Download
1 / 86
860 likes | 936 Views
現行個資法暨施行細則規定對商工行政資訊之衝擊及因應. 國巨律師事務所 朱瑞陽律師 paul.chu@guojulawfirm.com.tw. 前言 --層出不窮的個資外洩事件. 公司董監事. 工商憑證申請聯絡人. 公司設立登記. 教育程度及經歷. 經理人消極資格事項. 個人隱私資料隨時隨地都在被蒐集. 公司負責人徵信資料. 商業登記資料. 4. 遭駭客入侵系統. 內部人員外洩. 委外廠商未盡保 密義務或作業疏失. 內控程序疏失 導致資料外洩. 資訊外洩管道. 資安外洩. 遭惡意軟體破壞. 5. 內控疏失:博物館電子報會員名單全都露.
E N D
現行個資法暨施行細則規定對商工行政資訊之衝擊及因應現行個資法暨施行細則規定對商工行政資訊之衝擊及因應 國巨律師事務所 朱瑞陽律師 paul.chu@guojulawfirm.com.tw
國巨律師事務所,限經濟部101年度 商工策略會議使用
公司董監事 工商憑證申請聯絡人 公司設立登記 教育程度及經歷 經理人消極資格事項 個人隱私資料隨時隨地都在被蒐集 公司負責人徵信資料 商業登記資料 4 國巨律師事務所,限經濟部101年度 商工策略會議使用
遭駭客入侵系統 內部人員外洩 委外廠商未盡保密義務或作業疏失 內控程序疏失導致資料外洩 資訊外洩管道 資安外洩 遭惡意軟體破壞 國巨律師事務所,限經濟部101年度 商工策略會議使用 5
內控疏失:博物館電子報會員名單全都露 • 某博物館三月二十二日發送電子報時,不慎把約五千筆訂戶的電子郵件信箱資訊,放在電子報內容中發送出去,訂戶收到連忙向館方抗議,擔心被有心人士刻意收集email名單來販售或散發垃圾病毒郵件。 • 該館長坦承是承辦人員疏失,未依照電子報發送流程,先填寫電子報內容、主旨後,再輸入訂戶電子郵件的規定,反而將約五千筆訂戶電子郵件鍵入電子報內容中,直接發送出去,除接獲訂戶電話反映,第一時間發現也趕緊停止發送。 • 爆料民眾另指因電子報訂戶多是高社經地位,這批電子郵件的購買行情一筆名單值一元,代傳廣告信一封也有零點五元,屬市場搶手貨!網路行銷業者則表示,目前五十萬筆電子郵件信箱值三萬五千元,「五千筆約兩、三百元,筆數不夠多,願意買的恐怕有限!」業者並強調:「有身分證字號的比較值錢,一筆有五元行情。」 (台灣時報,2012/3/25) 國巨律師事務所,限經濟部101年度 商工策略會議使用
內控疏失:公所辦路跑 個資全po網 • 某市公所在今年元旦舉行「越野賽及第四屆市長盃路跑賽」,卻被參賽者爆料,市公所將參賽者的電話、住址、出生年月日等個人資料,直接公布在市公所官網上 • 林小姐表示,今年元旦時她參加這個路跑活動,賽前瀏覽市公所官網查閱參賽者名單,欲了解各組參賽人數,沒想到名單上不僅是有參賽者姓名,連個人的電話、住址、出生年月日都直接公布在官網上,他痛批:「直接洩漏參賽者個資,我真的很生氣!」 • 市公所民政課表示,因當時作業時間倉促,疏失造成民眾的資料被刊登在網路上,經民眾反映後已緊急將名單撤除,承諾會檢討改進。 (蘋果日報,2012/2/26) 國巨律師事務所,限經濟部101年度 商工策略會議使用
