(二)配合新法正式上路,訂定新法之施行細則
就個人資料保護工作而言,除最為重要的「個人資料保護法」外,依據母法制定的施行細則,也扮演著關鍵性的角色。原有的「電腦處理個人資料保護法施行細則」於1996年5月1日發布施行,鑒於「電腦處理個人資料保護法」已於2010年進行修正,並將名稱修正為「個人資料保護法」,法務部也配合新法修正內容,積極研商「電腦處理個人資料保護法施行細則修正草案」,並曾於2011年11月預告施行細則修正草案。隨著新版個人資料保護法確定於2012年10月1日正式上路,法務部於2012年9月26日正式公告俢正後的施行細則,並將細則名稱修正為「個人資料保護法施行細則」。
就新法施行細則內容而言,對電子商務影響較鉅者,包括了:
1、增訂/修正重要的用詞定義
施行細則重要功能之一,即在於明確母法中的「不確定性法律概念」,修正後的「個人資料保護法施行細則」,也針對母法中重要的用語,諸如「間接識別」、「特種資料」、「適當安全維護」等法條用語,予以明確化。以母法第2條規定的「間接識別」當事人為例,是指保有該資料的公務或非公務機關,僅以該資料不能直接識別,須與其他資料對照、組合、連結等,始能識別該特定之個人。
2、明確「委託」蒐集、處理、利用個資之規範
實務運作上,公務機關或非公務機關委託第三人蒐集、處理、利用個人資料的情況已十分常見,施行細則第7條特別增訂受委託蒐集、處理或利用個人資料的法人、團體或自然人,應依委託機關應適用的規定,進行資料的蒐集、處利或利用;此外,施行細則也特別要求委託人,對於受託者應當有適當的監督,並於施行細則第8條列出六款監督管理上至少應包含之事項。
3、詳列個人資料檔案之適當安全維護措施事項
依據母法第27條規定,非公務機關就其保有的個人資料檔案,負有適當的安全維護措施。為使業界了解何謂適當的安全維護措施,施行細則第12條特別明定了11款個人資料檔案適當安全維護措施事項,包括:
(1)配置管理之人員及相當資源;
(2)界定個人資料之範圍;
(3)個人資料之風險評估及管理機制;
(4)事故之預防、通報及應變機制;
(5)個人資料蒐集、處理及利用之內部管理程序;
(6)資料安全管理及人員管理;
(7)認知宣導及教育訓練;
(8)設備安全管理;
(9)資料安全稽核機制;
(10)使用紀錄、軌跡資料及證據保存;
(11)個人資料安全維護之整體持續改善。
4、明確母法中「書面意思表示」的作法
新版個人資料保護法中,有著若干運用「書面」的規定,例如以「書面同意」方式合法蒐集當事人的個人資料。為降低書面意思表示潛藏的爭議,施行細則第14條增訂母法第7條書面意思表示的方式,得以電子文件為之,而當事人單獨所為的書面意思表示,依據施行細則第15條規定,蒐集者必須列於適當位置,使當事人得以知悉內容並確認是否同意。
5、例示母法「告知義務」可能的告知方式
告知義務是新版個人資料保護法中廣受業界關注的重要規範,包括母法第8條直接蒐集個人資料時的告知、第9條間接取得個人資料時的告知,以及第54條要求應於新法施行一年內就施行前已間接取得的個人資料,進行補行告知等三項規定,應如何履行新法要求的告知義務,至關重要。為降低適用上的疑慮,施行細則第16條特別規定相關的告知要求,得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。
6、明確個人資料事故發生時「通知」當事人之方式
為了在個人資料發生被竊取、洩漏、竄改或其他侵害情形時,能即時通知當事人,減輕個資事故肇致的損害,保障個人權益,施行細則第22條規定母法第12條所稱的「適當方式通知」,指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件,或其他可以使當事人知悉或可得知悉的方式。為兼顧個人資料權益保護與通知效率,施行細則也規定如費用過鉅者,得斟酌技術的可行性及當事人隱私的保護,改以網際網路、新聞媒體或其他適當公開方式進行通知。
沒有留言:
張貼留言