新版個資法與個資保護管理制度

刊登期別
2013年04月10日
 

新版個資法與個資保護管理制度

科技法律研究所
2013年4月1日

壹、事件摘要
  國內於1995年制定施行「電腦處理個人資料保護法」,在資訊科技日新月異下,加諸法規本身適用上的限制,原有法制設計已不符實務需求。考量個資外洩事件日漸增加,歷經長時間討論,國內於2010年4月三讀通過新版個資法,將法律名稱調整為「個人資料保護法」,並在2012年10月1日正式實施新制。新法不僅全面調整法規內容,並大幅加重企業所負義務與責任,就民事責任而言,單一事件 賠償金額最高達到10億。對國內產業而言,如何有效因應個資法要求,採取妥適的對應策略降低風險,已成為企業運營上的關鍵課題。

貳、重點說明
一、新版個資法暨施行細則正式施行

  個人資料保護可說是近期國內最受重視的議題,事實上國內早於1995年8月即制定施行「電腦處理個人資料保護法」,惟經過十餘年的發展,在電腦與資訊科技日新月異下,包括電子商務等新興商務模式,均廣泛蒐集個人資料,個人隱私的妥善保護,日益重要。然而,原有的「電腦處理個人資料保護法」,於適用主體方面,存在著行業別的限制,僅有「徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業」等八種特定事業,以及經由法務部會同中央目的事業主管機關共同指定的行業,方受到規範;此外,該法所保護的客體,亦限於經由「電腦或自動化設備」處理的個人資料,才受到保護,不包括非經電腦處理的個人資料,對於保護個人資料隱私權益規範,明顯不足。
  個資外洩事件層出不窮下,2007年行政院消費者保護委員會提出的十大消費新聞中,「電子商務、電視購物個資外洩事件」即高居首位,促使法務部與經濟部透過「共同指定」方式,使無店面零售業(包括網路購物、型錄購物、電視購物等三種交易態樣)自2010年7月1日起適用「電腦處理個人資料保護法」。
  為使個人資料保護法制規範內容,得以因應急速變遷的社會環境,行政院甚早即已提出「電腦處理個人資料保護法修正草案」,並將名稱修正為「個人資料保護法」,歷經立法院會多次討論,終於在2010年4月三讀通過,法律名稱調整為「個人資料保護法」,於5月26日由總統府正式公布。新法雖於2010年4月三讀通過,但為使企業及民眾有充分時間了解並因應新法,新版個資法並未於公布日施行,而是於該法第56條規定,由行政院另訂施行日期。經過長時間討論,「個人資料保護法」已由行政院決定在2012年10月1日正式實施,惟新法第6條關於特種資料原則上不得蒐集、處理與利用,以及第54條要求新法實施前已間接取得的個人資料,必須在一年內補行告知等二項規定,保留暫緩實施。
  就個人資料保護法制而言,除最為重要的「個人資料保護法」外,依據母法制定的施行細則,也扮演著關鍵性的角色。原有的「電腦處理個人資料保護法施行細則」於1996年5月1日發布施行,鑒於「電腦處理個人資料保護法」已於2010年進行修正,並將名稱修正為「個人資料保護法」,法務部也配合新法修正內容,積極研商「電腦處理個人資料保護法施行細則修正草案」。隨著新版個人資料保護法確定於2012年10月1日正式上路,法務部另於2012年9月26日正式公告?正後的施行細則,並將細則名稱修正為「個人資料保護法施行細則」。新版個資法暨施行細則正式上路,促使國內個人資料保護工作,邁入全新的紀元。
二、個人資料管理制度與資料隱私保護標章
  在「個人資料保護法」修正通過前,2008年6月立法院即已提案,建議政府參考國外作法,推動我國隱私權管理保護認證制度,隔年8月「行政院產業科技策略會議」(Strategic Review Board)中,決議推動「電子商務個人資料管理暨資訊安全行動方案」,並於同年12月核定放入99年至102年政府關鍵推動方案。
  基於上述行動方案,經濟部自2010年10月起,委由財團法人資訊工業策進會執行「電子商務個人資料管理制度建置計畫」,並自2012年起續行推動「電子商務個人資料管理制度推動計畫」,建置推動「臺灣個人資料保護與管理制度」(Taiwan Personal Information Protection and Administration System, TPIPAS),期使企業於遵守個人資料保護法制的前提下,透過建立內部管理機制,適當保障消費者的個人資料,並在嚴謹的驗證要求下,確認導入企業是否符合制度要求,同時搭配「資料隱私保護標章」(Data Privacy Protection Mark, dp.mark)的發放,作為消費者判斷企業隱私維護能力的客觀指標。
  針對個人資料管理制度的導入,事業應依循「臺灣個人資料保護與管理制度規範」逐步建立內容管理機制,該制度規範同時也是國內企業能否取得「資料隱私保護標章」(dp.mark)的審查指標。由於國內業者過往並無建立內部個資管理制度的經驗,「臺灣個人資料保護與管理制度」自2011年起,協助企業培訓「個人資料管理師」及「個人資料內評師」等制度專業人員,合格的個人資料管理師可協助企業於事業內部建立完整的制度,而內評師則是扮演確認企業建立的制度,是否符合制度規範要求的角色。截至2012年,國內已有近百家企業參與制度人員培訓,合計達426位管理師及131位內評師。在TPIPAS導入上,事業除了由合格的管理師自行建置導入管理制度外,也可尋求專業的外部輔導機構協助,「臺灣個人資料保護與管理制度」自2012年起,開放輔導機構登錄之申請,並於制度網站上公告符合資格要求的制度輔導機構,目前已有九家合格的輔導機構完成登錄作業,提供事業個資輔導服務。
  事業完成內部管理體系建置後,便可向「臺灣個人資料保護與管理制度」提出驗證申請,驗證流程包括「書面審查」及「現場審查」二階段,事業通過驗證後,即具備使用「資料隱私保護標章」(dp.mark)的資格。目前國內已有統一超商、全家、博客來、樂天、亞東、康迅數位及欣亞等七家業者通過TPIPAS驗證並取得dp.mark,透過導入個資管理制度,強化消費者隱私資料的維護。

