪設想!」

(蘋果日報,2010/6/20)

8

國巨律師事務所,限經濟部101年度 商工策略會議使用

slide9

內控疏失:醫院機密文件銷毀作業不當,病患隱私全都露內控疏失:醫院機密文件銷毀作業不當,病患隱私全都露

  • 有民眾日前到台北市立○○醫院服務台詢問相關就醫資訊時,志工給他的便條紙背面竟有其他病患的就醫資料,姓名、年齡、體重、病歷號、就診科別、診斷結果等資訊都清清楚楚,病患隱私全曝光。
  • ○○醫院事後檢討本次個資外洩個案的原因,有可能是內部員工將廢棄文件歸類錯誤,以致廢棄的批價單未直接銷毀,卻轉成便條紙使用,才會導致個資外洩。

(2011/08/05 Upaper)

9

國巨律師事務所,限經濟部101年度 商工策略會議使用

slide10

內控疏失:客戶個資文件 被當回收紙﹖

  • 某電信用戶黃先生說,7月底到○○電信台北○○加盟服務中心繳費,並領取帳單收據,發現收據背面竟有他人的電話號碼及身分證字號,質疑:「這種紙不應該回收使用吧?業者洩露客人個資,真可怕。」
  • 對此,○○電信公共關係處說,因加盟店不清楚手機門號、身分證字號屬個人資料,所以才會拿回收紙列印繳費收據,已要求門市不能再這麼做,加盟店疏失,會要求改善。

(蘋果日報,2012/8/24)

國巨律師事務所,限經濟部101年度 商工策略會議使用

slide11

內控疏失:警察違反作業規定利用刑案資訊系統查八卦將遭懲處內控疏失:警察違反作業規定利用刑案資訊系統查八卦將遭懲處

  • 某立委婚外情事件女主角孫OO成為各方追逐的焦點,八卦的程度連警察都想一探究竟,警政署發現,有68名警員,透過刑案資訊系統查詢孫OO個人資料,因與辦案無關,已下令對這些違反作業規定的警員祭出懲處。
  • 警政署資訊室表示每位警察必須以自己的帳碼登入系統,才能查詢民眾個資,統統都會留下紀錄。關於孫OO案,全台有16個單位、共68名警員,曾以電腦查詢孫OO的個人資料,還有人重複查詢兩次以上,共查了70多次。經調查,這些警員查閱孫女個資與案件無關,但都未洩露給他人,因此依規定將處以申誡一次到兩次,如果警員將個資外洩,將涉及《個人資料保護法》及瀆職等刑責,後果相當嚴重。
  • 警政署指出,為保護民眾個人資料,防止不肖警員出售資料,警方經常性針對系統中「異常對象」、「異常時間」和「異常數量」的查詢單位執行抽檢,調查針對政治人物、藝人等的個人資料、或一人調閱大筆個資的情況追查,是否與辦案有關。

(NOWnews,2010/1/17)

國巨律師事務所,限經濟部101年度 商工策略會議使用

11

slide12
內控疏失:「反向追蹤」揪警濫查個資
  • 為保障民眾隱私、杜絕警員亂查個資亂象,警政署制定「戶政資訊稽核實施計劃」,今天起通令全國各警察機關全面實施。這套措施,除了祭出嚴懲重罰措施,還成立「戶政資訊稽核小組」,「反向追蹤」追查有無盜查資料者,一經查獲即記過處分。記者於今年九月披露OO市警方戶政系統管制鬆散,甚至有警員亂查署長個資。事後查明該員雖僅因好玩才透過電腦隨意查個資,仍記過調職處分,並依洩秘罪嫌送辦。
  • 警政署認為事態嚴重,要求專案檢討,OO市警局十月二十八日赴警政署報告,分析個資外洩原因,主要是有人情請託、或有不肖同仁販售個資圖利。警政署據此制定「戶政資訊稽核實施計劃」,今起通令全國各警察機關同步實施。

(蘋果日報,2011/12/15)

國巨律師事務所,限經濟部101年度 商工策略會議使用

12

slide13

內控疏失:法官擅查個資 擬記過2次|

  • 台灣高等法院前法官陳○○,去年在庭長任內爆出利用職權,查詢想追求的女性個資。高雄地院法官王○○,前年以幫兒子命名等理由,用法官電腦系統違規查詢個人資料,遭移送評鑑。法官評鑑委員會決議,將王交由司法院人審會懲處,且建議記過兩次。
  • 監察院指出,陳○○利用司法院配發個人帳號及密碼,或冒用他股法官承審案件,透過公務電腦,違規登入戶役政電子閘門、公務監理車籍查詢系統、聯合徵信、入出境、票據信用等系統,自2009年2月起至去年9月2日止,共查詢與審判無關的個資達134筆,包括高院同事、房客、醫師等,明顯違法失職。
  • 而王○○違規使用「戶役政查詢系統」38次,查詢媽媽的身分證字號、報稅等,另為幫兒子命名,還在系統輸入十幾個名字看有無人使用。法評會發現,王查詢個資「遍及午休及晚上時段」,他卻辯稱是認真的法官,評鑑委員聞言傻眼,決議建議記過兩次。 。

(蘋果日報, 2012/9/14)

