2012年-電子商務法制－個人資料保護法制（一）

（一）新版「個人資料保護法」正式上路

個人資料保護可說是近期國內最受重視的議題，事實上國內早於1995年8月即制定施行「電腦處理個人資料保護法」，惟經過十餘年的發展，在電腦與資訊科技日新月異下，包括電子商務等新興商務模式，均廣泛蒐集個人資料，又因資料傳播管道日益增加，對於個人隱私權的保護，造成莫大威脅。然而，現行的電腦處理個人資料保護法，於適用主體方面，存在著行業別的限制，僅有「徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業」等八種特定事業，以及經由法務部會同中央目的事業主管機關共同指定的行業，方受到規範；此外，現行法所保護的客體，亦限於經由「電腦或自動化設備」處理的個人資料，才受到保護，不包括非經電腦處理的個人資料，對於保護個人資料隱私權益規範，明顯不足。

在個資外洩事件層出不窮下，2007年行政院消費者保護委員會選出的十大消費新聞，電子商務、電視購物個資外洩事件即高居首位，法務部更與經濟部共同指定，使無店面零售業（包括網路購物、型錄購物、電視購物等三種交易態樣）自2010年7月1日起適用電腦處理個人資料保護法。但為使個人資料保護法制規範內容，得以因應急速變遷的社會環境，行政院甚早即已提出「電腦處理個人資料保護法修正草案」，並將名稱修正為「個人資料保護法」，歷經立法院會多次討論，終於在2010年4月三讀通過，並將法律名稱調整為「個人資料保護法」，於5月26日由總統府正式公布。

新法雖於2010年4月三讀通過，但為使企業及民眾有充分時間了解並因應新法，新版個人資料保護法並未於公布日施行，而是於該法第56條規定，由行政院另訂施行日期。經過長時間討論，新版個人資料保護法由行政院決定在2012年10月1日正式實施，惟新法第6條關於特種資料原則上不得蒐集、處理與利用，以及第54條要求新法實施前已間接取得的個人資料，必須在一年內補行告知等規定，保留暫緩實施。

就新版個人資料保護法而言，其重點包括下列六者：

1、擴大保護客體

為落實對個人資料之保護，新法第2條擴大應予保護的客體，不再以經過電腦處理的個人資料為限，而普遍及於各種形式存在的個人資料。同時，個人資料的定義，也由原有的「足資識別當事人」，擴大為「直接或間接識別當事人」。

2、普遍適用主體

原有電腦個人資料保護法最主要的問題，在於適用範圍僅限於特定的公務機關或非公務機關，以致於在適用範圍外的機關，若發生個人資料外洩事件時，無法受到本法的規範。為謀求個人資料的完整保護，新法第2條第8款規定已修正適用範圍有限之問題，進一步刪除「非公務機關行業別」的限制，未來任何自然人、法人或其他團體，除新法第51條所規定，出於個人或家庭活動之目的而蒐集、處理或利用個人資料，或是於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料外，均須一體適用新版個人資料保護法。

3、增修行為規範

（1）新版個人資料保護法除擴大保護客體外，為加強特殊敏感性資料的保護，同時增訂「特種資料」之規定。未來有關「醫療」、「基因」、「性生活」、「健康檢查」及「犯罪前科」等五項特種資料，除符合新法第6條所規定的四款法定要件外，原則上不得蒐集、處理或利用。但新法第6條規定，在2012年10月1日新法施行時，暫緩適用並擬進行修正。目前的修正方向，將擴增例外得蒐集、處理、利用特種資料的法定要件，加入「當事人書面同意」與「公共利益」；此外，關於特種資料的範圍，除既有的醫療、基因、性生活、健康檢查及犯罪前科等五項特種資料外，將新增「病歷」此一項目。