內控疏失:信託開戶資料滿天飛 • 台北縣八里鄉台15線西濱快速道路14公里處,前天下午3時許,出現至少千張以上、A4大小的文件紙張隨風漫天飛舞,不僅飄落在地上,不少還飛到路面外,掉落在下方涵洞中,發現個資散落的「藍色公路」咖啡館黃老闆表示,當時曾目擊壯觀景象,「真的很多呢!有千張以上在空中亂飛,我店門前就看得見。」 • 黃老闆指出,他撿起一些紙張仔細看,才發現這些是前○○○局申請開戶、晶片金融卡、及信用卡往來文件,資料年度從1998年至2006年不等,「看見單據上有姓名、聯絡電話、身分證號、印鑑、帳戶相關重要資料,真的嚇了一大跳!」 • 《蘋果》依文件資料的電話號碼聯繫到數名開戶人,一名開戶者驚呼:「若被壞人拿去,後果不堪設想!」 (蘋果日報,2010/6/20) 8 國巨律師事務所,限經濟部101年度 商工策略會議使用
內控疏失:醫院機密文件銷毀作業不當,病患隱私全都露內控疏失:醫院機密文件銷毀作業不當,病患隱私全都露 • 有民眾日前到台北市立○○醫院服務台詢問相關就醫資訊時,志工給他的便條紙背面竟有其他病患的就醫資料,姓名、年齡、體重、病歷號、就診科別、診斷結果等資訊都清清楚楚,病患隱私全曝光。 • ○○醫院事後檢討本次個資外洩個案的原因,有可能是內部員工將廢棄文件歸類錯誤,以致廢棄的批價單未直接銷毀,卻轉成便條紙使用,才會導致個資外洩。 (2011/08/05 Upaper) 9 國巨律師事務所,限經濟部101年度 商工策略會議使用
內控疏失:客戶個資文件 被當回收紙﹖ • 某電信用戶黃先生說,7月底到○○電信台北○○加盟服務中心繳費,並領取帳單收據,發現收據背面竟有他人的電話號碼及身分證字號,質疑:「這種紙不應該回收使用吧?業者洩露客人個資,真可怕。」 • 對此,○○電信公共關係處說,因加盟店不清楚手機門號、身分證字號屬個人資料,所以才會拿回收紙列印繳費收據,已要求門市不能再這麼做,加盟店疏失,會要求改善。 (蘋果日報,2012/8/24) 國巨律師事務所,限經濟部101年度 商工策略會議使用
內控疏失:警察違反作業規定利用刑案資訊系統查八卦將遭懲處內控疏失:警察違反作業規定利用刑案資訊系統查八卦將遭懲處 • 某立委婚外情事件女主角孫OO成為各方追逐的焦點,八卦的程度連警察都想一探究竟,警政署發現,有68名警員,透過刑案資訊系統查詢孫OO個人資料,因與辦案無關,已下令對這些違反作業規定的警員祭出懲處。 • 警政署資訊室表示每位警察必須以自己的帳碼登入系統,才能查詢民眾個資,統統都會留下紀錄。關於孫OO案,全台有16個單位、共68名警員,曾以電腦查詢孫OO的個人資料,還有人重複查詢兩次以上,共查了70多次。經調查,這些警員查閱孫女個資與案件無關,但都未洩露給他人,因此依規定將處以申誡一次到兩次,如果警員將個資外洩,將涉及《個人資料保護法》及瀆職等刑責,後果相當嚴重。 • 警政署指出,為保護民眾個人資料,防止不肖警員出售資料,警方經常性針對系統中「異常對象」、「異常時間」和「異常數量」的查詢單位執行抽檢,調查針對政治人物、藝人等的個人資料、或一人調閱大筆個資的情況追查,是否與辦案有關。 (NOWnews,2010/1/17) 國巨律師事務所,限經濟部101年度 商工策略會議使用 11
內控疏失:「反向追蹤」揪警濫查個資 • 為保障民眾隱私、杜絕警員亂查個資亂象,警政署制定「戶政資訊稽核實施計劃」,今天起通令全國各警察機關全面實施。這套措施,除了祭出嚴懲重罰措施,還成立「戶政資訊稽核小組」,「反向追蹤」追查有無盜查資料者,一經查獲即記過處分。記者於今年九月披露OO市警方戶政系統管制鬆散,甚至有警員亂查署長個資。事後查明該員雖僅因好玩才透過電腦隨意查個資,仍記過調職處分,並依洩秘罪嫌送辦。 • 警政署認為事態嚴重,要求專案檢討,OO市警局十月二十八日赴警政署報告,分析個資外洩原因,主要是有人情請託、或有不肖同仁販售個資圖利。警政署據此制定「戶政資訊稽核實施計劃」,今起通令全國各警察機關同步實施。 (蘋果日報,2011/12/15) 國巨律師事務所,限經濟部101年度 商工策略會議使用 12
