1 / 57

國立聯合大學法治教育訓練 個人資料保護法

國立聯合大學法治教育訓練 個人資料保護法. 報告人:黃荷婷. 個資 保護. 1. 大綱. 壹、 資料隱私保護之國際脈動 貳、立法目的與政策目標 叁、推動個資法施行之進度 肆、個資法在學校職務之運用 -兼談施行細則之重要內容 伍、建立全面性資料隱私保護機制. 壹、資料隱私保護之國際脈動. 經濟區域之資料隱私保護計畫. 3. 3. 歐盟新 一般資料保護規則草案 之安排. 貳、立法目的與政策目標. 一、個資法之立法目的 ─ § 1 個人資料之 蒐集 、處理及 利用. 5. 5. 個人資料自決權. 司法院釋字第 603 號 解釋:

isaiah-myers
Download Presentation

國立聯合大學法治教育訓練 個人資料保護法

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 國立聯合大學法治教育訓練 個人資料保護法 報告人:黃荷婷 個資 保護 1

  2. 大綱 壹、資料隱私保護之國際脈動 貳、立法目的與政策目標 叁、推動個資法施行之進度 肆、個資法在學校職務之運用 -兼談施行細則之重要內容 伍、建立全面性資料隱私保護機制

  3. 壹、資料隱私保護之國際脈動 經濟區域之資料隱私保護計畫 3 3

  4. 歐盟新一般資料保護規則草案之安排

  5. 貳、立法目的與政策目標 一、個資法之立法目的─§1 個人資料之蒐集、處理及利用 5 5

  6. 個人資料自決權 司法院釋字第603號解釋: 基於人性尊嚴與個人主體性之維護及人格發展之完整,並為保障個人生活私密領域免於他人侵擾及個人資料之自主控制,隱私權乃為不可或缺之基本權利,而受憲法第22條所保障。

  7. 個人資料自決權 就個人自主控制個人資料之資訊隱私權而言,乃保障人民決定是否揭露其個人資料、及在何種範圍內、於何時、以何種方式、向何人揭露之決定權,並保障人民對其個人資料之使用有知悉與控制權及資料記載錯誤之更正權。 惟憲法對資訊隱私權之保障並非絕對,國家得於符合憲法第23條規定意旨之範圍內,以法律明確規定對之予以適當之限制。 →任何人對於其相關之個人資料,如不涉及公益, 原則上均得自我決定是否公開或提供他人利用。

  8. 貳、立法目的與政策目標 二、政策目標 8 8

  9. 叁、推動個資法施行之進度 • 一、個人資料保護法修法歷程及施 行細則進度 有限適用範圍與主體 全面適用 2011.10.27 1995.08 2010.04 2010.05 2012.02 2012.04 電腦處理個人資料保護法 行政院院會報告 提出施行評估報告 總統令公布 個人資料保護法 預告個人資料保護法施行細則草案內容 立法院修正通過 個人資料保護法 諮詢意見、施行細則修正研商會議 9

  10. 叁、推動個資法施行之進度 二、目前各界反應之主要問題 10 10

  11. 肆、個資法在學校職務之運用-兼談施行細則之重要內容肆、個資法在學校職務之運用-兼談施行細則之重要內容 • 一、普遍適用主體 由於本法制定之初,怕對民間企業衝擊過大,因此僅限定電信業、金融業等8類法定行業及後續指定15行業適用本法(見下頁)。但由於資訊科技發展迅速,利用電腦或網際網路蒐集處理個人資料之情形日益普遍。為貫徹保護個人資料之立法意旨,新法爰刪除適用主體之限制,亦即任何行業、團體及個人,均將納入適用個資法之範疇。但自然人為單純個人或家庭活動之目的者,或於公開場合或公開活動蒐集、處理或利用之未與其他個人資料結合之影音資料者,不適用本法。(§2第8款、第51條第1項)

  12. 8類法定行業及15個指定事業(陸續指定中): 徵信業 §3(7)① 以蒐集或電腦處理個人資料為主要業務之團體或個人 期貨業 醫院 台北市產物、人壽保險商業同業公會 非 公 務 機 關 學校 中華民國產物保險商業同業公會及中華民國人壽保險商業同業公會 電信業 §3(7)② 財團法人台灣更生保護會 金融業 財團法人犯罪被害人保護協會 證券業 利用電腦網路開放個人資料登錄之就業服務業 保險業 百貨公司業及零售式量販業(登記資本額為新臺幣一千萬元(含)以上之股份有限公司之組織型態,且有採會員制為行銷方式) 不夠 大眾傳播業 不動產仲介經紀業 除語文類科外之文理類補習班 無店面零售業(以網際網路及型錄方式行銷商品之公司行號) 指定公告 錄影節目帶出租業 §3(7) ③ 電視購物頻道供應者 事業、團體 觀光旅館業 運動場館業