（2）為解決舊法下當事人書面同意適用範圍的問題，新法第7條首先明定有關當事人書面同意的要求，是指經蒐集者告知本法規定所應告知的事項後，所為允許之書面意思表示。同時針對「特定目的外」利用個人資料，亦規定需要當事人書面同意時，不得以概括方式取得當事人的同意，必須另行以單獨書面同意方式，以充分保護當事人之權益。

（3）新法異於舊法的重要變革之一，在於要求機關蒐集資料時，必須履行「告知義務」。依據新法第8條及第9條，不論是直接或間接蒐集資料，除符合新法第8條第2項及第9條第2項得免為告知之特定情形外，均須明確告知當事人蒐集機關名稱、蒐集目的、資料類別、利用期間、地區、對象、方式及當事人得行使之權利等相關事項。

（4）當事人除可依新法第10條規定，請求查詢、閱覽其個人資料，或請求製給複製本外，依據新法第11條規定，凡違反新版個人資料保護法規定，蒐集、處理或利用個人資料者，應主動或依當事人的請求，刪除或停止蒐集、處理或利用其個人資料；公務機關和非公務機關對其所保有之個人資料，同時負有更正、補充及通知之義務。

（5）國人個人資料遭到濫用並從事商業行銷之情形，已受到各界重視。新法第20條第2項及第3項規定，特別明定從事商品行銷的非公務機關，應於首次行銷時，免費提供當事人表示拒絕之方式。若當事人明白表示拒絕接受行銷時，亦應即停止利用其個人資料行銷，以尊重當事人有拒絕接受行銷的權利。

4、強化行政監督

為防制個人資料遭到濫用，未來中央目的事業主管機關或直轄市、縣（市）政府，依據新版個人資料保護法第22條規定，一旦發現非公務機關違反相關規定，或認為有必要時，得派員攜帶執行職務證明文件進入檢查，如發現違法情事，尚得採取必要處分。但當事人如有不服，則得聲明異議。此外，依同法第24條規定，主管機關執行檢查時，所採取之措施或相關強制、扣留或複製之行為，當事人如有不服，得聲明異議。若非公務機關確有違反相關規定之情事者，主管機關依同法第25條規定，除裁處罰鍰外，並得為下列處分：

（1）禁止蒐集、處理或利用個人資料；
（2）命令刪除經處理的個人資料檔案；
（3）沒入或命銷燬違法蒐集的個人資料；
（4）公布非公務機關的違法情形，以及其姓名或名稱與負責人。

5、促進民眾參與

為結合民間力量，發揮保護個人資料的功能，新法第32條及第34條規定，增訂符合法定資格條件的財團法人或公益社團法人，得代替個資外洩事件的受害者，提起團體訴訟，以協助隱私權益遭侵害的當事人，進行民事或行政救濟，並增訂團體訴訟裁判費減免規定，以鼓勵當事人透過團體訴訟主張權利。

6、調整責任內涵

新版個人資料保護法針對法律責任，計有民事、刑事及行政責任等不同的設計：

（1）在民事責任部分，除前述團體訴訟的增定外，新法第28條提高基於同一原因事實應對當事人負損害賠償責任的總額，由原有的新台幣2,000萬，提高為2億元。而個別受害者的損害賠償金額，則由原有的2萬至10萬元，調整為500元至2萬元，但若當事人可以證明所受損害超過者，則可依實際所受損害，請求賠償。

（2）針對刑事責任，不再以當事人主觀上具營利意圖為必要條件。對於違法蒐集、處理或利用個人資料者，新法第41條區別其是否具有「意圖營利」之主觀要件，課予程度不等的刑事責任。此外，為提升法益保護的周延程度，新法第43條同時增訂國人在我國領域外觸犯本法之罪者，仍有本法的適用。

（3）在行政裁罰部分，新法除提高對非公務機關所課之罰鍰額度，同時採行「負責人併罰制」。依據新法第47條以下規定，非公務機關的代表人、管理人或其他有代表權人，除能證明自己已善盡防止義務者外，應被課以同一額度的罰鍰，以加強其監督之責任。