參、事件評析
  「臺灣個人資料保護與管理制度」(TPIPAS)是以國內新版個人資料保護法內容為基礎,並參考國際組織對個人資料保護的最新要求,以及主要國家個資管理制度的推動經驗,所建立的專業個人資料管理制度。TPIPAS配合產業個人資料保護實務需求,將專業的法律要件轉化為內部個資管理流程,可有效協助產業建立完善妥適的個人資料管理制度,符合個資法規要求。在新版個人資料保護法上路之際,導入TPIPAS取得dp.mark,不啻是企業降低個資法風險,提升內部個人資料管理能力的最佳策略。

※ 新版個資法與個資保護管理制度, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?d=6085&no=55&tp=1 (最後瀏覽日:2026/07/05)
引註此篇文章
你可能還會想看
為打擊境外逃漏稅,國際間持續擴大稅務資訊自動交換

  經濟合作暨發展組織(簡稱經合組織、Organization for Economic Cooperation and Development,下稱 OECD)於今年6月30日表示「2019年已有近百個國家/地區進行了稅務資訊自動交換,使其稅務機關可以獲得其居民在海外所持有的8,400萬個金融帳戶的數據,涵蓋的總資產達10兆歐元。相較於2018年(交換了4,700萬個金融帳戶資訊,約5兆歐元)有了顯著增長。」且「共同申報準則(亦稱共同申報及盡職審查準則、Common Reporting Standard, 下稱CRS)要求各國和各司法管轄區每年自動交換其金融機構提供的非居民的金融帳戶資訊,以減少境外逃漏稅的可能性。許多發展中國家已加盟其中,預計未來幾年會有更多國家加入。」   OECD秘書長Angel Gurría亦表示「由OECD創建並由全球論壇管理的這種多邊交換制度,此刻正為世界各國(含發展中國家)提供大量的新資訊,使各國稅務管理部門能夠確保境外帳戶被正確申報。尤在目前COVID-19危機中,各國正籌集急需的收入,一個無處藏富的世界,此點遂至關重要。   事實上,我國財政部於2017年11月16日所發布(民國109年4月28日修正)之「金融機構執行共同申報及盡職審查作業辦法」(簡稱CRS作業辦法),正是為了使我國接軌OECD發布及主導的CRS,藉由提高金融帳戶資訊透明度,據此與其他國家/地區進行金融帳戶資訊自動交換,以利我國與各國稅捐機關能正確且完整地掌握其境外納稅義務人的金融帳戶資訊。值得注意的是,我國第一波稅務資訊自動交換將於本年度9月份與我國32個稅捐協定國進行。