內控疏失:法官擅查個資 擬記過2次| • 台灣高等法院前法官陳○○,去年在庭長任內爆出利用職權,查詢想追求的女性個資。高雄地院法官王○○,前年以幫兒子命名等理由,用法官電腦系統違規查詢個人資料,遭移送評鑑。法官評鑑委員會決議,將王交由司法院人審會懲處,且建議記過兩次。 • 監察院指出,陳○○利用司法院配發個人帳號及密碼,或冒用他股法官承審案件,透過公務電腦,違規登入戶役政電子閘門、公務監理車籍查詢系統、聯合徵信、入出境、票據信用等系統,自2009年2月起至去年9月2日止,共查詢與審判無關的個資達134筆,包括高院同事、房客、醫師等,明顯違法失職。 • 而王○○違規使用「戶役政查詢系統」38次,查詢媽媽的身分證字號、報稅等,另為幫兒子命名,還在系統輸入十幾個名字看有無人使用。法評會發現,王查詢個資「遍及午休及晚上時段」,他卻辯稱是認真的法官,評鑑委員聞言傻眼,決議建議記過兩次。 。 (蘋果日報, 2012/9/14) 國巨律師事務所,限經濟部101年度 商工策略會議使用
內控疏失:徵信資料查一次,賠兩萬﹖ • A銀行自民國91年8 月起至98年3 月止,與甲之間未具資金關係且未經甲的同意下,向財團法人金融聯合徵信中心查詢甲的信用資料高達17次。甲主張A銀行違反電腦處理個人資料保護法向法院起訴請求85萬元之損害賠償。 • 第一審法院認為A銀行雖然可在辦理授信業務前,查詢公司董事及監察人資料以避免不當授信之目的。但A銀行於甲擔任董事、監察人或經理人之企業,均未向其申請貸款之情況下,即預先向聯徵中心查詢原告擔任董事及監察人之資料,顯已侵害甲之資訊隱私權,且預先查詢原告個人資料之行為,顯非最小侵害之手段而不具必要性。因此以查詢一次兩萬元計算,A銀行查詢17次,須賠償甲共計34萬元。 • 第二審法院A銀行依銀行法規定,為避免不當授信,而建立相關授信限制對象之資料備查,以防範利害關係人利用銀行授信職務之便,承作不當授信,故查詢行為合乎個資法規定。 • (臺灣高等法院99年上易字283號判決) 國巨律師事務所,限經濟部101年度 商工策略會議使用 14
內控疏失:退租門號 竟遭盜辦續約﹖ • ○○電信新北市某直營服務中心員工,盜用原欲辦理退租門號的客戶個資,擅自辦理門號續約,客戶事後被業者催繳話費才得知此情況,逕行提告後檢察官正式起訴該名員工,受害者大罵:「嚴重惡行!」○○公司表示,已將該員解職,會加強教育訓練,避免再發生相同情況。消基會表示,業者應確實督導、要求員工遵守管理辦法,並嚴懲違規員工。 • 受害人張先生說,他明明已辦退租,去年3、4月仍收到帳單,5月還接獲○○電信來電催繳電信帳款,經查詢才得知門號遭辦理續約,他怒指:「惡劣至極!」除向業者反映外,更憤而向板橋地方法院按鈴申告提出偽造文書之訴。 (蘋果日報,2012/5/28) 國巨律師事務所,限經濟部101年度 商工策略會議使用
