新版個資法與個資保護管理制度
新版個資法與個資保護管理制度
科技法律研究所
2013年4月1日
壹、事件摘要
國內於1995年制定施行「電腦處理個人資料保護法」,在資訊科技日新月異下,加諸法規本身適用上的限制,原有法制設計已不符實務需求。考量個資外洩事件日漸增加,歷經長時間討論,國內於2010年4月三讀通過新版個資法,將法律名稱調整為「個人資料保護法」,並在2012年10月1日正式實施新制。新法不僅全面調整法規內容,並大幅加重企業所負義務與責任,就民事責任而言,單一事件 賠償金額最高達到10億。對國內產業而言,如何有效因應個資法要求,採取妥適的對應策略降低風險,已成為企業運營上的關鍵課題。
貳、重點說明
一、新版個資法暨施行細則正式施行
個人資料保護可說是近期國內最受重視的議題,事實上國內早於1995年8月即制定施行「電腦處理個人資料保護法」,惟經過十餘年的發展,在電腦與資訊科技日新月異下,包括電子商務等新興商務模式,均廣泛蒐集個人資料,個人隱私的妥善保護,日益重要。然而,原有的「電腦處理個人資料保護法」,於適用主體方面,存在著行業別的限制,僅有「徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業」等八種特定事業,以及經由法務部會同中央目的事業主管機關共同指定的行業,方受到規範;此外,該法所保護的客體,亦限於經由「電腦或自動化設備」處理的個人資料,才受到保護,不包括非經電腦處理的個人資料,對於保護個人資料隱私權益規範,明顯不足。
個資外洩事件層出不窮下,2007年行政院消費者保護委員會提出的十大消費新聞中,「電子商務、電視購物個資外洩事件」即高居首位,促使法務部與經濟部透過「共同指定」方式,使無店面零售業(包括網路購物、型錄購物、電視購物等三種交易態樣)自2010年7月1日起適用「電腦處理個人資料保護法」。
為使個人資料保護法制規範內容,得以因應急速變遷的社會環境,行政院甚早即已提出「電腦處理個人資料保護法修正草案」,並將名稱修正為「個人資料保護法」,歷經立法院會多次討論,終於在2010年4月三讀通過,法律名稱調整為「個人資料保護法」,於5月26日由總統府正式公布。新法雖於2010年4月三讀通過,但為使企業及民眾有充分時間了解並因應新法,新版個資法並未於公布日施行,而是於該法第56條規定,由行政院另訂施行日期。經過長時間討論,「個人資料保護法」已由行政院決定在2012年10月1日正式實施,惟新法第6條關於特種資料原則上不得蒐集、處理與利用,以及第54條要求新法實施前已間接取得的個人資料,必須在一年內補行告知等二項規定,保留暫緩實施。
就個人資料保護法制而言,除最為重要的「個人資料保護法」外,依據母法制定的施行細則,也扮演著關鍵性的角色。原有的「電腦處理個人資料保護法施行細則」於1996年5月1日發布施行,鑒於「電腦處理個人資料保護法」已於2010年進行修正,並將名稱修正為「個人資料保護法」,法務部也配合新法修正內容,積極研商「電腦處理個人資料保護法施行細則修正草案」。隨著新版個人資料保護法確定於2012年10月1日正式上路,法務部另於2012年9月26日正式公告?正後的施行細則,並將細則名稱修正為「個人資料保護法施行細則」。新版個資法暨施行細則正式上路,促使國內個人資料保護工作,邁入全新的紀元。
二、個人資料管理制度與資料隱私保護標章
在「個人資料保護法」修正通過前,2008年6月立法院即已提案,建議政府參考國外作法,推動我國隱私權管理保護認證制度,隔年8月「行政院產業科技策略會議」(Strategic Review Board)中,決議推動「電子商務個人資料管理暨資訊安全行動方案」,並於同年12月核定放入99年至102年政府關鍵推動方案。
基於上述行動方案,經濟部自2010年10月起,委由財團法人資訊工業策進會執行「電子商務個人資料管理制度建置計畫」,並自2012年起續行推動「電子商務個人資料管理制度推動計畫」,建置推動「臺灣個人資料保護與管理制度」(Taiwan Personal Information Protection and Administration System, TPIPAS),期使企業於遵守個人資料保護法制的前提下,透過建立內部管理機制,適當保障消費者的個人資料,並在嚴謹的驗證要求下,確認導入企業是否符合制度要求,同時搭配「資料隱私保護標章」(Data Privacy Protection Mark, dp.mark)的發放,作為消費者判斷企業隱私維護能力的客觀指標。