國巨律師事務所,限經濟部101年度 商工策略會議使用

slide14

內控疏失:徵信資料查一次,賠兩萬﹖

  • A銀行自民國91年8 月起至98年3 月止,與甲之間未具資金關係且未經甲的同意下,向財團法人金融聯合徵信中心查詢甲的信用資料高達17次。甲主張A銀行違反電腦處理個人資料保護法向法院起訴請求85萬元之損害賠償。
  • 第一審法院認為A銀行雖然可在辦理授信業務前,查詢公司董事及監察人資料以避免不當授信之目的。但A銀行於甲擔任董事、監察人或經理人之企業,均未向其申請貸款之情況下,即預先向聯徵中心查詢原告擔任董事及監察人之資料,顯已侵害甲之資訊隱私權,且預先查詢原告個人資料之行為,顯非最小侵害之手段而不具必要性。因此以查詢一次兩萬元計算,A銀行查詢17次,須賠償甲共計34萬元。
  • 第二審法院A銀行依銀行法規定,為避免不當授信,而建立相關授信限制對象之資料備查,以防範利害關係人利用銀行授信職務之便,承作不當授信,故查詢行為合乎個資法規定。
  • (臺灣高等法院99年上易字283號判決)

國巨律師事務所,限經濟部101年度 商工策略會議使用

14

slide15

內控疏失:退租門號 竟遭盜辦續約﹖

  • ○○電信新北市某直營服務中心員工,盜用原欲辦理退租門號的客戶個資,擅自辦理門號續約,客戶事後被業者催繳話費才得知此情況,逕行提告後檢察官正式起訴該名員工,受害者大罵:「嚴重惡行!」○○公司表示,已將該員解職,會加強教育訓練,避免再發生相同情況。消基會表示,業者應確實督導、要求員工遵守管理辦法,並嚴懲違規員工。
  • 受害人張先生說,他明明已辦退租,去年3、4月仍收到帳單,5月還接獲○○電信來電催繳電信帳款,經查詢才得知門號遭辦理續約,他怒指:「惡劣至極!」除向業者反映外,更憤而向板橋地方法院按鈴申告提出偽造文書之訴。

(蘋果日報,2012/5/28)

國巨律師事務所,限經濟部101年度 商工策略會議使用

slide16

內控疏失:給錯資料害背23罪 戶政員被訴

  • 某律師助理前往某縣市戶政事務所,查詢住○○鄉○○路的男子謝○○資料,課員陳小姐卻誤提供○○鄉○○街同名同姓謝○○的資料,讓無辜的謝莫名其妙背了二十三件刑、民事官司。檢察官調查後,昨依洩密罪將陳女起訴。
  • 無辜的謝○○不堪其擾控告陳小姐,平時在紙廠當操作員的他大罵:「她嘔,我更嘔,因為她的疏忽,二十三起案件找上我,有刑事、有民事、有非訟案件、還有簡易庭的,傳票幾乎天天一張,每次都得帶著戶籍謄本,證明我不是本尊。」
  • 檢察官查出,律師助理申請時,已註明謝○○是住在某路段,但陳女卻給了住在另一條街的謝○○資料,顯示她沒有詳加審核,由於公務員有保守個人資料的義務,因此依《刑法》洩漏國防以外祕密罪起訴。但當時陳女轉任該工作才八天,檢方也請求法官讓她緩刑。

(蘋果日報,2008/4/30)

國巨律師事務所,限經濟部101年度 商工策略會議使用

slide17

委外廠商疏失:承辦廠商外洩個資,法院判賠350萬違約金委外廠商疏失:承辦廠商外洩個資,法院判賠350萬違約金

  • ○○高中為辦理97年國中基本學力測驗,於民國96年12月間與某公司訂立「國立○○高中97年國民中學學生基本學力測驗電腦作業勞務採購契約」,約定由該公司承攬學力測驗之電腦報名作業(建立考生基本資料)、答案卡製作及寫作測驗答案紙製作、印製考場資料並運送至考區主辦高中、答案卡讀卡作業、印製及輸出考生個人測驗通知單、各國中集體報名單位考生基本資料等相關電腦作業。
  • 該公司員工於承攬期間將考生之個人資料及測驗分數資料燒製光碟並轉賣他人獲利,因此○○高中依勞務採購契約之約定,以該公司洩漏考生資料人數按每筆100元計算,向某公司請求3,497,500元之懲罰性違約金,經法院審理後,判決該高中全部勝訴。

國巨律師事務所,限經濟部101年度 商工策略會議使用

17

slide18

「國立○○高中97年國民中學學生基本學力測驗電腦作業勞務採購契約」「國立○○高中97年國民中學學生基本學力測驗電腦作業勞務採購契約」

第8 條第1 項約定:

「考生基本資料、統計結果、閱卷成績等電子資料檔及其他任何形式之相關資料,廠商均應交給主辦單位『97年國民中 學學生基本學力測驗全國試務委員會』,得提供『教育部國民中學學生基本學力測驗推動工作委員會』作研究之用。得標廠商不得進行契約之外任何形式的資料運用,如有上述不法情事經檢舉查明屬實者,則每洩漏1 名考生資料,罰新台幣壹佰元整,並負相關法律責任。」