  13. 肆、個資法在學校職務之運用-兼談施行細則之重要內容肆、個資法在學校職務之運用-兼談施行細則之重要內容 二、可識別個人資料之認定 (一)以間接方式識別個人資料之定義。 (二)本法第二條第一款所稱得以間接方式識別, 指保有該資料之公務或非公務機關僅以該資料 不能識別,須與其他資料對照、組合、連結等 ,始能識別該特定個人者。 (三)參照本部100年5月13日法律字第0999051926 號函。 13

  14. 保護客體(法益:人格權中之隱私權) (1)可識別之個人資料 (2)擴及於非自動處理之個人資料 (3)個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。

  15. 規範行為 指以任何方式取得個人資料

  16. 肆、個資法在學校職務之運用-兼談施行細則之重要內容肆、個資法在學校職務之運用-兼談施行細則之重要內容 三、敏感性資料之定義及要件適用(合法性) (1) 醫療、基因、健康檢查等個人資料,原則上不得蒐集處理或利用,須符合第6條第1項但書始得為之。 (2)概念定義之政策建議方向:

  17. 肆、個資法在學校職務之運用-兼談施行細則之重要內容肆、個資法在學校職務之運用-兼談施行細則之重要內容 17

  18. 肆、個資法在學校職務之運用-兼談施行細則之重要內容肆、個資法在學校職務之運用-兼談施行細則之重要內容 (3)第6條第1項但書之例外規定:

  19. 肆、個資法在學校職務之運用-兼談施行細則之重要內容肆、個資法在學校職務之運用-兼談施行細則之重要內容 • 四、蒐集及利用一般個人資料之合法性 (一)公務機關蒐集或處理之合法要件─ §7、新 §15 1、有特定目的:新§53 →由法務部會同中央目的事業主管機關指定 2、符合法定所列情形之一 (1)執行法定職務必要範圍內。 (2)經當事人書面同意。 (3)對當事人權益無侵害。

  20. 電腦處理個人資料保護法之特定目的 (法務部法85令字第19745號令頒101項特定目的)  代號     特定目的項目 002 人事行政管理 005 公共衛生 006 公共關係 028 社會服務或社會工作 032 法律服務 040 政府福利金或救濟金給付行政 043 退撫基金或退休管理 053 教育或訓練行政 058 採購與供應管理 060 統計調查與分析 063 會計與相關服務   065 資訊與資料庫管理 078 輔助性與後勤支援 079 學生資料管理 081 學術研究 089 保健醫療服務 093 其他中央政府  101 其他諮詢與顧問服務 20

  21. 蒐集限制原則 執行法定職務: (1)法律(組織法、 作用法) 、法規命令。例 如大學法、大學法施行 細則。 行政規則?(執行性、細節性事項) (2)目前正在執行之職務 。

  22. 比例原則 • 適用之法律原則─§6;新§5 →應尊重當事人權益 (1)誠實信用原則(方法) (2)比例原則(不得逾越特定目的之必要範圍) →手段正當、最小侵害、利益衡量(公益與 私益之權衡) (3)正當合理關聯原則(與蒐集目的具有正當合 理之關連)

  23. 肆、個資法在學校職務之運用-兼談施行細則之重要內容肆、個資法在學校職務之運用-兼談施行細則之重要內容 (二)公務機關利用之合法要件─ §8、新§16 1、原則:在特定目的內利用 ①應於執行法定職務必要範圍內 ②與蒐集之特定目的相符 2、例外:得為特定目的外之利用(對個人隱私權 影響甚大) ①法律明文規定 ②為維護國家安全或增進公共利益 ③為免除當事人之生命、身體、自由或 財產上之危險

  24. 肆、個資法在學校職務之運用-兼談施行細則之重要內容肆、個資法在學校職務之運用-兼談施行細則之重要內容 ④為防止他人權益之重大危害 ⑤公務機關或學術研究機構基於公共利益為統 計或學術研究而有必要,且資料經過提供 者處理後或蒐集者依其揭露方式無從識別 特定之當事人 ⑥有利於當事人權益 ⑦經當事人書面同意