性隱私內容外流風波-從美國立法例論我國違反本人意願散布性隱私內容之入罪化

歐盟執委會公布《可信賴的AI政策及投資建議》

  歐盟執委會於2018年6月成立人工智慧高級專家組(The High-Level Expert Group on Artificial Intelligence, AI HLEG),主要負責兩項工作:(1)人工智慧倫理準則;(2)人工智慧政策與投資建議。並於2019年4月8日提出《可信賴的人工智慧倫理準則》(Ethics Guidelines for Trustworthy AI),2019年6月公布之《可信賴的AI政策及投資建議》(Policy and Investment Recommendations for Trustworthy Artificial Intelligence)則是人工智慧高級專家組所交付之第二項具體成果。   該報告主要分為兩大部分,首先第一部分是要透過可信賴的人工智慧建立對歐洲之正面影響,內容提及人工智慧應保護人類和社會,並促進歐洲公司各部門利用人工智慧及技術移轉,而公部門則扮演人工智慧增長及創新之催化劑,以確保歐洲具有世界一流之研究能力;第二部分則是影響歐洲各成員國建立可信賴之人工智慧,內容則提及將發展人工智慧相關基礎設施、教育措施、政策規範及資金投資,同時合法、有道德的使用各項數據。   在本報告中關於法規面的建議則是進一步制定政策和監管框架,確保人工智慧在尊重人權、民主及創新下發展,因此將建立人工智慧政策制定者、開發者及用戶間的對話機制,若是遇到將對社會或是人類產生重大影響之敏感性人工智慧系統,除透過歐洲人工智慧聯盟(The European AI Alliance)進行對話之外,也需要在尊重各成員國之語言及文化多樣性下展開協調機制。另外,報告中也特別提到如果政府以「保護社會」為由建立一個普遍的人工智慧監督系統是非常危險的作法,政府應該承諾不對個人進行大規模監視,並在遵守法律及基本權利下進行人工智慧系統之發展。

美國猶他州訂定「應用程式商店問責法」保障未成年人用戶之安全網路環境

美國猶他州州長於2025年3月26日正式簽署「應用程式商店問責法(App Store Accountability Act)」(下稱本法)並於同年5月7日生效,為全美首部強制應用程式商店實施年齡驗證及家長同意機制的州法,其核心目標為強化對未成年人的網路環境保護。 本法要求應用程式商店供應商(下稱供應商)於用戶創建帳戶時驗證用戶年齡,若確認為未成年人,其帳戶必須與經過驗證的「家長帳戶」相關聯,未成年人下載或購買應用程式前,供應商須自家長處獲得「可驗證的同意」,且為確保該同意基於充分知情,供應商須向家長提出詳細聲明揭露該應用程式之年齡分級、內容描述、個資之收集與共享情況,以及開發者保護用戶資料之措施等內容,且於前述內容發生重大變更時通知家長並重新取得同意。 應用程式開發者(下稱開發者)亦須向供應商提供準確的資訊,並於應用程式發生「重大變更」時及時通知供應商,及透過數據共享機制驗證其猶他州用戶的年齡以及未成年用戶的家長同意狀態。若開發者善意信賴供應商所提供的年齡及同意資訊行事,可豁免承擔違規責任(安全港機制),爰本法主要的問責對象為供應商。 前述核心義務將於2026年5月6日起生效,若供應商或開發者提供不實資訊,將構成欺騙性交易行為而受到追訴;且自2026年12月31日起,若未成年人因供應商或開發者違反本法規定而受到損害,其本人或家長將有權提起民事訴訟請求賠償。

TOP