國巨律師事務所,限經濟部101年度 商工策略會議使用

18

slide19

委外廠商疏失:個資外洩疑委外建檔惹禍

  • 檢調單位破獲販賣個人資料集團後,辦案單位昨天開始清查集團握有之一千三百萬筆健保資料、六百萬筆戶籍資料與數百萬筆幼兒資料來源。調查局初步懷疑,該集團可能是以接受健保、戶政委託製作維修資料庫的機會竊取健保與戶籍資料。
  • 調查局官員指出,調查局自今年六月開始大力掃蕩販賣個資集團後,目前電話詐財集團利用戶籍與幼兒資料從事恐嚇詐財事件已減少,又改以簡訊詐財為主要手法,因此調查局下一階段將鎖定盜取電信公司客戶資料的盜賣集團,以切斷電話詐財集團的資料來源

國巨律師事務所,限經濟部101年度 商工策略會議使用

slide20
資安防護不足:○○縣調站搞烏龍 線民資料Foxy外洩
  • 調查局○○縣調查站一名組長,涉嫌違反資訊通訊安全規定,將佈建的線民資料表存放在隨身碟中,不慎遭Foxy網路共享檔案傳輸,軟體開放分享後遭人下載,造成資料外洩;這是調查局成立至今,首度爆發線民資料外洩事件。
  • 據悉,線民資料表有6個數字的代號,及真實姓名、性別、出生年月日、身分證號碼、社會關係等資料,可說是一個人的身家調查資料。當事人對線民資料表外洩渾然不知,新竹市調查站一名調查官打關鍵字「資料」上網搜索意外截獲,緊急上報局本部,由於一旦文件開放Foxy軟體分享,網友均可下載,調查局不諱言,無法得知有多少網友已下載上述資料。

(自由時報,2010/9/7)

國巨律師事務所,限經濟部101年度 商工策略會議使用

20

slide21
內部人員洩密:政府部門實習生將外交機密文件張貼在FB﹖內部人員洩密:政府部門實習生將外交機密文件張貼在FB﹖
  • 週刊報導,有○○部見習生藉處理外交機密文件之便,將獲取片段資訊張貼在社群網路上。關於此件○○部見習生疑似在網路洩漏機密資訊之事件,○○部表示這名見習生曾簽署「保密切結書」,呼籲他儘速出面說明;並會繼續清查文件,視結果決定是否採取法律行動。
  • 這名見習生到○○部工作,時數共100小時,當初即簽署「保密切結書」,內容為「保證對因見習工作而知悉的檔案資料,均應負保密之責,絕無洩漏、盜取、破壞及利用電子媒體儲存等情事,並願負一切法律責任」。
  • ○○部表示經初步清查,發現週刊所刊載的資訊屬於早已註銷機密等級的檔案,影響不大;○○部除呼籲這名見習生針對週刊所引述的資料,儘速出面說明是否屬實,也正繼續清查文件,會依據結果來決定是否採取法律行動。

(中央社,2011/09/01)

國巨律師事務所,限經濟部101年度 商工策略會議使用

21

slide22

內部人員洩密:員工拷貝客戶帳戶資料,擬賣給德國追討稅金內部人員洩密:員工拷貝客戶帳戶資料,擬賣給德國追討稅金

  • ○○控股公司表示,旗下瑞士私人銀行分行的帳戶資料遭離職員工竊取,可能影響多達2.4萬名客戶。該竊案可能重創滙豐的商譽,且可能導致許多客戶成為母國查緝逃漏稅的對象。
  • ○○銀行指出,該員工在公司資訊科技部門任職多年,深受信賴,在一次資料遷移的過程中接觸到這些機密資料。○○聲稱,該員工把資料轉存到個人裝置上,然後設法對黎巴嫩數家銀行兜售這些資料。先前也有報導指出,他曾企圖把這些資料以250萬歐元(339萬美元)賣給德國;稅務調查界人士估計,德國可能從這些資料追回1億歐元稅金。該員工最後逃到法國,還在法國媒體上公開嗆聲,說要善盡公民職責,揭露○○協助客戶到海外開設帳戶以逃稅的角色。法國把那些資料的影本送到瑞士,並保證這些資料不會傳到其他國家。瑞士檢方上周3日把資料交給○○後,○○才得以評估失竊帳戶的規模。

(自由時報,2011/12/17)

國巨律師事務所,限經濟部101年度 商工策略會議使用

22

slide23
貳、我國現行個資法簡介--現行個資法相關規定介紹貳、我國現行個資法簡介--現行個資法相關規定介紹
slide24
現行個資法修正重點

包含直接或間接方式識別該個人之資料。

排除個人或家庭活動,及公開場所或活動之影音資料

擴大適用主體:破除行業別限制,適用於所有機關、法人、團體及個人

  • 擴大保護客體:
  • 包含人工處理個資
  • 區分特種個資
  • 涵蓋備份檔案

暫緩實施,草案已刪除「一年內」補行告之義務之時間限制

  • 增加程序規定:
  • 直接蒐集前進行告知
  • 間接蒐集應於利用前進行告知
  • 通知義務

擴大適用地區:在中華民國境外對中 華民國人民個人資料蒐集、處理或利用亦有本法之適用

國巨律師事務所,限經濟部101年度 商工策略會議使用

24

slide25
個人資料保護法延後施行:部分條文尚有爭議
  • 「個人資料保護法」擴大適用範圍,但因第6條、54條和41條第1項引發爭議,以致個資法修法近2年,迄今仍未施行
  • 法務部已在2012/4/11呈報行政院修正案
  • 4/30政務委員羅瑩雪、張善政主持協調會,暫定2012/10/1 施行
  • 法務部法律事務司司長陳維練表示,希望「個人資料保護法」修正草案能夠在立法院本會期完成修法
    • 修法來不及,將分兩階段上路,沒有爭議條文先施行,第6、第54條爭議條文暫緩施行