內控疏失:給錯資料害背23罪 戶政員被訴 • 某律師助理前往某縣市戶政事務所,查詢住○○鄉○○路的男子謝○○資料,課員陳小姐卻誤提供○○鄉○○街同名同姓謝○○的資料,讓無辜的謝莫名其妙背了二十三件刑、民事官司。檢察官調查後,昨依洩密罪將陳女起訴。 • 無辜的謝○○不堪其擾控告陳小姐,平時在紙廠當操作員的他大罵:「她嘔,我更嘔,因為她的疏忽,二十三起案件找上我,有刑事、有民事、有非訟案件、還有簡易庭的,傳票幾乎天天一張,每次都得帶著戶籍謄本,證明我不是本尊。」 • 檢察官查出,律師助理申請時,已註明謝○○是住在某路段,但陳女卻給了住在另一條街的謝○○資料,顯示她沒有詳加審核,由於公務員有保守個人資料的義務,因此依《刑法》洩漏國防以外祕密罪起訴。但當時陳女轉任該工作才八天,檢方也請求法官讓她緩刑。 (蘋果日報,2008/4/30) 國巨律師事務所,限經濟部101年度 商工策略會議使用
委外廠商疏失:承辦廠商外洩個資,法院判賠350萬違約金委外廠商疏失:承辦廠商外洩個資,法院判賠350萬違約金 • ○○高中為辦理97年國中基本學力測驗,於民國96年12月間與某公司訂立「國立○○高中97年國民中學學生基本學力測驗電腦作業勞務採購契約」,約定由該公司承攬學力測驗之電腦報名作業(建立考生基本資料)、答案卡製作及寫作測驗答案紙製作、印製考場資料並運送至考區主辦高中、答案卡讀卡作業、印製及輸出考生個人測驗通知單、各國中集體報名單位考生基本資料等相關電腦作業。 • 該公司員工於承攬期間將考生之個人資料及測驗分數資料燒製光碟並轉賣他人獲利,因此○○高中依勞務採購契約之約定,以該公司洩漏考生資料人數按每筆100元計算,向某公司請求3,497,500元之懲罰性違約金,經法院審理後,判決該高中全部勝訴。 國巨律師事務所,限經濟部101年度 商工策略會議使用 17
「國立○○高中97年國民中學學生基本學力測驗電腦作業勞務採購契約」「國立○○高中97年國民中學學生基本學力測驗電腦作業勞務採購契約」 第8 條第1 項約定: 「考生基本資料、統計結果、閱卷成績等電子資料檔及其他任何形式之相關資料,廠商均應交給主辦單位『97年國民中 學學生基本學力測驗全國試務委員會』,得提供『教育部國民中學學生基本學力測驗推動工作委員會』作研究之用。得標廠商不得進行契約之外任何形式的資料運用,如有上述不法情事經檢舉查明屬實者,則每洩漏1 名考生資料,罰新台幣壹佰元整,並負相關法律責任。」 國巨律師事務所,限經濟部101年度 商工策略會議使用 18
委外廠商疏失:個資外洩疑委外建檔惹禍 • 檢調單位破獲販賣個人資料集團後,辦案單位昨天開始清查集團握有之一千三百萬筆健保資料、六百萬筆戶籍資料與數百萬筆幼兒資料來源。調查局初步懷疑,該集團可能是以接受健保、戶政委託製作維修資料庫的機會竊取健保與戶籍資料。 • 調查局官員指出,調查局自今年六月開始大力掃蕩販賣個資集團後,目前電話詐財集團利用戶籍與幼兒資料從事恐嚇詐財事件已減少,又改以簡訊詐財為主要手法,因此調查局下一階段將鎖定盜取電信公司客戶資料的盜賣集團,以切斷電話詐財集團的資料來源 國巨律師事務所,限經濟部101年度 商工策略會議使用
資安防護不足:○○縣調站搞烏龍 線民資料Foxy外洩 • 調查局○○縣調查站一名組長,涉嫌違反資訊通訊安全規定,將佈建的線民資料表存放在隨身碟中,不慎遭Foxy網路共享檔案傳輸,軟體開放分享後遭人下載,造成資料外洩;這是調查局成立至今,首度爆發線民資料外洩事件。 • 據悉,線民資料表有6個數字的代號,及真實姓名、性別、出生年月日、身分證號碼、社會關係等資料,可說是一個人的身家調查資料。當事人對線民資料表外洩渾然不知,新竹市調查站一名調查官打關鍵字「資料」上網搜索意外截獲,緊急上報局本部,由於一旦文件開放Foxy軟體分享,網友均可下載,調查局不諱言,無法得知有多少網友已下載上述資料。 (自由時報,2010/9/7) 國巨律師事務所,限經濟部101年度 商工策略會議使用 20
