何謂「CRADAs」？

新版個資法與個資保護管理制度 科技法律研究所 2013年4月1日 壹、事件摘要 　　國內於1995年制定施行「電腦處理個人資料保護法」，在資訊科技日新月異下，加諸法規本身適用上的限制，原有法制設計已不符實務需求。考量個資外洩事件日漸增加，歷經長時間討論，國內於2010年4月三讀通過新版個資法，將法律名稱調整為「個人資料保護法」，並在2012年10月1日正式實施新制。新法不僅全面調整法規內容，並大幅加重企業所負義務與責任，就民事責任而言，單一事件 賠償金額最高達到10億。對國內產業而言，如何有效因應個資法要求，採取妥適的對應策略降低風險，已成為企業運營上的關鍵課題。 貳、重點說明 一、新版個資法暨施行細則正式施行 　　個人資料保護可說是近期國內最受重視的議題，事實上國內早於1995年8月即制定施行「電腦處理個人資料保護法」，惟經過十餘年的發展，在電腦與資訊科技日新月異下，包括電子商務等新興商務模式，均廣泛蒐集個人資料，個人隱私的妥善保護，日益重要。然而，原有的「電腦處理個人資料保護法」，於適用主體方面，存在著行業別的限制，僅有「徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業」等八種特定事業，以及經由法務部會同中央目的事業主管機關共同指定的行業，方受到規範；此外，該法所保護的客體，亦限於經由「電腦或自動化設備」處理的個人資料，才受到保護，不包括非經電腦處理的個人資料，對於保護個人資料隱私權益規範，明顯不足。 　　個資外洩事件層出不窮下，2007年行政院消費者保護委員會提出的十大消費新聞中，「電子商務、電視購物個資外洩事件」即高居首位，促使法務部與經濟部透過「共同指定」方式，使無店面零售業（包括網路購物、型錄購物、電視購物等三種交易態樣）自2010年7月1日起適用「電腦處理個人資料保護法」。 　　為使個人資料保護法制規範內容，得以因應急速變遷的社會環境，行政院甚早即已提出「電腦處理個人資料保護法修正草案」，並將名稱修正為「個人資料保護法」，歷經立法院會多次討論，終於在2010年4月三讀通過，法律名稱調整為「個人資料保護法」，於5月26日由總統府正式公布。新法雖於2010年4月三讀通過，但為使企業及民眾有充分時間了解並因應新法，新版個資法並未於公布日施行，而是於該法第56條規定，由行政院另訂施行日期。經過長時間討論，「個人資料保護法」已由行政院決定在2012年10月1日正式實施，惟新法第6條關於特種資料原則上不得蒐集、處理與利用，以及第54條要求新法實施前已間接取得的個人資料，必須在一年內補行告知等二項規定，保留暫緩實施。 　　就個人資料保護法制而言，除最為重要的「個人資料保護法」外，依據母法制定的施行細則，也扮演著關鍵性的角色。原有的「電腦處理個人資料保護法施行細則」於1996年5月1日發布施行，鑒於「電腦處理個人資料保護法」已於2010年進行修正，並將名稱修正為「個人資料保護法」，法務部也配合新法修正內容，積極研商「電腦處理個人資料保護法施行細則修正草案」。隨著新版個人資料保護法確定於2012年10月1日正式上路，法務部另於2012年9月26日正式公告?正後的施行細則，並將細則名稱修正為「個人資料保護法施行細則」。新版個資法暨施行細則正式上路，促使國內個人資料保護工作，邁入全新的紀元。 二、個人資料管理制度與資料隱私保護標章 　　在「個人資料保護法」修正通過前，2008年6月立法院即已提案，建議政府參考國外作法，推動我國隱私權管理保護認證制度，隔年8月「行政院產業科技策略會議」（Strategic Review Board）中，決議推動「電子商務個人資料管理暨資訊安全行動方案」，並於同年12月核定放入99年至102年政府關鍵推動方案。 　　基於上述行動方案，經濟部自2010年10月起，委由財團法人資訊工業策進會執行「電子商務個人資料管理制度建置計畫」，並自2012年起續行推動「電子商務個人資料管理制度推動計畫」，建置推動「臺灣個人資料保護與管理制度」（Taiwan Personal Information Protection and Administration System, TPIPAS），期使企業於遵守個人資料保護法制的前提下，透過建立內部管理機制，適當保障消費者的個人資料，並在嚴謹的驗證要求下，確認導入企業是否符合制度要求，同時搭配「資料隱私保護標章」（Data Privacy Protection Mark, dp.mark）的發放，作為消費者判斷企業隱私維護能力的客觀指標。 　　