國巨律師事務所,限經濟部101年度 商工策略會議使用

25

slide26
個資法10月1日上路,僅告知義務與敏感個資條款暫緩實施
  • 行政院院長陳冲於8月30日終於拍板敲定,擬修正第6條和第54條,以及刪除第41條與第45條的部份條款。修正案將列入立法院9月會期的優先修法對象。若來不及完成修法,行政院將暫緩實施第6條和54條,其餘條款則如期於10月1日全數施行。

(iThome,2012/8/30)

國巨律師事務所,限經濟部101年度 商工策略會議使用

slide27
個資法細則送審,新版草案取消軌跡資料
  • 個資法施行又有新進度。本次送進行政院進行個資法施行細則草案審查與2011年10月底公布的細則草案最大的差異點在於,此次院版拿掉細則草案第5條的「軌跡資料」(Log Files)字眼,軌跡資料不再納入個資法規範的資料項目,其餘多為文字的修正。
  • 原細則草案第5條規定「本法第2條第2款所稱個人資料檔案,包括備份檔案及軌跡資料。」其中新增的軌跡資料主要是因應科技技術發展而新增的字眼,希望能夠強化公務與非公務機關提高對於個資保護的完整性,並透過軌跡資料的證明,也有利於其應負起的舉證責任。
  • 但多數意見認為軌跡資料若與個人資料檔案密不可分,相關的蒐集、處理、利用和刪除等,便已經受到現行個資法的規範,無須再以細則條文明訂相關軌跡資料該如何保存;若軌跡資料多是系統設備的存取資訊與個資無關,不受個資法規範,保存與否則受各公務與非公務機關的資訊部門規範。

(iThome,2012/7/16)

國巨律師事務所,限經濟部101年度 商工策略會議使用

27

slide28
各產業的個資法主管機關8月公布
  • 法務部法律事務司常務次長陳明堂表示,預計在今年8月,公布各產業關注的中央目的事業主管機關的名單。在個資法中,授權各中央目的事業主管機關要制定個資處理的標準作業程序等,法務部也會同步在公布各產業主管機關時,提供法務部預先擬定的個資處理範本,做為其他主管機關制定「非公務機關制定個人資料檔案安全維護計畫」或者是「業務終止後個人資料處理方法」的參考。

(iThome,2012/8/13)

國巨律師事務所,限經濟部101年度 商工策略會議使用

slide29

原則不得蒐集處理或利用

醫療、病歷

基因

性生活

健康檢查

犯罪前科

現行個資法下個人資料之定義與範圍

一般個人資料

敏感性資料

29

國巨律師事務所,限經濟部101年度 商工策略會議使用

slide31

現行個資法下特種個資源則禁止蒐集處理

醫療資料﹕指以治療、矯正或預防人體疾病、傷害、殘缺為目的,所為之診察、診斷及治療。

101年細則版本新增

例外情形﹕

法律明文規定。

公務機關執行法定職務或非公務機關履行法定義務所必要,且有適當安全維護措施。

當事人自行公開或其他已合法公開之個人資料。

公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且經一定程序所為蒐集、處理或利用之個人資料。

病歷﹕醫療法第六十七條第二項所列之各款資料

健康檢查﹕指對於無明顯疾病症狀,非出於診斷或治療之目的所為的診察行為

性生活﹕指性取向或性慣行個資

基因資料﹕去氧核醣核酸構成,為生物體控制特定功能之遺傳單位訊息。

犯罪前科﹕指經緩起訴、職權不起訴或法院判決有罪確定之紀錄

擬修法新增經當事人同意及為公共利益兩款例外情形

國巨律師事務所,限經濟部101年度 商工策略會議使用

31

slide32

蒐集或處理個人資料應具備特定目的

修正「電腦處理個人資料保護法之特定目的及個人資料之類別」,並修正名稱為「個人資料保護法之特定目的及個人資料之類別」,定自中華民國101年10月1日生效。

國巨律師事務所,限經濟部101年度 商工策略會議使用

slide33

公務機關應公開其保有之個人資料檔案

公務機關應將下列事項公開於電腦網站,或以其他適當方式供公眾查閱;其有變更者,亦同:

一、個人資料檔案名稱。

二、保有機關名稱及聯絡方式。

三、個人資料檔案保有之依據及特定目的。

四、個人資料之類別。

為使民眾有固定管道並處於可得隨時知悉公務機關蒐集、處理或利用之情形,故公開方式應特定,並避免任意變更。

所謂適當方式,例如利用政府公報、新聞紙、雜誌、電子報或其他可供公眾查閱之方式為公開

國巨律師事務所,限經濟部101年度 商工策略會議使用

slide34

經濟部商業司保有個資項目彙整表例示

國巨律師事務所,限經濟部101年度 商工策略會議使用

slide35
現行個資法下直接蒐集之告知義務

增加程序規定

國巨律師事務所,限經濟部101年度 商工策略會議使用

35

slide36
現行個資法下間接蒐集之告知義務

國巨律師事務所,限經濟部101年度 商工策略會議使用

slide37
主管機關受理公司登記所涉及蒐集、處理之個人資料主管機關受理公司登記所涉及蒐集、處理之個人資料

主管機關向公司蒐集發起人、董監事或負責人個人資料之法律依據:

公司法第387條第1項:「公司之登記或認許,應由代表公司之負責人備具申請書,連同應備之文件一份,向中央主管機關申請」

公司之登記及認許辦法第16條:本法所規定之各類登記事項及其應檢附之文件、書表,詳如表一至表五。申請人依前項規定所應檢附之文件、書表為影本者,必要時主管機關得要求檢附正本,以供查核。如有涉及外國文件者,應另檢附中譯本。」

執行法定職務所必要

國巨律師事務所,限經濟部101年度 商工策略會議使用

slide38

施行細則第16條規定,告知之方式,得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。施行細則第16條規定,告知之方式,得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。

國巨律師事務所,限經濟部101年度 商工策略會議使用

38

slide39
現行個資法下公務機關得蒐集、處理個資之情形現行個資法下公務機關得蒐集、處理個資之情形

國巨律師事務所,僅供新北市政府地政局個資防護宣導課程使用

39

slide40

何謂「法定職務」﹖

現行個人資料保護法施行細則第10條規定,所稱法定職務,指於下列法規中所定公務機關之職務:

一、 法律、法律授權之命令。

二、 自治條例。

三、 法律或自治條例授權之自治規則。

四、 法律或中央法規授權之委辦規則。

本條修正說明:

除依法律具體或概括授權之法規命令外,依法律授權之處務規程或辦事細則亦屬之。機關為給付行政措施仍係基於其法定權限而得依相關組織法規為依據。

slide41
現行個資法下公務機關得於特定目的外處理利用個資之情形現行個資法下公務機關得於特定目的外處理利用個資之情形

資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人

41

國巨律師事務所,僅供新北市政府地政局個資防護宣導課程使用

slide42

何謂「資料經過處理後或依其揭露方式無從識別特定當事人」﹖何謂「資料經過處理後或依其揭露方式無從識別特定當事人」﹖

指個人資料以代碼、匿名、隱藏部分資料或其他方式,無從辨識該特定個人者

目的事業主管機關得斟酌訂定裁量基準,俾供所屬機關或所管行業遵循

slide43

合法蒐集處理個人資料的要件之一:書面同意

施行細則第15條規定,該單獨所謂之書面意思表示若與其他意思表示於同一書面者,應於適當位置使當事人得以知悉其內容後並確認同意。

國巨律師事務所,限經濟部101年度 商工策略會議使用

43

slide44

書面意思表示得以電子文件方式為之

本法所定書面意思表示之方式,依電子簽章法之規定,得以電子文件為之。

參考電子簽章法法第4條規定,得以電子文件為之,以解決實務上當事人利用網路或資訊通信設備所為同意意思表示

國巨律師事務所,限經濟部101年度 商工策略會議使用

slide45

適當安全之必要措施(1)

公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。

施行細則草案規定:

專人是指具有管理及維護個人資料檔案之專業能力,且足以擔任機關檔案資料安全維護經常性工作之人員。

公務機關為使專人具有辦理安全維護事項之能力,應辦理或使專人接受相關專業之教育訓練。

國巨律師事務所,限經濟部101年度 商工策略會議使用

slide46

適當安全之必要措施(2)

個人資料保護法預告施行細則第12條:本法所稱適當安全維護措施、安全維護事項或適當之安全措施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之必要措施。得包含:

必要措施,以所須支出之費用與所欲達成之個人資料保護目的符合適當比例者為限

國巨律師事務所,限經濟部101年度 商工策略會議使用

46

slide47
現行個資法下對於委託人權利義務之規定

公務機關若有將涉及個資的業務委外處理時,受託業者在執行委託業務範圍,視為委託機關。

受委託蒐集、處理或利用個人資料之法人、團體或自然人,依委託機關應適用之規定為之。

蒐集處理及利用個人資料

資料主體

(當事人)

委託人

受託人

國巨律師事務所,限經濟部101年度 商工策略會議使用

47

slide48
委外監督責任(施行細則第8條)

委託人

監督

承包商或委外服務商

當事人

委託人若將業務外包,應對承包商或服務提供商就下列項目予以監督並紀錄確認結果﹕

預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。

受託人應採取必要的適當安全措施。

有複委託者,其約定之受託人。

受託人或其受僱人違反個人資料保護法規或委託契約條款時,應向委託人通知之事項及採行之補救措施。

委託人對受託人保留指示之事項。

委託關係終止或解除時,個人資料載體之返還,及儲存於受託人持有個人資料之刪除。

國巨律師事務所,限經濟部101年度 商工策略會議使用

48

slide49
涉及個資事務之委外契約約定事項及重要考量

依我國個資法施行細則預告草案第六條約定監督事項

可約定違約金,減輕向承包商請求賠償時的舉證責任

可約定懲罰性賠償金,減輕舉證責任,並強化承包商對於遵守個資事項的謹慎,分散資安事件對廠商信用衝擊所受損害的風險

可考慮投保個資責任險,分攤高額損害賠償的風險

公務機關

承包或服務委外廠商

員工

公務機關可透過在員工聘僱契約中增訂保密義務及要求遵守個資處理標準作業規則,強化對於個人資料內部使用的控管

國巨律師事務所,限經濟部101年度 商工策略會議使用

49

slide50

個資事故通知義務

公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。(第12條)