內部人員洩密:政府部門實習生將外交機密文件張貼在FB﹖內部人員洩密:政府部門實習生將外交機密文件張貼在FB﹖ • 週刊報導,有○○部見習生藉處理外交機密文件之便,將獲取片段資訊張貼在社群網路上。關於此件○○部見習生疑似在網路洩漏機密資訊之事件,○○部表示這名見習生曾簽署「保密切結書」,呼籲他儘速出面說明;並會繼續清查文件,視結果決定是否採取法律行動。 • 這名見習生到○○部工作,時數共100小時,當初即簽署「保密切結書」,內容為「保證對因見習工作而知悉的檔案資料,均應負保密之責,絕無洩漏、盜取、破壞及利用電子媒體儲存等情事,並願負一切法律責任」。 • ○○部表示經初步清查,發現週刊所刊載的資訊屬於早已註銷機密等級的檔案,影響不大;○○部除呼籲這名見習生針對週刊所引述的資料,儘速出面說明是否屬實,也正繼續清查文件,會依據結果來決定是否採取法律行動。 (中央社,2011/09/01) 國巨律師事務所,限經濟部101年度 商工策略會議使用 21
內部人員洩密:員工拷貝客戶帳戶資料,擬賣給德國追討稅金內部人員洩密:員工拷貝客戶帳戶資料,擬賣給德國追討稅金 • ○○控股公司表示,旗下瑞士私人銀行分行的帳戶資料遭離職員工竊取,可能影響多達2.4萬名客戶。該竊案可能重創滙豐的商譽,且可能導致許多客戶成為母國查緝逃漏稅的對象。 • ○○銀行指出,該員工在公司資訊科技部門任職多年,深受信賴,在一次資料遷移的過程中接觸到這些機密資料。○○聲稱,該員工把資料轉存到個人裝置上,然後設法對黎巴嫩數家銀行兜售這些資料。先前也有報導指出,他曾企圖把這些資料以250萬歐元(339萬美元)賣給德國;稅務調查界人士估計,德國可能從這些資料追回1億歐元稅金。該員工最後逃到法國,還在法國媒體上公開嗆聲,說要善盡公民職責,揭露○○協助客戶到海外開設帳戶以逃稅的角色。法國把那些資料的影本送到瑞士,並保證這些資料不會傳到其他國家。瑞士檢方上周3日把資料交給○○後,○○才得以評估失竊帳戶的規模。 (自由時報,2011/12/17) 國巨律師事務所,限經濟部101年度 商工策略會議使用 22
貳、我國現行個資法簡介--現行個資法相關規定介紹貳、我國現行個資法簡介--現行個資法相關規定介紹
現行個資法修正重點 包含直接或間接方式識別該個人之資料。 排除個人或家庭活動,及公開場所或活動之影音資料 擴大適用主體:破除行業別限制,適用於所有機關、法人、團體及個人 • 擴大保護客體: • 包含人工處理個資 • 區分特種個資 • 涵蓋備份檔案 暫緩實施,草案已刪除「一年內」補行告之義務之時間限制 • 增加程序規定: • 直接蒐集前進行告知 • 間接蒐集應於利用前進行告知 • 通知義務 擴大適用地區:在中華民國境外對中 華民國人民個人資料蒐集、處理或利用亦有本法之適用 國巨律師事務所,限經濟部101年度 商工策略會議使用 24
個人資料保護法延後施行:部分條文尚有爭議 • 「個人資料保護法」擴大適用範圍,但因第6條、54條和41條第1項引發爭議,以致個資法修法近2年,迄今仍未施行 • 法務部已在2012/4/11呈報行政院修正案 • 4/30政務委員羅瑩雪、張善政主持協調會,暫定2012/10/1 施行 • 法務部法律事務司司長陳維練表示,希望「個人資料保護法」修正草案能夠在立法院本會期完成修法 • 修法來不及,將分兩階段上路,沒有爭議條文先施行,第6、第54條爭議條文暫緩施行 國巨律師事務所,限經濟部101年度 商工策略會議使用 25