針對個人資料管理制度的導入,事業應依循「臺灣個人資料保護與管理制度規範」逐步建立內容管理機制,該制度規範同時也是國內企業能否取得「資料隱私保護標章」(dp.mark)的審查指標。由於國內業者過往並無建立內部個資管理制度的經驗,「臺灣個人資料保護與管理制度」自2011年起,協助企業培訓「個人資料管理師」及「個人資料內評師」等制度專業人員,合格的個人資料管理師可協助企業於事業內部建立完整的制度,而內評師則是扮演確認企業建立的制度,是否符合制度規範要求的角色。截至2012年,國內已有近百家企業參與制度人員培訓,合計達426位管理師及131位內評師。在TPIPAS導入上,事業除了由合格的管理師自行建置導入管理制度外,也可尋求專業的外部輔導機構協助,「臺灣個人資料保護與管理制度」自2012年起,開放輔導機構登錄之申請,並於制度網站上公告符合資格要求的制度輔導機構,目前已有九家合格的輔導機構完成登錄作業,提供事業個資輔導服務。
事業完成內部管理體系建置後,便可向「臺灣個人資料保護與管理制度」提出驗證申請,驗證流程包括「書面審查」及「現場審查」二階段,事業通過驗證後,即具備使用「資料隱私保護標章」(dp.mark)的資格。目前國內已有統一超商、全家、博客來、樂天、亞東、康迅數位及欣亞等七家業者通過TPIPAS驗證並取得dp.mark,透過導入個資管理制度,強化消費者隱私資料的維護。
參、事件評析
「臺灣個人資料保護與管理制度」(TPIPAS)是以國內新版個人資料保護法內容為基礎,並參考國際組織對個人資料保護的最新要求,以及主要國家個資管理制度的推動經驗,所建立的專業個人資料管理制度。TPIPAS配合產業個人資料保護實務需求,將專業的法律要件轉化為內部個資管理流程,可有效協助產業建立完善妥適的個人資料管理制度,符合個資法規要求。在新版個人資料保護法上路之際,導入TPIPAS取得dp.mark,不啻是企業降低個資法風險,提升內部個人資料管理能力的最佳策略。
郭戎晉
副主任兼應研組組長 編譯整理
歐盟國家期望未來能夠發現對抗流行性致命疾病的新方法,降低醫療成本,並提高行政體系的效率,成為開創奈米醫學的先驅。 位於法國南部格勒諾布爾( Grenoble )的電子科技與資訊實驗室( the Electronics Technology Information Laboratory ) Patrick Boisseau 說明,奈米分子可以穿透人類身體內的各器官與細胞,克服傳統醫學不能檢測、治療與給藥的地方 , 因而開啟新興醫療技術的無限可能 , 未來病人可以接受因其特殊需要而作的治療,降低醫生治療的風險。 歐盟贊助的眼角膜工程研究計劃( Cornea Engineering Project )是重新排列組合人類蛋白質,創造與人類眼角膜相似的物質,這比人造眼角膜的治療更有效,且較不會受到排斥。此項計劃每年已幫助歐盟 28,000 人。在編列總預算 437 萬歐元( 541 萬美元)中,針對該項計劃,歐盟已經花費 256 萬歐元( 317 萬美元)。而每年編列 6 億美元( 4 億 8 仟 4 佰萬歐元)用於奈米科技方面。同樣的,人工關節之再造也幫助歐盟各國 4,000 人。 奈米科學過去僅著重於電子科學領域的應用,而未來將朝向整合物理學、化學、機械學、生物學與電子學各領域之路邁進。
InterDigital於美國ITC再啟關稅法第337條調查美國著名非專利實施實體(Non-Practicing Entity, 以下簡稱NPE)公司-InterDigital(InterDigital Technology Corporation),於2013年1月31日以三星(Samsung)、諾基亞(Nokia)、華為(Huawei)及中興(ZTE)等公司侵害其7項3G及4G之無線通訊專利(U.S. Patent No.7190966、No.7286847、No.7616970、No.7941151、No.7706830、No.78009636、No.7502406)為由,向美國國際貿委員會(United States International Trade Commission, 以下簡稱USITC)提請依美國關稅法第337條啟動專利侵權調查(案號:337-TA-868) InterDigital成立於1972年,主要研發領域聚焦於「無線語音及數據通訊系統」,所持有的專利組合涵蓋了現今2G、3G、4G及IEEE 802等相關主流技術。依據PatentFreedom於2013年1月的統計資料,InterDigital共持有2961項美國有效專利,於全球NPE中排名第四。作為典型的NPE,InterDigital本身並不自行使用所擁有的專利,而係以「授權予手持裝置製造商、半導體製造公司或其他設備製造商」作為主要商業營運模式。 因此,為確保專利能發揮最大運用效益,InterDigital會主動搜尋市場中潛在的侵權人,並透過法律訴訟手段,促使其支付授權金。