  • 施行細則第22條規定:
  • 適當方式通知,係指即時以言詞、書面、電話、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但耗費過鉅者,得斟酌技術之可行性及當事人隱私之保護,以網際網路、新聞媒體或其他足以使公眾得知之方式為之。
  • 內容應包括個人資料被侵害之事實及已採取之因應措施

國巨律師事務所,限經濟部101年度 商工策略會議使用

50

slide51

查詢或請求閱覽

15日內為准駁,必要時

,延長不得超過15日,

並以書面通知請求人

請求製給複製本

請求補充或更正

30日內為准駁,必要時

,延長不得超過30日,

並以書面通知請求人

請求停止蒐集、

處理或利用

請求刪除

當事人權利

當事人權利

准駁期限

國巨律師事務所,限經濟部101年度 商工策略會議使用

51

slide52

個人資料之刪除

個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者,不在此限。

公務機關經裁撤或改組而無承受業務機關者

本法所稱特定目的消失,指左列各款情形之一

特定目的已達成而無繼續處理利用之必要者

其他事由足認該特定目的已無法達成或不存在者

國巨律師事務所,限經濟部101年度 商工策略會議使用

52

slide53

個人資料之刪除

刪除,指使已儲存之個人資料自個人資料檔案中消失

而刪除行為之認定,應以一般人得以利用一般商業軟硬體所為使個人資料消失之行為,作為參考標準,無需以「不復存在」,始謂符合本法所稱之刪除

國巨律師事務所,限經濟部101年度 商工策略會議使用

slide54

個人資料之刪除

個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者,不在此限。

有法令規定或契約約定之保存期限

本條但書所定因執行職務或業務所必須,指左列各款情形之一:

有理由足認刪除將侵害當事人值得保護之利益

其他不能刪除之正當事由

國巨律師事務所,限經濟部101年度 商工策略會議使用

54

slide55
目的:可使個別損害較小,但同時受害者眾的案件,受害者可集結眾人之力進行訴訟,避免因高額的訴訟成本導致受害者無意願或無資力進行求償,反而使加害人未能負起應有之責任。目的:可使個別損害較小,但同時受害者眾的案件,受害者可集結眾人之力進行訴訟,避免因高額的訴訟成本導致受害者無意願或無資力進行求償,反而使加害人未能負起應有之責任。

企業若違反個人資料保護法之安全措施責任,受害者只要集結其中二十個人以上,即可統一將其訴訟實施權以書面授與具備個人資料保護法所限定資格的財團法人或公益社團法人,便可以由該法人委任律師向違反個人資料保護法的企業、組織或個人提起團體訴訟

實際損害難以證明時,請求法院依侵害情節,以每人每一事件以500至2萬元以下計算。

在新法施行後遭訴違反個人資料保護法的民事損害賠償案件預期會大幅增加,企業或個人必須更為謹慎的對待自己所持有的個人資料。

現行個資法之修法重點--新增團體訴訟規定

國巨律師事務所,僅供新北市政府地政局個資防護宣導課程使用

55

slide56
現行個資法之修法重點--法律責任

國巨律師事務所,限經濟部101年度 商工策略會議使用

slide57

違法蒐集處理或利用敏感性資料

違法蒐集及處理個人資料

非意圖營利:

兩年以下有期徒刑

僅處罰意圖營利:

五年以下有期徒刑

違法利用個人資料

刑事責任

非公務機關

違法進行國際傳輸

非法妨害個人資料正確性

五年以下有期徒刑

民事責任

最高賠償總額2億元

集體訴訟(無過失責任)

現行個資法之修法重點--法律責任

公務員假借職務上之權力、機會或方法,加重其刑至1/2

暫緩施行

未來擬修法增訂例外公益目的及經當事人書面同意事由

國巨律師事務所,限經濟部101年度 商工策略會議使用

slide58

政府機關因資安外洩時之舉證分配

舉證:在法律上藉由提出證據來證明個人主張的方式

國巨律師事務所,限經濟部101年度 商工策略會議使用

國巨律師事務所,限教育訓練使用

58

slide59

政府機關於個人資料保護法下舉證責任分配

民事舉證責任:無過失責任

※ 公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所

致者,不在此限。(個資法§28I)

刑罰舉證責任(公務員):

檢察官就被告犯罪事實,應負舉證責任,並指出證明之方法。(刑事訴訟法§161)

國巨律師事務所,限經濟部101年度 商工策略會議使用

國巨律師事務所,限教育訓練使用

59

slide60

公務機關舉證失敗時的賠償責任

  • 損害賠償不以財產上的賠償為限,如果當事人有非財產上的損害,例如精神上的痛苦,當事人是可以請求賠償金額的;如果當事人的名譽有被侵害,還可以請求回復名譽的適當處分。
  • 如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算
  • 對於同一原因事實造成多數當事人權利受侵害的事件,經當事人請求損害賠償,其合計最高總額以新臺幣二億元為限。

精神上損害

名譽上損害

財產損害

國巨律師事務所,限經濟部101年度 商工策略會議使用

國巨律師事務所,限教育訓練使用

60

slide61
參、現行個資法對商工行政資訊相關作業之衝擊參、現行個資法對商工行政資訊相關作業之衝擊
slide62

提供公司董監事名錄公開查詢,是否有個資法問題﹖提供公司董監事名錄公開查詢,是否有個資法問題﹖

公司法第393條第2項:「公司左列登記事項,主管機關應予公開,任何人得向主管機關申請查閱或抄錄:一、公司名稱。二、所營事業。三、公司所在地。四、執行業務或代表公司之股東。五、董事、監察人姓名及持股。六、經理人姓名。七、資本總額或實收資本額。八、公司章程。」