個資法10月1日上路,僅告知義務與敏感個資條款暫緩實施 • 行政院院長陳冲於8月30日終於拍板敲定,擬修正第6條和第54條,以及刪除第41條與第45條的部份條款。修正案將列入立法院9月會期的優先修法對象。若來不及完成修法,行政院將暫緩實施第6條和54條,其餘條款則如期於10月1日全數施行。 (iThome,2012/8/30) 國巨律師事務所,限經濟部101年度 商工策略會議使用
個資法細則送審,新版草案取消軌跡資料 • 個資法施行又有新進度。本次送進行政院進行個資法施行細則草案審查與2011年10月底公布的細則草案最大的差異點在於,此次院版拿掉細則草案第5條的「軌跡資料」(Log Files)字眼,軌跡資料不再納入個資法規範的資料項目,其餘多為文字的修正。 • 原細則草案第5條規定「本法第2條第2款所稱個人資料檔案,包括備份檔案及軌跡資料。」其中新增的軌跡資料主要是因應科技技術發展而新增的字眼,希望能夠強化公務與非公務機關提高對於個資保護的完整性,並透過軌跡資料的證明,也有利於其應負起的舉證責任。 • 但多數意見認為軌跡資料若與個人資料檔案密不可分,相關的蒐集、處理、利用和刪除等,便已經受到現行個資法的規範,無須再以細則條文明訂相關軌跡資料該如何保存;若軌跡資料多是系統設備的存取資訊與個資無關,不受個資法規範,保存與否則受各公務與非公務機關的資訊部門規範。 (iThome,2012/7/16) 國巨律師事務所,限經濟部101年度 商工策略會議使用 27
各產業的個資法主管機關8月公布 • 法務部法律事務司常務次長陳明堂表示,預計在今年8月,公布各產業關注的中央目的事業主管機關的名單。在個資法中,授權各中央目的事業主管機關要制定個資處理的標準作業程序等,法務部也會同步在公布各產業主管機關時,提供法務部預先擬定的個資處理範本,做為其他主管機關制定「非公務機關制定個人資料檔案安全維護計畫」或者是「業務終止後個人資料處理方法」的參考。 (iThome,2012/8/13) 國巨律師事務所,限經濟部101年度 商工策略會議使用
原則不得蒐集處理或利用 醫療、病歷 基因 性生活 健康檢查 犯罪前科 現行個資法下個人資料之定義與範圍 一般個人資料 敏感性資料 29 國巨律師事務所,限經濟部101年度 商工策略會議使用
國巨律師事務所,限經濟部101年度 商工策略會議使用
現行個資法下特種個資源則禁止蒐集處理 醫療資料﹕指以治療、矯正或預防人體疾病、傷害、殘缺為目的,所為之診察、診斷及治療。 101年細則版本新增 例外情形﹕ 法律明文規定。 公務機關執行法定職務或非公務機關履行法定義務所必要,且有適當安全維護措施。 當事人自行公開或其他已合法公開之個人資料。 公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且經一定程序所為蒐集、處理或利用之個人資料。 病歷﹕醫療法第六十七條第二項所列之各款資料 健康檢查﹕指對於無明顯疾病症狀,非出於診斷或治療之目的所為的診察行為 性生活﹕指性取向或性慣行個資 基因資料﹕去氧核醣核酸構成,為生物體控制特定功能之遺傳單位訊息。 犯罪前科﹕指經緩起訴、職權不起訴或法院判決有罪確定之紀錄 擬修法新增經當事人同意及為公共利益兩款例外情形 國巨律師事務所,限經濟部101年度 商工策略會議使用 31
蒐集或處理個人資料應具備特定目的 修正「電腦處理個人資料保護法之特定目的及個人資料之類別」,並修正名稱為「個人資料保護法之特定目的及個人資料之類別」,定自中華民國101年10月1日生效。 國巨律師事務所,限經濟部101年度 商工策略會議使用
