新版個資法與個資保護管理制度
新版個資法與個資保護管理制度
科技法律研究所
2013年4月1日
壹、事件摘要
國內於1995年制定施行「電腦處理個人資料保護法」,在資訊科技日新月異下,加諸法規本身適用上的限制,原有法制設計已不符實務需求。考量個資外洩事件日漸增加,歷經長時間討論,國內於2010年4月三讀通過新版個資法,將法律名稱調整為「個人資料保護法」,並在2012年10月1日正式實施新制。新法不僅全面調整法規內容,並大幅加重企業所負義務與責任,就民事責任而言,單一事件 賠償金額最高達到10億。對國內產業而言,如何有效因應個資法要求,採取妥適的對應策略降低風險,已成為企業運營上的關鍵課題。
貳、重點說明
一、新版個資法暨施行細則正式施行
個人資料保護可說是近期國內最受重視的議題,事實上國內早於1995年8月即制定施行「電腦處理個人資料保護法」,惟經過十餘年的發展,在電腦與資訊科技日新月異下,包括電子商務等新興商務模式,均廣泛蒐集個人資料,個人隱私的妥善保護,日益重要。然而,原有的「電腦處理個人資料保護法」,於適用主體方面,存在著行業別的限制,僅有「徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業」等八種特定事業,以及經由法務部會同中央目的事業主管機關共同指定的行業,方受到規範;此外,該法所保護的客體,亦限於經由「電腦或自動化設備」處理的個人資料,才受到保護,不包括非經電腦處理的個人資料,對於保護個人資料隱私權益規範,明顯不足。
個資外洩事件層出不窮下,2007年行政院消費者保護委員會提出的十大消費新聞中,「電子商務、電視購物個資外洩事件」即高居首位,促使法務部與經濟部透過「共同指定」方式,使無店面零售業(包括網路購物、型錄購物、電視購物等三種交易態樣)自2010年7月1日起適用「電腦處理個人資料保護法」。
為使個人資料保護法制規範內容,得以因應急速變遷的社會環境,行政院甚早即已提出「電腦處理個人資料保護法修正草案」,並將名稱修正為「個人資料保護法」,歷經立法院會多次討論,終於在2010年4月三讀通過,法律名稱調整為「個人資料保護法」,於5月26日由總統府正式公布。新法雖於2010年4月三讀通過,但為使企業及民眾有充分時間了解並因應新法,新版個資法並未於公布日施行,而是於該法第56條規定,由行政院另訂施行日期。經過長時間討論,「個人資料保護法」已由行政院決定在2012年10月1日正式實施,惟新法第6條關於特種資料原則上不得蒐集、處理與利用,以及第54條要求新法實施前已間接取得的個人資料,必須在一年內補行告知等二項規定,保留暫緩實施。
就個人資料保護法制而言,除最為重要的「個人資料保護法」外,依據母法制定的施行細則,也扮演著關鍵性的角色。原有的「電腦處理個人資料保護法施行細則」於1996年5月1日發布施行,鑒於「電腦處理個人資料保護法」已於2010年進行修正,並將名稱修正為「個人資料保護法」,法務部也配合新法修正內容,積極研商「電腦處理個人資料保護法施行細則修正草案」。隨著新版個人資料保護法確定於2012年10月1日正式上路,法務部另於2012年9月26日正式公告?正後的施行細則,並將細則名稱修正為「個人資料保護法施行細則」。新版個資法暨施行細則正式上路,促使國內個人資料保護工作,邁入全新的紀元。
二、個人資料管理制度與資料隱私保護標章
在「個人資料保護法」修正通過前,2008年6月立法院即已提案,建議政府參考國外作法,推動我國隱私權管理保護認證制度,隔年8月「行政院產業科技策略會議」(Strategic Review Board)中,決議推動「電子商務個人資料管理暨資訊安全行動方案」,並於同年12月核定放入99年至102年政府關鍵推動方案。
基於上述行動方案,經濟部自2010年10月起,委由財團法人資訊工業策進會執行「電子商務個人資料管理制度建置計畫」,並自2012年起續行推動「電子商務個人資料管理制度推動計畫」,建置推動「臺灣個人資料保護與管理制度」(Taiwan Personal Information Protection and Administration System, TPIPAS),期使企業於遵守個人資料保護法制的前提下,透過建立內部管理機制,適當保障消費者的個人資料,並在嚴謹的驗證要求下,確認導入企業是否符合制度要求,同時搭配「資料隱私保護標章」(Data Privacy Protection Mark, dp.mark)的發放,作為消費者判斷企業隱私維護能力的客觀指標。