  • 主管機關負有公開提供利用查詢之義務,應屬「發照與登記」之特定目的內利用
  • 公務機關或非公務機關蒐集已依法公開之個人資料,均得依個資法第9條第2款免為間接蒐集之告知。

國巨律師事務所,限經濟部101年度 商工策略會議使用

slide63

經濟部商業司保有個資項目彙整表

  • 未列入政府識別資訊,未蒐集負責人、董監事身分證號﹖(與前開登記資料蒐集各資類別不同)
  • 特定目的是否完全符合利用型態﹖是否要增加其他目的以利適當擴張﹖

國巨律師事務所,限經濟部101年度 商工策略會議使用

slide64

建立廠商通訊錄,蒐集聯絡人姓名、服務單位電子郵件及手機等個人資料,是否有個資法問題﹖建立廠商通訊錄,蒐集聯絡人姓名、服務單位電子郵件及手機等個人資料,是否有個資法問題﹖

除非聯絡人明知應告知之事項(包含蒐集之特定目的、個資類別、利用期間、方式、範圍、當事人權利行使管道等法定應告知之事項),或記者上開聯絡資料均為自行公開或已合法公開(例如公開在廠商網站之資訊),否則應向聯絡人本人進行告知。

國巨律師事務所,限經濟部101年度 商工策略會議使用

slide65

經濟部涉及個資蒐集之檔案閱覽申請書

國巨律師事務所,限經濟部101年度 商工策略會議使用

slide66

經濟部所屬相關活動網站所蒐集之會員資料(1)

國巨律師事務所,限經濟部101年度 商工策略會議使用

slide67

經濟部所屬相關網站所蒐集之會員資料(2)

  • 須注意個別電子報如何提供會員取消訂閱之機制,以落實會員得行使隨時請求停止處理利用之權利﹖

國巨律師事務所,限經濟部101年度 商工策略會議使用

slide68

委託下級機關或非公務機關辦理涉及個資之業務委託下級機關或非公務機關辦理涉及個資之業務

假設某社團法人受經濟部委託,擬透過公開與遴聘方式,籌組財會顧問團隊,專責提供專業財會諮詢及診斷輔導服務,建立輔導人才智庫…

slide69
經濟部工商資料如何因應現行個資法之規定

國巨律師事務所,限經濟部101年度 商工策略會議使用

slide70
防止資安外洩之因應措施

國巨律師事務所,限經濟部101年度 商工策略會議使用

70

slide71
肆、如何面對新修正個人資料保護法之挑戰(1)議題討論肆、如何面對新修正個人資料保護法之挑戰(1)議題討論
slide72

問題一:

受理申請辦理商業登記之各申登機關及其人員,皆會蒐集、處理個人資料,例如公司商號之負責人身份證號、出生日期等個人資料,是否須要求前述各機關之作業人員(及管理人員)皆要簽署個資保護切結書?

國巨律師事務所,限經濟部101年度 商工策略會議使用

slide73

慎選外包廠商:事先評估可能的安全風險

  • 委外服務需求規格的設定與調整
  • 是否有必要投保個資責任險以分散風險﹖

國巨律師事務所,限經濟部101年度 商工策略會議使用

73

slide74

強化人員管理及委外作業程序

  • 從業人員須簽訂「保密切結書」,凡違反規定查詢或洩露個人資料者,均依相關規章議處,直屬主管如有督導不週,一併追究連帶責任
  • 委外業務涉及個人資料,受託機構及其工作人員也須簽署相關保密協議,規範受託機構及其工作人員之保密義務

委外單位人員

管理職人員

強化人員認知並建立訓練機制

從業人員:資訊人員和業務人員

國巨律師事務所,限經濟部101年度 商工策略會議使用

74

slide75

就個資責任之落差,可透過約定違約金或懲罰性違約金轉嫁就個資責任之落差,可透過約定違約金或懲罰性違約金轉嫁

若承包商資力不足,可要求其投保個資責任險,分散風險

公務機關在現行及現行個資法下負無過失責任

若允許複委託,應要求承包商確實監督下游承包商

承包商就下游承包商違反個資法情事負違約責任

承包業者對公務機關原則上負契約責任

下游承包商對直接發包商負契約責任

國巨律師事務所,限經濟部101年度 商工策略會議使用

slide76

問題二:

其他政府機關透過系統介接方式,直接擷取或查詢商工資料庫,以查驗公司商號之登記資料。針對此利用情形,為因應新修正個資法,各介接機關皆要提出個資保護運用與管理計畫 (包括個資使用範圍、方式、期間、保護管理措施等)?

國巨律師事務所,限經濟部101年度 商工策略會議使用

slide77

能否提供含非依法公開之個人資料供行政機關介接﹖能否提供含非依法公開之個人資料供行政機關介接﹖

介接機關應提出係執行法定職務或履行法定義務所必要,並確保內部查詢權限之管理

國巨律師事務所,限經濟部101年度 商工策略會議使用

slide78

問題三:

經濟部商業司須要求介接商工資料庫之機關及其人員均簽屬保密同意書?