公務機關應公開其保有之個人資料檔案 公務機關應將下列事項公開於電腦網站,或以其他適當方式供公眾查閱;其有變更者,亦同: 一、個人資料檔案名稱。 二、保有機關名稱及聯絡方式。 三、個人資料檔案保有之依據及特定目的。 四、個人資料之類別。 為使民眾有固定管道並處於可得隨時知悉公務機關蒐集、處理或利用之情形,故公開方式應特定,並避免任意變更。 所謂適當方式,例如利用政府公報、新聞紙、雜誌、電子報或其他可供公眾查閱之方式為公開 國巨律師事務所,限經濟部101年度 商工策略會議使用
經濟部商業司保有個資項目彙整表例示 國巨律師事務所,限經濟部101年度 商工策略會議使用
現行個資法下直接蒐集之告知義務 增加程序規定 國巨律師事務所,限經濟部101年度 商工策略會議使用 35
現行個資法下間接蒐集之告知義務 國巨律師事務所,限經濟部101年度 商工策略會議使用
主管機關受理公司登記所涉及蒐集、處理之個人資料主管機關受理公司登記所涉及蒐集、處理之個人資料 主管機關向公司蒐集發起人、董監事或負責人個人資料之法律依據: 公司法第387條第1項:「公司之登記或認許,應由代表公司之負責人備具申請書,連同應備之文件一份,向中央主管機關申請」 公司之登記及認許辦法第16條:本法所規定之各類登記事項及其應檢附之文件、書表,詳如表一至表五。申請人依前項規定所應檢附之文件、書表為影本者,必要時主管機關得要求檢附正本,以供查核。如有涉及外國文件者,應另檢附中譯本。」 執行法定職務所必要 國巨律師事務所,限經濟部101年度 商工策略會議使用
施行細則第16條規定,告知之方式,得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。施行細則第16條規定,告知之方式,得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。 國巨律師事務所,限經濟部101年度 商工策略會議使用 38
現行個資法下公務機關得蒐集、處理個資之情形現行個資法下公務機關得蒐集、處理個資之情形 國巨律師事務所,僅供新北市政府地政局個資防護宣導課程使用 39
何謂「法定職務」﹖ 現行個人資料保護法施行細則第10條規定,所稱法定職務,指於下列法規中所定公務機關之職務: 一、 法律、法律授權之命令。 二、 自治條例。 三、 法律或自治條例授權之自治規則。 四、 法律或中央法規授權之委辦規則。 本條修正說明: 除依法律具體或概括授權之法規命令外,依法律授權之處務規程或辦事細則亦屬之。機關為給付行政措施仍係基於其法定權限而得依相關組織法規為依據。
現行個資法下公務機關得於特定目的外處理利用個資之情形現行個資法下公務機關得於特定目的外處理利用個資之情形 資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人 41 國巨律師事務所,僅供新北市政府地政局個資防護宣導課程使用
何謂「資料經過處理後或依其揭露方式無從識別特定當事人」﹖何謂「資料經過處理後或依其揭露方式無從識別特定當事人」﹖ 指個人資料以代碼、匿名、隱藏部分資料或其他方式,無從辨識該特定個人者 目的事業主管機關得斟酌訂定裁量基準,俾供所屬機關或所管行業遵循
合法蒐集處理個人資料的要件之一:書面同意 施行細則第15條規定,該單獨所謂之書面意思表示若與其他意思表示於同一書面者,應於適當位置使當事人得以知悉其內容後並確認同意。 國巨律師事務所,限經濟部101年度 商工策略會議使用 43