針對個人資料管理制度的導入,事業應依循「臺灣個人資料保護與管理制度規範」逐步建立內容管理機制,該制度規範同時也是國內企業能否取得「資料隱私保護標章」(dp.mark)的審查指標。由於國內業者過往並無建立內部個資管理制度的經驗,「臺灣個人資料保護與管理制度」自2011年起,協助企業培訓「個人資料管理師」及「個人資料內評師」等制度專業人員,合格的個人資料管理師可協助企業於事業內部建立完整的制度,而內評師則是扮演確認企業建立的制度,是否符合制度規範要求的角色。截至2012年,國內已有近百家企業參與制度人員培訓,合計達426位管理師及131位內評師。在TPIPAS導入上,事業除了由合格的管理師自行建置導入管理制度外,也可尋求專業的外部輔導機構協助,「臺灣個人資料保護與管理制度」自2012年起,開放輔導機構登錄之申請,並於制度網站上公告符合資格要求的制度輔導機構,目前已有九家合格的輔導機構完成登錄作業,提供事業個資輔導服務。
事業完成內部管理體系建置後,便可向「臺灣個人資料保護與管理制度」提出驗證申請,驗證流程包括「書面審查」及「現場審查」二階段,事業通過驗證後,即具備使用「資料隱私保護標章」(dp.mark)的資格。目前國內已有統一超商、全家、博客來、樂天、亞東、康迅數位及欣亞等七家業者通過TPIPAS驗證並取得dp.mark,透過導入個資管理制度,強化消費者隱私資料的維護。
參、事件評析
「臺灣個人資料保護與管理制度」(TPIPAS)是以國內新版個人資料保護法內容為基礎,並參考國際組織對個人資料保護的最新要求,以及主要國家個資管理制度的推動經驗,所建立的專業個人資料管理制度。TPIPAS配合產業個人資料保護實務需求,將專業的法律要件轉化為內部個資管理流程,可有效協助產業建立完善妥適的個人資料管理制度,符合個資法規要求。在新版個人資料保護法上路之際,導入TPIPAS取得dp.mark,不啻是企業降低個資法風險,提升內部個人資料管理能力的最佳策略。
郭戎晉
副主任兼應研組組長 編譯整理
隨著奈米產品的日漸普及與多樣化,歐盟考慮近期法制化奈米產品的標示要求,未來將於歐盟「化學物質登記評估授權及限制規則」(Registration, Evaluation, Authorisation and Restriction of Chemicals,簡稱REACH)中有關化學物質登記事項強制要求奈米消費產品的標示,以確保奈米物質的可追溯性(traceability)。 歐盟會員國部長級會議—歐盟理事會(The Council of the European Union,亦以拉丁文簡稱Consilium)作為歐盟層級主要的決策機關,為了政策協調的一致性與長期穩定性自2007年起採三國為一組的方式輪值擔任主席國(trio presidencies),每一國負責六個月的期間,主席國扮演推動立法與政策決定的推手角色並負責歐盟會員國共識的達成,2010年7至12月由比利時擔任歐盟理事會的主席。有關奈米物質產品管理政策,可由日前比利時氣候與能源部長並負責消費者與環境保護的Paul Magnette公開表示的談話中窺見未來歐盟法規調整的大方向:「奈米物質逐漸普及於消費產品與各種日常用品,但是我們對奈米物質的了解卻很匱乏。雖然對於在歐盟日益增加的奈米物質使用無須過渡緊張,但是我們仍有義務在最小限度內做到應有的檢視以確保環境與健康安全。因此,目前缺乏事前警告與標示其成分及潛在毒性的奈米技術發展是無法令人接受的」。 奈米產品製造商宣稱目前尚無任何證據顯示奈米產品對人體有危害,因此,歐盟官方在採取強制標示相關規定以前如擬暫停奈米產品的生產亦可能遭遇極大阻力,然而Magnette同時表示,如對奈米產品採取「沒有(安全)證據就沒有市場(no data, no marke)」的政策也可能太過限制,但是目前對於奈米產品只是宣稱其優點的產業現況,確實太過扭曲消費者應被充分告知資訊的權利。他強調,如生產方不盡力將奈米產品的潛在風險降到最低,奈米產品可能如同基改作物(GMO)一樣被民眾摒棄於歐盟市場之外。 在2011年底以前歐盟執委會(The European Commission)將完成第二輪的歐盟法規檢視,執委會企業與工業委員會主管化學政策官員Maila Puolamaa表示,奈米物質的管理將會納入REACH有關法制中,這部分將會成為現階段法規檢視的重點之一。年產量一公噸以下的奈米物質登記將會簡化,奈米產品上市也應自動標示其成分。Magnette表示比利時推動REACH法規檢視會以幾個方向為重點:第一,要求奈米產品強制標示以使消費者了解其所購買產品含有奈米物質;第二,確保生產鏈的可追溯性以能追溯奈米物質的源頭;第三,確立歐盟的適當的風險管理與評估法規;第四,鼓勵各國儘速自行負責建立自己的評估、管理與資訊監控作法以因應此波奈米快速發展時期的變化;第五,奈米產品標示的項目法制化等。