  25. 個人資料之利用原則 • Case : • 學校或學術研究機構等得否以學術研究名義向戶政機關申請提供民眾戶籍資料?(本部94年11月1日法律字第0940033446號函) • Ans : (1)學校老師為國科會專題研究計畫向台北市民政局請求提供新生兒資料乙節,就該局利用個人資料性質觀之,應屬特定目的(戶政及戶口管理)外利用之情形,是否符合個資法第8條規定第 7款所稱之「為學術研究而有必要且無害於當事人之重大利益」,宜由該局本於權責審認之,其審酌事項宜包括例如:蒐集資料者是否簽有保密義務,保證不洩漏當事人資料?當事人資料有無作匿名化處理,致研究報告公布或揭露時,不會識別特定當事人?提供之資料是否僅屬一般基本資料,未涉及當事人較敏感之資料等。 (2)人民請求行政機關提供經電腦處理之個人資料者,因該個人資料亦屬政府資訊之一部分,故除須符合個資法有關利用之規定者外,尚須依政府資訊公開法規定判斷有無限制公開或提供之情事;如有限制公開或提供之情事,縱符合個資法有關得利用之規定仍不得公開或提供之。

  26. 肆、個資法在學校職務之運用-兼談施行細則之重要內容肆、個資法在學校職務之運用-兼談施行細則之重要內容 (三)非公務機關蒐集或處理之合法要件─ §18、新§19 1、有特定目的 2、符合法定所列情形之一 ①法律明文規定 ②與當事人有契約或類似契約之關係 ③當事人自行公開或其他已合法公開之個人資料 ④學術研究機構基於公共利益為統計或學術研究 而有必要,且資料經過提供者處理後或蒐集 者依其揭露方式無從識別特定之當事人 ⑤經當事人書面同意

  27. 肆、個資法在學校職務之運用-兼談施行細則之重要內容肆、個資法在學校職務之運用-兼談施行細則之重要內容 ⑥與公共利益有關 ⑦個人資料取自於一般可得之來源。但當事 人對該資料之禁止處理或利用,顯有更值 得保護之重大利益者,不在此限。 Ⅱ蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。

  28. 肆、個資法在學校職務之運用-兼談施行細則之重要內容肆、個資法在學校職務之運用-兼談施行細則之重要內容 (四)非公務機關利用之合法要件─ §23、新§20Ⅰ 1、原則:在特定目的內之利用 →應於蒐集之特定目的必要範圍內 2、例外:得為特定目的外之利用 ①法律明文規定 ②為增進公共利益 ③為免除當事人之生命、身體、自由或財產上之危險 ④為防止他人權益之重大危害 ⑤公務機關或學術研究機構基於公共利益為統計或學術 研究而有必要,且資料經過提供者處理後或蒐集者依 其揭露方式無從識別特定之當事人 ⑥經當事人書面同意

  29. 個人資料之目的外利用與職務協助 (一)個人資料保護法§6 ,及個人資料保護法§ 15 及§16。 (二)如何操作: 1、利用者應盡到特定目的外利用之形式要件 審查義務。 2、蒐集者應盡到合法蒐集之說明義務。 3、最小侵害原則、利益衡量原則(比例原則)。 4、機關主管法令有無禁止或限制之規定。 →與職務協助之關係(ex稅捐稽徵法第33條) (三)配套措施: 1、保有個人資料是否符合蒐集之要件。 2、特定目的為何及是否均符合應有之特定目的。

  30. 書面同意 電子簽章法第2條 一、電子文件:指文字、聲音、圖片、影像、符號或其他資料,以電子或,所製成足以表示其用意之紀錄,而供電子處理之用者。 二、電子簽章:指依附於電子文件並與其相關連,用以辨識及確認電子文件簽署人身分、資格及電子文件真偽者。 三、數位簽章:指將電子文件以數學演算法或其他方式運算為一定長度之數位資料,以簽署人之私密金鑰對其加密,形成電子簽章,並得以公開金鑰加以驗證者。

  31. 書面同意 電子簽章法第4條 經相對人同意者,得以電子文件為表示方法。 依法令規定應以書面為之者,如其內容可完整呈現,並可於日後取出供查驗者,經相對人同意,得以電子文件為之。 電子簽章法第9條 依法令規定應簽名或蓋章者,經相對人同意,得以電子簽章為之。 電子簽章法第10條 以數位簽章簽署電子文件者,應符合下列各款規定,始生前條第一項之效力:一、使用經第十一條核定或第十五條許可之憑證機構依法簽發之憑證。二、憑證尚屬有效並未逾使用範圍。

  32. 施行細則之規定 書面意思表示之方式 (一)本法所定書面意思表示之方式,依電子簽章法,得以電子文件為之。 (二)所稱單獨所為之書面意思表示,如係與其他意思表示於同一書面為之者,應於適當位置使當事人得以知悉其內容後並確認同意。