針對個人資料管理制度的導入，事業應依循「臺灣個人資料保護與管理制度規範」逐步建立內容管理機制，該制度規範同時也是國內企業能否取得「資料隱私保護標章」（dp.mark）的審查指標。由於國內業者過往並無建立內部個資管理制度的經驗，「臺灣個人資料保護與管理制度」自2011年起，協助企業培訓「個人資料管理師」及「個人資料內評師」等制度專業人員，合格的個人資料管理師可協助企業於事業內部建立完整的制度，而內評師則是扮演確認企業建立的制度，是否符合制度規範要求的角色。截至2012年，國內已有近百家企業參與制度人員培訓，合計達426位管理師及131位內評師。在TPIPAS導入上，事業除了由合格的管理師自行建置導入管理制度外，也可尋求專業的外部輔導機構協助，「臺灣個人資料保護與管理制度」自2012年起，開放輔導機構登錄之申請，並於制度網站上公告符合資格要求的制度輔導機構，目前已有九家合格的輔導機構完成登錄作業，提供事業個資輔導服務。 　　事業完成內部管理體系建置後，便可向「臺灣個人資料保護與管理制度」提出驗證申請，驗證流程包括「書面審查」及「現場審查」二階段，事業通過驗證後，即具備使用「資料隱私保護標章」（dp.mark）的資格。目前國內已有統一超商、全家、博客來、樂天、亞東、康迅數位及欣亞等七家業者通過TPIPAS驗證並取得dp.mark，透過導入個資管理制度，強化消費者隱私資料的維護。 參、事件評析 　　「臺灣個人資料保護與管理制度」(TPIPAS)是以國內新版個人資料保護法內容為基礎，並參考國際組織對個人資料保護的最新要求，以及主要國家個資管理制度的推動經驗，所建立的專業個人資料管理制度。TPIPAS配合產業個人資料保護實務需求，將專業的法律要件轉化為內部個資管理流程，可有效協助產業建立完善妥適的個人資料管理制度，符合個資法規要求。在新版個人資料保護法上路之際，導入TPIPAS取得dp.mark，不啻是企業降低個資法風險，提升內部個人資料管理能力的最佳策略。

　　根據美國公共電視台在2016年1月6日的新聞，指出生物支付將可能成為新興支付工具。生物支付之定義為利用生物辨識(biometric)技術驗證個人生物特徵，諸如：指紋、虹膜等進行支付。採用生物支付技術，未來將無須使用信用卡或行動裝置，僅需要個人生物特徵之辨識即可完成交易。此轉變將使未來交易更加快速、便利，但同時，生物支付的安全性卻也不無疑義。 　　即便生物辨識屬於高層級的資訊安全保護機制，但水能載舟，亦能覆舟。生物辨識利用生物不可變之特性進行身分識別，涉及高度個人隱私，為妥善保護個人資訊安全，需訂立生物辨識相關規範加以管制，否則將衍生許多法律問題。 　　例如：在2015年6月，美國線上出版商Shutterfly公司被控訴違法蒐集個人資料。原告稱其並非Shutterfly公司之註冊使用者，也從未同意其生物辨識資訊被該公司蒐集，但其面紋(Face print)卻被上傳至該公司網站，並標註姓名，儲存在自動針對相片標記臉部辨識系統之資料庫。 依據BIPA針對生物辨識定義及蒐集規範： 1.第10條： 生物辨識之態樣，包含視網膜、虹膜掃描、指紋或是手部、臉部外觀之掃描，但不包括簽名、照片、用於科學檢測之人體樣本、頭髮顏色等。 2.第15條(a)： 規定公司蒐集個人生物特徵資訊應有相關規範供公眾查閱，並應提供生物辨識資訊之保管及銷毀日期及相關資訊。 3.第15條(b)(1)： 蒐集生物辨識資訊應告知當事人。 　　Shutterfly公司提出要求法院不受理之抗辯，主張BIPA規定之臉部外觀，其文意解釋應為物理上個人親自接受掃描所得之資訊，並非原告所主張以照片辨識之臉部外觀，但法院認為Shutterfly之主張並不合理，因此同意受理此案。 　　觀察該案可發現，儘管生物辨識提高資訊安全之保護，但相關法規範解釋仍待實務完備。另一方面，生物特徵資訊極易被他人蒐集，因此，如何建置蒐集個人辨識資訊及完善相關措施，也是推行生物支付措施所需突破的關口。