英國高等法院裁定ISP 需打擊仿冒品網站英國高等法院(High Court)於2014年10月17日裁定網路服務提供者(Internet Service Provider, ISP)需協助業者打擊仿冒商品。全球第二大奢侈品集團Richemont Group於英國控告英國五大網路服務提供者即BSkyB、British Telecom、EE、TalkTalk和VirginMedia,要求網路服務提供者封鎖所有銷售該集團仿冒品的網站,避免網路使用者接觸到這些商標仿冒侵權的違法網站。 Richemont Group為Cartier、Piaget、Montblanc等精品品牌的母公司,其集團發言人表示此次的判決為打擊仿冒品網購業者邁前了一大步,對於法院認可防止涉及仿冒品的商標侵權有利於公眾利益感到滿意。 在此判決出爐前的三年以來,只有著作權人可就著作權侵權為由要求網路服務提供者封鎖仿冒品網站,如今首次將此權利延伸到商標權人手上,針對販售侵害商標權仿冒品的網站加以封鎖。 Arty Rajendra律師表示,網際網路讓販售仿冒品的非法網站能夠匿名並且隱藏位置,要封鎖販售仿冒品的網站是一件十分困難的事。因此,停止為這些網站帶來流量將如同停止供給他們氧氣,而網路服務提供者剛好在這環節中扮演非常重要的角色,因為他們可以限制對於這些非法網站的接觸(access)。 可預見的是,在此判決後,將會有越來越多商標權人要求網路服務提供者封鎖銷售仿冒品的網站。
美國EPA計劃創建三大生質能源研究中心美國能源局(EPA)宣布,將創建三個生質能源研究中心(bioenergy centers),以研發將植物轉化為燃料的技術方法。此舉乃是布希總統作出美國在未來十年內將降低20%的石油用量之政策宣布後,第一個採取具體配套行動的聯邦政府機關。 生質能源研究中心設立的宗旨是希望在未來五年內能夠以先進技術,成功開發生質能源的產品上市。根據EPA的對外公告資料,三大生質能源研究中心將以公司組織的形式運作,每一個研究中心總投入資本將高達1億2千5百萬美元,三大研究中心分別是位在田納西州Oak Ridge、威斯康辛州的Madison以及加州Berkeley附近,這些區域原本就是重要的研究重鎮,匯聚許多的大學、國家實驗室以及私人企業,形成產業聚落,預計三大生質能源研究中心將自2009年9月1日起的預算年度開始運作。 EPA希望藉由研究中心的聚落效應,集中資源協助這些研究中心從自然界中破壞木質素(lignin)的微生物出發,找出植物的確切細胞膜質(cellulose)之所在。細胞膜質或稱纖維素,是轉化成為乙醇、液態燃料等能源的重要來源物質,因此這些生物運轉機制的瞭解與掌握,乃是開發生物能源技術的基礎。 值得注意的是,各國致力於發展生物燃料以替代汽油的政策,已經使得某些兼具多種用途的作物價格持續攀升,此可由國際期貨市場價格獲得印證。為避免生物燃料的發展反而造成食用作物的搶奪大戰,影響作物市場價格,研究中心也將致力於尋找可以製造較易處理的木質素的新作物種類。
歐盟個人資料保護小組提出智慧電錶隱私指導原則由於近年來運算技術的成熟,使得許多仰賴高運算技術的產業有重新發展的契機,智慧電網正是其中一例;而智慧電網所涉及的資訊繁多,例如個人資產的位址資訊可能會被納入電網中作定位與分析,因此其所衍伸的個人資料與隱私保護議題,近來備受重視。 歐盟個人資料保護小組(Article 29 Data Protection Working Party)於今年四月針對智慧電錶的隱私議題,提出指導建議(Opinion 12/2011 on Smart Metering),並明確指出,電網中的電錶會有一組獨特的識別碼(Meter Identification Number),此可連結至特定用戶,因此由電錶蒐集到的資訊,大部分都符合歐盟個人資料保護指令(Directive 95/46/EC)中的「個人資料」(Personal Data)。 倘若要對透過電錶所蒐集的資料進行處理,必須要基於充分告知(Fully-informed),取得用戶同意;也應該讓用戶依照意願自主行使同意或撤銷該同意,此會涉及電錶設計的方式,該小組建議可在用戶端電錶的控制鑲板上設置「按鈕」(Push Button),讓用戶得隨時選擇同意與否。另外,智慧電錶亦具有設定資料傳輸頻率的功能,此攸關資料被蒐集之範圍是否妥適,舉例言之,倘若用戶與電網服務提供者之契約,是全天以同一個費率計算電價,則其電錶會把整日用電量讀成一筆資料,反之倘若用戶是採用一天分不同時段不同費率的方式,則該電錶會每日分成數個時段讀取用電量;惟在供應端可遠端遙控這些電錶讀取頻率的情況下,應確保這些資料僅於系統運行所需,方傳輸至供應端供讀取。 其他的電表資訊處理細節,事實上類似於電信事業處理交通資訊或位址資訊的作法,例如不再用到的電錶資訊,應盡速刪除之;供應端也必須訂定書面的資料保存政策、評估所需電錶資訊之目的、並在該目的範圍內以最小限度原則保存之。