書面意思表示得以電子文件方式為之 本法所定書面意思表示之方式,依電子簽章法之規定,得以電子文件為之。 參考電子簽章法法第4條規定,得以電子文件為之,以解決實務上當事人利用網路或資訊通信設備所為同意意思表示 國巨律師事務所,限經濟部101年度 商工策略會議使用
適當安全之必要措施(1) 公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。 施行細則草案規定: 專人是指具有管理及維護個人資料檔案之專業能力,且足以擔任機關檔案資料安全維護經常性工作之人員。 公務機關為使專人具有辦理安全維護事項之能力,應辦理或使專人接受相關專業之教育訓練。 國巨律師事務所,限經濟部101年度 商工策略會議使用
適當安全之必要措施(2) 個人資料保護法預告施行細則第12條:本法所稱適當安全維護措施、安全維護事項或適當之安全措施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之必要措施。得包含: 必要措施,以所須支出之費用與所欲達成之個人資料保護目的符合適當比例者為限 國巨律師事務所,限經濟部101年度 商工策略會議使用 46
現行個資法下對於委託人權利義務之規定 公務機關若有將涉及個資的業務委外處理時,受託業者在執行委託業務範圍,視為委託機關。 受委託蒐集、處理或利用個人資料之法人、團體或自然人,依委託機關應適用之規定為之。 蒐集處理及利用個人資料 資料主體 (當事人) 委託人 受託人 國巨律師事務所,限經濟部101年度 商工策略會議使用 47
委外監督責任(施行細則第8條) 委託人 監督 承包商或委外服務商 當事人 委託人若將業務外包,應對承包商或服務提供商就下列項目予以監督並紀錄確認結果﹕ 預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。 受託人應採取必要的適當安全措施。 有複委託者,其約定之受託人。 受託人或其受僱人違反個人資料保護法規或委託契約條款時,應向委託人通知之事項及採行之補救措施。 委託人對受託人保留指示之事項。 委託關係終止或解除時,個人資料載體之返還,及儲存於受託人持有個人資料之刪除。 國巨律師事務所,限經濟部101年度 商工策略會議使用 48
涉及個資事務之委外契約約定事項及重要考量 依我國個資法施行細則預告草案第六條約定監督事項 可約定違約金,減輕向承包商請求賠償時的舉證責任 可約定懲罰性賠償金,減輕舉證責任,並強化承包商對於遵守個資事項的謹慎,分散資安事件對廠商信用衝擊所受損害的風險 可考慮投保個資責任險,分攤高額損害賠償的風險 公務機關 承包或服務委外廠商 員工 公務機關可透過在員工聘僱契約中增訂保密義務及要求遵守個資處理標準作業規則,強化對於個人資料內部使用的控管 國巨律師事務所,限經濟部101年度 商工策略會議使用 49
個資事故通知義務 公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。(第12條) • 施行細則第22條規定: • 適當方式通知,係指即時以言詞、書面、電話、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但耗費過鉅者,得斟酌技術之可行性及當事人隱私之保護,以網際網路、新聞媒體或其他足以使公眾得知之方式為之。 • 內容應包括個人資料被侵害之事實及已採取之因應措施 國巨律師事務所,限經濟部101年度 商工策略會議使用 50