是否要於系統上及所有查詢介面(UI)與文件上皆要加註如:「本資料內含個人資料,請遵守個人資料保護法規定,並應善盡注意管理與保護責任,如違法須負法律責任。」等提醒文字?或是否應於商工行政入口網站公布合適的「隱私權保護政策」及「服務條款」?

  • 資料庫應進行權限控管,並留下相關軌跡資料
  • 人員是否簽屬保密同意書,應屬介接機關內部人員管理之問題
  • 要求介接機關須確實維護個資安全與保密,若因其人員至有外洩情事,應負連帶責任。
  • 商業司應確保介接機制之安全性;系統畫面加註警示用語,可作為已採取適當安全維護措施之輔助證據

國巨律師事務所,限經濟部101年度 商工策略會議使用

slide79

問題四:

商業司是否有權利或責任要到各介接機關查核其是否針對商業司所提供之工商資料,進行個資保護管理?

  • 商業司讓其他機關介接時,須注意是否符合特定特定外利用之要件,並應要求介接時應符合之資訊安全標準。機關申請介接時,應要求提交具個資安全維護事項說明以作為審核是否開放介接依據
  • 為因應個資法,過去已介接之機關,亦應要求該機關提供符合個資安全維護措施之說明
  • 惟介接機關於取得資料後,目前法無明文課予資料庫業管提供介接時,對介接機關取得之資料負有監督之責任及義務

國巨律師事務所,限經濟部101年度 商工策略會議使用

slide80
肆、如何面對新修正個人資料保護法之挑戰(2)保存數位證據肆、如何面對新修正個人資料保護法之挑戰(2)保存數位證據
slide81

公務機關如何因應現行個資法無過失之舉證責任公務機關如何因應現行個資法無過失之舉證責任

公務機關應視個案差異,採取適當的因應措施

國巨律師事務所,限經濟部101年度 商工策略會議使用

81

slide82

確認證據

同一性

必要之使用紀錄、軌跡資料及證據之保存

  • 數位證據定義:
  • 得證明民事責任或刑事責任之法律構成要件
  • 可於訴訟程序中用以判斷或認定案件事實之數位資料

透過正當法律程序調查數位證據達到舉證成功效果

事件發生後,數位鑑識進行採證

證明抽取之數位證據確實來自於原始證物

確保方式:

1.蒐集者或其他證據資料

2.透過合法程序取得證據

3.委請專家證人進行鑑定或勘驗

確認證據之

真實性、

完整性等

4.數位鑑識技術

5.開庭當場勘驗比對

數位證據與紙本內容是否相符

國巨律師事務所,限經濟部101年度 商工策略會議使用

82

slide83

數位鑑識

  • 目的:
  • 排除所有可能替代解釋
  • 證明己方解釋的合理性

取得數位資料中的證據

並確保其真實性及完整性

  • 取證對象:
  • 電腦系統
  • 儲存媒體
  • 電子文件檔案
  • 網路上傳輸封包

網路鑑識

資料庫鑑識

行動裝置鑑識

  • 案件分析:作出事實陳述
  • 呈現成果:產出鑑識報告
    • 探究證據來源、成因與行為人之關係時
  • 確保數位資料現場不受干擾或破壞
  • 使用專業工具或委託鑑識專家

國巨律師事務所,限經濟部101年度 商工策略會議使用

83

slide84

數位鑑識:訴訟法上要求資料之同一性、真實性、完整性數位鑑識:訴訟法上要求資料之同一性、真實性、完整性

  • 透過數位鑑識,數位證據得以採證與保存,並且被賦予其證據力,可作為舉證之用,進而達到舉證的效果
  • 舉證者需注意,數位鑑識與數位證據一樣,在法律的正當程序上有一定的要求

民事訴訟法第363條第2項

刑事訴訟法第165-1條第2項

文書或前項物件,須以科技設備始能呈現其內容或提出原件有事實上之困難者,得僅提出呈現其內容之書面並證明其內容與原件相符。

錄音、錄影、電磁紀錄或其他相類之證物可為證據者,審判長應以適當之設備,顯示聲音、影像、符號或資料,使當事人、代理人、辯護人或輔佐人辨認或告以要旨

民事訴訟法第358條

私文書經本人或其代理人簽名、蓋章或按指印或有法院或公證人之認證者 ,推定為真正。

當事人就其本人之簽名、蓋章或按指印為不知或不記憶之陳述者,應否推定為真正,由法院審酌情形斷定之。

民事訴訟法第368條規定

證據有滅失或礙難使用之虞,或經他造同意者,得向法院聲請保全;就確定事、物之現狀有法律上利益並有必要時,亦得聲請為鑑定、勘驗或保全書證。

民事訴訟法第352條

公文書應提出其原本或經認證之繕本或影本。

私文書應提出其原本。但僅因文書之效力或解釋有爭執者,得提出繕本或影本。

國巨律師事務所,限經濟部101年度 商工策略會議使用

84

slide85
針對個人資料生命週期所規範的行為義務

利用

銷毀

蒐集

保存

-應於蒐集之特定目的內使用

-特定目的外之使用應另外取得書面同意

-依法進行告知義務

-採取適當保

護措施,避

免個人資料

被竊取、竄

改或毀損

-特定目的消失

-期限屆滿

-當事人要求

--原則禁止蒐集處理特種個資

國巨律師事務所,限經濟部101年度 商工策略會議使用

85

slide86
簡報結束,歡迎提問

國巨律師事務所,限經濟部101年度 商工策略會議使用

ad