　　英國電信管理局（OFCOM）經過兩年的調查，於2010年12月21日發佈一項反對聲明（Statement of Objections），認為英國電信公司（BT）自2008年7月至2009年4月間的批發終端語音電話（wholesale end-to-end voice calls）產品訂價，可能涉嫌價格擠壓（margin squeeze）之濫用獨占地位行為，違反英國1998年競爭法第二章與歐洲聯盟運作條約第102條規定。 　　本案係由THUS與Gamma Telecom兩家公司向OFCOM提出檢舉；該兩公司均係由BT提供其批發電話產品，再轉提供服務予家用或商業零售客戶。檢舉人指稱，由於BT的訂價低於成本，並意圖消滅或削弱市場競爭，將迫使部份提供載具預選（Carrier Pre-Selection）服務的業者退出市場。 　　在OFCOM作成最終決定前，BT仍可在十二週內以書面或口頭表示意見；BT的發言人則反駁了此項指控，並表示將充分參與OFCOM的調查。然而，如BT經確認違反競爭法，將可能遭OFCOM處以批發電話業務年收入百分之十的罰款。據分析師表示，罰款金額可能達數千萬英鎊。

　　隨著奈米產品的日漸普及與多樣化，歐盟考慮近期法制化奈米產品的標示要求，未來將於歐盟「化學物質登記評估授權及限制規則」（Registration, Evaluation, Authorisation and Restriction of Chemicals，簡稱REACH）中有關化學物質登記事項強制要求奈米消費產品的標示，以確保奈米物質的可追溯性（traceability）。   　　歐盟會員國部長級會議—歐盟理事會（The Council of the European Union，亦以拉丁文簡稱Consilium）作為歐盟層級主要的決策機關，為了政策協調的一致性與長期穩定性自2007年起採三國為一組的方式輪值擔任主席國（trio presidencies），每一國負責六個月的期間，主席國扮演推動立法與政策決定的推手角色並負責歐盟會員國共識的達成，2010年7至12月由比利時擔任歐盟理事會的主席。有關奈米物質產品管理政策，可由日前比利時氣候與能源部長並負責消費者與環境保護的Paul Magnette公開表示的談話中窺見未來歐盟法規調整的大方向：「奈米物質逐漸普及於消費產品與各種日常用品，但是我們對奈米物質的了解卻很匱乏。雖然對於在歐盟日益增加的奈米物質使用無須過渡緊張，但是我們仍有義務在最小限度內做到應有的檢視以確保環境與健康安全。因此，目前缺乏事前警告與標示其成分及潛在毒性的奈米技術發展是無法令人接受的」。   　　奈米產品製造商宣稱目前尚無任何證據顯示奈米產品對人體有危害，因此，歐盟官方在採取強制標示相關規定以前如擬暫停奈米產品的生產亦可能遭遇極大阻力，然而Magnette同時表示，如對奈米產品採取「沒有（安全）證據就沒有市場（no data, no marke）」的政策也可能太過限制，但是目前對於奈米產品只是宣稱其優點的產業現況，確實太過扭曲消費者應被充分告知資訊的權利。他強調，如生產方不盡力將奈米產品的潛在風險降到最低，奈米產品可能如同基改作物（GMO）一樣被民眾摒棄於歐盟市場之外。   　　在2011年底以前歐盟執委會（The European Commission）將完成第二輪的歐盟法規檢視，執委會企業與工業委員會主管化學政策官員Maila Puolamaa表示，奈米物質的管理將會納入REACH有關法制中，這部分將會成為現階段法規檢視的重點之一。年產量一公噸以下的奈米物質登記將會簡化，奈米產品上市也應自動標示其成分。Magnette表示比利時推動REACH法規檢視會以幾個方向為重點：第一，要求奈米產品強制標示以使消費者了解其所購買產品含有奈米物質；第二，確保生產鏈的可追溯性以能追溯奈米物質的源頭；第三，確立歐盟的適當的風險管理與評估法規；第四，鼓勵各國儘速自行負責建立自己的評估、管理與資訊監控作法以因應此波奈米快速發展時期的變化；第五，奈米產品標示的項目法制化等。