  33. 肆、個資法在學校職務之運用-兼談施行細則之重要內容肆、個資法在學校職務之運用-兼談施行細則之重要內容 五、修正刪除之定義 (一)刪除,指使已儲存之個人資料自個人資料檔案中消失。 (二)明確為事後查核、比對或證明之需要而留存軌跡資料者,得不予刪除之概念。

  34. 肆、個資法在學校職務之運用-兼談施行細則之重要內容肆、個資法在學校職務之運用-兼談施行細則之重要內容 六、何謂執行職務或業務所必須而得不刪除或停止處理或利用個人資料 (一)有法令規定或契約約定之保存期限。 (二)有理由足認刪除將侵害當事人值得保護之利益。 (三)為事後查核或證明之需要而留存軌跡資料或其他衍生性資料。 (四)其他不能刪除之正當事由。

  35. 肆、個資法在學校職務之運用-兼談施行細則之重要內容肆、個資法在學校職務之運用-兼談施行細則之重要內容 七、公務及非公務機關之適當安全維護措施 (一)蒐集者之責任 1、民事損害賠償責任 (1)違法責任:個人資料保護法§28、29 (2)委託責任:個人資料保護法§4 2、個人資料之管理義務 (1)公務機關:個人資料保護法§18 (2)非公務機關:個人資料保護法§27 35

  36. 肆、個資法在學校職務之運用-兼談施行細則之重要內容肆、個資法在學校職務之運用-兼談施行細則之重要內容 (二)適當安全維護措施指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上與組織上之必要措施。 (三)明定必要措施之事項,包括: 1、成立管理組織,配置相當資源 2、界定個人資料之範圍 3、個人資料之風險評估及管理機制 4、事故之預防、通報及應變機制 36 36 36

  37. 肆、個資法在學校職務之運用-兼談施行細則之重要內容肆、個資法在學校職務之運用-兼談施行細則之重要內容 5、個人資料蒐集、處理及利用之內部管理程序 6、資料安全管理及人員管理 7、認知宣導及教育訓練 8、設備安全管理 9、資料安全稽核機制 10、必要之使用紀錄、軌跡資料及證據之保存 11、個人資料安全維護之整體持續改善 (四)必要措施,以所須支出之費用與所欲達成之個人資料保護目的符合適當比例者為限。 37 37 37

  38. 肆、個資法在學校職務之運用-兼談施行細則之重要內容肆、個資法在學校職務之運用-兼談施行細則之重要內容 八、明訂委託人應對受託人為適當之監督 研議規劃方向:建議明訂於委託契約 ①個人資料之範圍、類別、特定目的及其期間 ②受託人應採取個人資料安全維護之必要措施 ③複委託之受託人約定 ④受託人違反法規或契約條款之通知事項及採行補救措施 ⑤委託人保留指示之事項 ⑥委託關係終止或解除之資料載體返還與資料刪除 38

  39. 委外契約條款範例 招標時:計畫需求項目(內容、規格) (三)其他 5、廠商或研究團隊受託執行本計畫處理個人資料應做好安全維護措施。 決標時:契約條款 第八條委託蒐集、處理或利用個人資料之維護管理 (一)契約所定應給付之標的及工作事項涉及蒐集、處理或利用個人資料之全部或一部時,廠商應於契約生效後20日內就下列事項以書面載明並送達機關,經機關同意後,雙方用印並列為契約附件。該書面記載事項如有不明確或不宜者,機關得請廠商修正後為之,廠商最遲應於機關通知修正之日起10日內完成並送達機關。

  40. 委外契約條款範例 1、預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間; 2、個人資料安全、個人資料稽核、設備管理及其他安全維護等事項所採取之措施; 3、有再委託者,其約定; 4、廠商或其受僱人違反個人資料保護法規或契約條款時,應向機關通知之事項; 5、契約關係終止或解除時,廠商個人資料載體之返還,及儲存於廠商持有個人資料之刪除事項。 (二)機關於履約期間內,得每3個月以書面或現場查核方式審核第一點所列事項。 (三)廠商僅得於機關指示之範圍內,蒐集、處理或利用個人資料。廠商認為機關之指示有違反本法或基於本法所發布之命令規定之情事,應立即通知機關。

  41. 肆、個資法在學校職務之運用-兼談施行細則之重要內容肆、個資法在學校職務之運用-兼談施行細則之重要內容 • 九、公務機關之專人及規範義務 (一)指具有管理及維護個人資料檔案之專業能力,且足以擔任機關檔案資料安全維護經常性工作之人員。 (二)公務機關為使專人具有辦理安全維護事項之能力,應辦理或使專人接受相關專業之教育訓練。 (三)公務機關保有個人資料檔案者,應訂定個人資料安全維護規定,其內容應包括第12條第2項所定事項。