其中,USITC的「關稅法第337條」調查程序,即為重要的策略手段之一,因其所需的審理時間較一般法院的民事訴訟程序為短,且於確認存在專利權侵害之情事後,其裁決效力可透過禁制令(Exclusion Order)或暫停及停止令(Cease And Desist Order)直接對被控侵權人的產品進口及銷售造成重大影響,故在為數不少的案件中,被告往往會選擇給付授權金以求停止關稅法337條之調查程序。 由於本案中遭調查的產品幾乎涵蓋了各廠商於市場中的主要產品(例如三星的Galaxy Note、Tab及S系列、Nokia Lumia系列、中興的4G移動熱點設備、華為的Activa 4G手機等),故引起了產業界的高度關注。針對本案,USITC已於2月4日宣布啟動為期16個月的侵權調查,並定於2014年6月4日前完成所有調查,其後續調查結果及本案如何發展,值得持續觀察。
日本貿易振興機構設立「東南亞智財網絡」以因應日本產品仿冒問題日本貿易振興機構(Jetro)於2月21日公開表示將在3月設立「東南亞智財網絡」以作為協助在東南亞活躍的日本企業智財活動的平台。該網絡之辦事處將設在Jetro的曼谷事務所內,以支援前進東南亞的日本企業智財活動。 在目標朝向2015年區域經濟整合的東南亞國家聯盟(ASEAN)中,對日本企業來說,期待能夠在智慧財產的領域中也制定ASEAN共通的規劃,提升專利與商標等智慧財產權利取得的速度,及強化仿冒與盜版的取締效果,而各國政府也正著手擬定「ASEAN智財行動計劃2011-2015」與改善智財相關的各個議題。雖然已經可以看見各國進行協調的動作,不過迄今為止還看不到域內共通的智財制度建置,其它像是迅速取得權利、有效取締仿冒等的問題對日本企業來講也還有很多需要改善的地方。 在前述背景下,Jetro表示,將以Jetro曼谷事務所作為辦事處,在3月啟動「東南亞智財網絡」。這個網絡將作為在東南亞各主要國家日本企業智財擔任人員所結集而成的IPG(Intellectual Property Group)辦事處,協助智財保護的各種活動、流通資訊、舉辦研討會與讀書會、向當地主管機關提出建言等等,將以促進ASEAN域內設立智財共通制度及建立各國協調的智財制度作為最終目標。 「東南亞智財網絡」主要預定的活動包括,(1) 東南亞各國域內日本政府、IPG與成員間在智財領域的相互合作及資訊共享;(2)透過各國IPG等團體向東南亞及ASEAN當局交換意見與提出建言;(3)與國際智慧財產保護論壇(IIPPF)的合作。在2012年則預定將舉行以下等活動,包括3月12日在新加坡召開的啟動會議與智財研討會、7月向ASEAN智財互助事務部(AWGIPC)提出建議書、參與日本人商工會議所連合會(FJCCIA)與ASEAN祕書長的對話等等。
英國國家醫療服務體系(NHS)公布國家資料退出(Opt-out)操作政策指導文件個人健康資料共享向為英國資料保護爭議。2017年英國資訊專員辦公室(ICO)認定Google旗下人工智慧部門DeepMind與英國國家醫療服務體系(NHS)的資料共享協議違反英國資料保護法後,英國衛生部(Department of Health and Social Care)於今年(2018)5月修正施行新「國家資料退出指令」(National data opt-out Direction 2018),英國健康與社會照護相關機構得參考國家醫療服務體系(NHS)10月公布之國家資料退出操作政策指導文件(National Data Opt-out Operational Policy Guidance Document)規劃病患退出權行使機制。 該指導文件主要在闡釋英國病患退出權行使之整體政策,以及具體落實建議作法,例如: 退出因應措施。未來英國病患表示退出國家資料共享者,相關機構應配合完整移除資料,並不得保留重新識別(de-identify)可能性; 退出權行使。因指令不溯及既往適用,因此修正施行前已合法處理提供共享之資料,不必因此中止或另行進行去識別化等資料二次處理;此外,病患得動態行使其退出權,於退出後重新加入國家資料共享體系;應注意的是,退出權的行使,採整體性行使,亦即,病患不得選擇部分加入(如僅同意特定臨床試驗的資料共享); 例外得限制退出權情形。病患資料之共享,如係基於當事人同意(consent)、傳染病防治(communicable disease and risks to public health)、重大公共利益(overriding public interest)、法定義務或配合司法調查(information required by law or court order)等4種情形之一者,健康與社會照護相關機構得例外限制病患之退出權行使。 NHS已於今年9月完成國家資料退出服務之資料保護影響評估(DPIA),評估結果認為非屬高風險,因此不會向ICO諮詢資料保護風險。後續英國相關機構應配合於2020年5月前完成病患資料共享退出機制之建置。