2013年12月20日 星期五

2013年-電子商務法制-電子商務政策法制發展現況(五)

(五) 個人資料保護法制



1、 新版「個人資料保護法」及其施行細則正式上路


國內是亞洲地區第一個制定個人資料保護法制的國家,於1995年8月即制定施行「電腦處理個人資料保護法」,惟經過十餘年的發展,在電腦與資訊科技日新月異下,包括電子商務等新興商務模式,無不廣泛且大量地蒐集個人資料,然而,原有的電腦處理個人資料保護法卻僅適用於「徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業」等八個特定事業,以及經由法務部會同中央目的事業主管機關共同指定的行業。同時,該法所保護的客體,亦限於經由「電腦或自動化設備」處理的個人資料,才受到保護,不包括非經電腦處理的個人資料,對於保護個人資料隱私權益規範,明顯不足。

考量電子商務與電視購物等產業,頻傳個資外洩事件之下,法務部曾與經濟部共同指定,使無店面零售業(包括網路購物、型錄購物、電視購物等三種交易態樣)自2010年7月1日起適用電腦處理個人資料保護法。但為使個人資料保護法制規範內容,得以因應急速變遷的社會環境,立法院在2010年4月三讀通過電腦處理個人資料保護法修正草案,並將法律名稱調整為「個人資料保護法」。為使企業及民眾有充分時間了解並因應新法,新版個人資料保護法並未於公布日施行,經過長時間討論,最終由行政院決定在2012年10月1日正式實施,惟新法第6條關於特種資料原則上不得蒐集、處理與利用,以及第54條要求新法實施前已間接取得的個人資料,必須在一年內補行告知等規定,保留暫緩實施。此外,隨著個人資料保護法確定於2012年10月1日正式上路,法務部亦趕於2012年9月26日,正式公告俢正後的個人資料保護法施行細則,完備整體法制。




2、 法務部針對甫上路的新法,提出「個人資料保護法部分條文修正草案」


前述提及個人資料保護法於2012年10月1日正式實施時,部分條文仍保留暫緩實施,其主要原因為各界反應相關條文存在爭議性,實際執行上存在困難,若貿然施行,恐對民眾及產業造成過大衝擊。經法務部多方面邀集各界專家、學者及相關機關代表,召開公聽會及相關會議討論後,法務部已提出「個人資料保護法部分條文修正草案」,並經行政院院會通過。其修正重點包括了:


(1) 將「病歷」增列為特種個人資料,並增加得蒐集、處理或利用之例外情形

依個人資料保護法第6條第1項規定,「醫療、基因、性生活、健康檢查及犯罪前科」等五項個人資料,被列為特種個人資料,除符合但書四款例外情形外,公務機關或非公務機關不得蒐集、處理或利用特種個人資料。但同條第2條第1款個人資料定義中的「病歷」,屬於醫療個人資料內涵之一,卻未放入第6條之中,為避免爭議,修正草案已將病歷增列為特種個人資料列舉事項。此外,由於原有但書中的四款例外情形,不符實務實際需要,俢正草案同時增列「為維護公共利益所必要」、「經當事人書面同意」二款事由,以解決特種個人資料例外得蒐集、處理或利用之適用要件不足的問題。

(2) 刪除「非意圖營利」違法時之刑事處罰規定

在原有電腦處理個人資料保護法下,刑事處理以被告具備「意圖營利」之一主觀要件為必要,但新版個人資料保護法刪除此一要件後,使得非意圖營利之行為人,亦面臨刑事訴追之問題。惟非意圖營利之違法行為,原則上以民事損害賠償、行政罰等方式進行救濟即可,且真有必要課予刑責的情形,國內相關刑事法規中已有規範,為避免刑事政策重複規範,修正草案已將非意圖營利違法之刑事處罰加以刪除。

(3) 修正一年內須完成告知義務之期限規定:

依個人資料保護法第54條規定,「本法修正施行前非由當事人提供之個人資料,依第9條規定應於處理或利用前向當事人為告知者,應自本法修正施行之日起一年內完成告知,逾期未告知而處理或利用者,以違反第9條規定論處」,要求新法實施前已間接取得的個人資料,應該在新法施行後一年之內,完成告知。但此一補行告知的要求,於實際執行上確有困難,故修正草案已將補行告知的期間要求,由現行的施行之日起一年內,調整為於處理或利用前向當事人告知,並得於本次修正之條文施行後首次利用時併同為之。


3、 七家大型電子商務業者通過「台灣個人資料保護與管理制度」驗證


近年電子商務消費者個資外洩事件時有所聞,為協助業者因應個人資料保護法,經濟部自2010年10月起勠力推動「台灣個人資料保護與管理制度」(Taiwan Personal Information Protection and Administration System, TPIPAS),期使企業於遵守個人資料保護法制的前提下,透過建立內部管理機制,適當保障消費者的個人資料,並在嚴謹的驗證要求下,確認導入企業是否符合制度要求。針對通過制度驗證的事業,將發放「資料隱私保護標章」(Data Privacy Protection Mark, dp.mark),作為消費者判斷企業隱私維護能力的客觀指標。

事業須依循「台灣個人資料保護與管理制度規範」(目前最新版本為2012年版)逐步建立內容管理機制,該制度規範同時也是國內企業能否取得「資料隱私保護標章」(dp.mark)的審查指標。由於國內業者過往並無建立內部個資管理制度的經驗,企業可選派適當人員,參與「台灣個人資料保護與管理制度」培訓課程,課程包括「個人資料管理師」及「個人資料內評師」二者,合格的個人資料管理師可協助企業於事業內部建立完整的制度,而內評師則是扮演確認企業建立的制度,是否符合制度規範要求的角色。截至2013年9月為止,國內已有逾百家企業參與制度人員培訓,取得管理師及內評師資格者更達到七百人以上。

在TPIPAS導入上,事業除了由合格的管理師自行建置導入管理制度外,也可尋求專業的外部輔導機構協助,「台灣個人資料保護與管理制度」於2012年7月起開放輔導機構登錄之申請,並於制度網站上公告符合資格要求的制度輔導機構。目前已有九家合格的輔導機構完成登錄作業,包括勤業眾信、安侯、安永等國內知名會計事務所,及科建、精品、可取、鼎新、基律及博創等專業顧問管理公司,均提供TPIPAS制度輔導之服務。



事業在自行導入,抑或尋求上述輔導機構協助,完成內部個資管理體系建置後,便可向「台灣個人資料保護與管理制度」提出驗證申請。驗證流程包括「書面審查」及「現場審查」二個階段,事業通過驗證後,即具備使用「資料隱私保護標章」(dp.mark)的資格,標章的有效期間為2年,事業必須在期間屆滿前提出更新驗證的申請。目前國內已有統一超商、全家、博客來、樂天市場、亞東、康迅數位及欣亞等七家大型電子商務業者,在2012年12月通過TPIPAS驗證並取得資料隱私保護標章(dp.mark),透過導入個資管理制度,強化消費者個人資料的維護工作。

沒有留言:

張貼留言