  42. 肆、個資法在學校職務之運用-兼談施行細則之重要內容肆、個資法在學校職務之運用-兼談施行細則之重要內容 十、建立信賴之機制 (一)蒐集或利用個人資料時(強化信賴): 1、公務機關之公開作業(個資法§17)。 2、非公務機關之告知義務。 (1)本法第8條、第9條及第54條所定告知之方 式,得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他適當方式為之。 (2)以個別通知之方式為之。

  43. 公務機關之個資保護事項公開作業 • 公告內容及方式: 1、清查機關單位內保有之個人資料 (1)個人資料之檔案名稱 (2)保有機關之名稱及聯絡方式 (3)保有之依據及特定目的 (4)個人資料之類別 2、公開義務:以電腦網站或其他適當方式公告 (§10、11;新§17)

  44. 公告範例 法務部保有個人資料檔案公開項目彙整表之格式 44

  45. 肆、個資法在學校職務之運用-兼談施行細則之重要內容肆、個資法在學校職務之運用-兼談施行細則之重要內容 (二)違法而個人資料受侵害時(恢復信賴): →通知義務(個資法§12) 1、適當方式: (1)時間:即時 (2)方式:以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但需費過鉅者,得斟酌技術之可行性及當事人隱私之保護,以網際網路、新聞媒體或其他足以使公眾得知之方式為之。 2、通知內容:個人資料被侵害之事實及已採取之因應措施。 45

  46. 叁、個資法在警政職務之運用-兼談修正內容及案例探討叁、個資法在警政職務之運用-兼談修正內容及案例探討 • 十一、民事損害賠償 • 違反電腦處理個人資料保護法之民事賠償 • 公務機關違反本法規定,侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限。新§28(無過失損害賠償責任) • 非公務機關違反本法規定,侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。新 §29(舉證責任倒置之過失責任) • 損害賠償總額,以每人每一事件新臺幣500元以上2萬元以下計算。但能證明其所受之損害額高於該金額者,不在此限。逾越損害總額時,不受最低賠償金額500元之限制。新 §28 • 基於同一原因事實應對當事人負損害賠償責任者,其合計最高總額以新臺幣2億元為限。 §28

  47. 叁、個資法在警政職務之運用-兼談修正內容及案例探討叁、個資法在警政職務之運用-兼談修正內容及案例探討 • 十二、刑罰 (一)新§41 違反第6條、第15條、 第16條、第19條、第 20條第1項規定,或中 央目的事業主管機關 依第21條限制國際傳 輸之命令或處分 處2年以下有期徒刑、 拘役或科或併科新臺幣 20萬元以下罰金 足生損害 於他人 處5年以下有期徒刑, 得併科新臺幣100萬元 以下罰金 Ⅱ意圖營利

  48. 叁、個資法在警政職務之運用-兼談修正內容及案例探討叁、個資法在警政職務之運用-兼談修正內容及案例探討 (二)新§42 意圖為自己或 第三人不法之 利益或損害他 人之利益 對於個人資料檔 案為非法變更、 刪除或以其他非 法方法,致妨害 個人資料檔案之 正確 足生損害 於他人 處5年以下有期徒刑、 拘役或科或併科新臺幣 100萬元以下罰金

  49. 叁、個資法在警政職務之運用-兼談修正內容及案例探討叁、個資法在警政職務之運用-兼談修正內容及案例探討 (三)處罰對象─ §35、新§43、§44 1、中華民國領域內或外之中華民國人民 →違法侵害不限境內,強化個資保護 2、公務員假借職務上之權力、機會或方法,犯 本章之罪者→加重其刑至二分之一 (四)告訴乃論─ §36、新§45 1、本章之罪,須告訴乃論 2、例外:犯新§41Ⅱ或對公務機關犯草§42之罪 →非告訴乃論 (五)犯本章之罪,其他法律有較重處罰規定者,從其 規定─ §37、新§46。

  50. 叁、個資法在警政職務之運用-兼談修正內容及案例探討叁、個資法在警政職務之運用-兼談修正內容及案例探討 • 十三、行政罰 (一)新§47、§50 非公務機關 違反第6條、第19條、 第20條第1項 或中央 目的事業主管機關依 第21條規定限制國際 傳輸之命令或處分 中央目的事 業主管機關 或直轄市、 縣(市)政府 處新臺幣5萬元 以上50萬元以 下罰鍰,並令 限期改正 屆期未改正者 ,按次處罰之 非公務機關之代表人 、管理人或其他有代 表權人,不能證明已 盡防止義務者

More Related