新版個資法與個資保護管理制度

刊登期別
2013年04月10日
 

新版個資法與個資保護管理制度

科技法律研究所
2013年4月1日

壹、事件摘要
  國內於1995年制定施行「電腦處理個人資料保護法」,在資訊科技日新月異下,加諸法規本身適用上的限制,原有法制設計已不符實務需求。考量個資外洩事件日漸增加,歷經長時間討論,國內於2010年4月三讀通過新版個資法,將法律名稱調整為「個人資料保護法」,並在2012年10月1日正式實施新制。新法不僅全面調整法規內容,並大幅加重企業所負義務與責任,就民事責任而言,單一事件 賠償金額最高達到10億。對國內產業而言,如何有效因應個資法要求,採取妥適的對應策略降低風險,已成為企業運營上的關鍵課題。

貳、重點說明
一、新版個資法暨施行細則正式施行

  個人資料保護可說是近期國內最受重視的議題,事實上國內早於1995年8月即制定施行「電腦處理個人資料保護法」,惟經過十餘年的發展,在電腦與資訊科技日新月異下,包括電子商務等新興商務模式,均廣泛蒐集個人資料,個人隱私的妥善保護,日益重要。然而,原有的「電腦處理個人資料保護法」,於適用主體方面,存在著行業別的限制,僅有「徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業」等八種特定事業,以及經由法務部會同中央目的事業主管機關共同指定的行業,方受到規範;此外,該法所保護的客體,亦限於經由「電腦或自動化設備」處理的個人資料,才受到保護,不包括非經電腦處理的個人資料,對於保護個人資料隱私權益規範,明顯不足。
  個資外洩事件層出不窮下,2007年行政院消費者保護委員會提出的十大消費新聞中,「電子商務、電視購物個資外洩事件」即高居首位,促使法務部與經濟部透過「共同指定」方式,使無店面零售業(包括網路購物、型錄購物、電視購物等三種交易態樣)自2010年7月1日起適用「電腦處理個人資料保護法」。
  為使個人資料保護法制規範內容,得以因應急速變遷的社會環境,行政院甚早即已提出「電腦處理個人資料保護法修正草案」,並將名稱修正為「個人資料保護法」,歷經立法院會多次討論,終於在2010年4月三讀通過,法律名稱調整為「個人資料保護法」,於5月26日由總統府正式公布。新法雖於2010年4月三讀通過,但為使企業及民眾有充分時間了解並因應新法,新版個資法並未於公布日施行,而是於該法第56條規定,由行政院另訂施行日期。經過長時間討論,「個人資料保護法」已由行政院決定在2012年10月1日正式實施,惟新法第6條關於特種資料原則上不得蒐集、處理與利用,以及第54條要求新法實施前已間接取得的個人資料,必須在一年內補行告知等二項規定,保留暫緩實施。
  就個人資料保護法制而言,除最為重要的「個人資料保護法」外,依據母法制定的施行細則,也扮演著關鍵性的角色。原有的「電腦處理個人資料保護法施行細則」於1996年5月1日發布施行,鑒於「電腦處理個人資料保護法」已於2010年進行修正,並將名稱修正為「個人資料保護法」,法務部也配合新法修正內容,積極研商「電腦處理個人資料保護法施行細則修正草案」。隨著新版個人資料保護法確定於2012年10月1日正式上路,法務部另於2012年9月26日正式公告?正後的施行細則,並將細則名稱修正為「個人資料保護法施行細則」。新版個資法暨施行細則正式上路,促使國內個人資料保護工作,邁入全新的紀元。
二、個人資料管理制度與資料隱私保護標章
  在「個人資料保護法」修正通過前,2008年6月立法院即已提案,建議政府參考國外作法,推動我國隱私權管理保護認證制度,隔年8月「行政院產業科技策略會議」(Strategic Review Board)中,決議推動「電子商務個人資料管理暨資訊安全行動方案」,並於同年12月核定放入99年至102年政府關鍵推動方案。
  基於上述行動方案,經濟部自2010年10月起,委由財團法人資訊工業策進會執行「電子商務個人資料管理制度建置計畫」,並自2012年起續行推動「電子商務個人資料管理制度推動計畫」,建置推動「臺灣個人資料保護與管理制度」(Taiwan Personal Information Protection and Administration System, TPIPAS),期使企業於遵守個人資料保護法制的前提下,透過建立內部管理機制,適當保障消費者的個人資料,並在嚴謹的驗證要求下,確認導入企業是否符合制度要求,同時搭配「資料隱私保護標章」(Data Privacy Protection Mark, dp.mark)的發放,作為消費者判斷企業隱私維護能力的客觀指標。
  針對個人資料管理制度的導入,事業應依循「臺灣個人資料保護與管理制度規範」逐步建立內容管理機制,該制度規範同時也是國內企業能否取得「資料隱私保護標章」(dp.mark)的審查指標。由於國內業者過往並無建立內部個資管理制度的經驗,「臺灣個人資料保護與管理制度」自2011年起,協助企業培訓「個人資料管理師」及「個人資料內評師」等制度專業人員,合格的個人資料管理師可協助企業於事業內部建立完整的制度,而內評師則是扮演確認企業建立的制度,是否符合制度規範要求的角色。截至2012年,國內已有近百家企業參與制度人員培訓,合計達426位管理師及131位內評師。在TPIPAS導入上,事業除了由合格的管理師自行建置導入管理制度外,也可尋求專業的外部輔導機構協助,「臺灣個人資料保護與管理制度」自2012年起,開放輔導機構登錄之申請,並於制度網站上公告符合資格要求的制度輔導機構,目前已有九家合格的輔導機構完成登錄作業,提供事業個資輔導服務。
  事業完成內部管理體系建置後,便可向「臺灣個人資料保護與管理制度」提出驗證申請,驗證流程包括「書面審查」及「現場審查」二階段,事業通過驗證後,即具備使用「資料隱私保護標章」(dp.mark)的資格。目前國內已有統一超商、全家、博客來、樂天、亞東、康迅數位及欣亞等七家業者通過TPIPAS驗證並取得dp.mark,透過導入個資管理制度,強化消費者隱私資料的維護。

參、事件評析
  「臺灣個人資料保護與管理制度」(TPIPAS)是以國內新版個人資料保護法內容為基礎,並參考國際組織對個人資料保護的最新要求,以及主要國家個資管理制度的推動經驗,所建立的專業個人資料管理制度。TPIPAS配合產業個人資料保護實務需求,將專業的法律要件轉化為內部個資管理流程,可有效協助產業建立完善妥適的個人資料管理制度,符合個資法規要求。在新版個人資料保護法上路之際,導入TPIPAS取得dp.mark,不啻是企業降低個資法風險,提升內部個人資料管理能力的最佳策略。

※ 新版個資法與個資保護管理制度, 資訊工業策進會科技法律研究所, https://stli.iii.org.tw/article-detail.aspx?no=64&tp=1&d=6085 (最後瀏覽日:2021/04/14)
引註此篇文章
你可能還會想看
政府推動跨部會生質柴油發展計畫,台北縣環保局率先試行生質柴油

  因應國際油價高漲、石油減產危機、京都議定書生效等衝擊,經濟部能源局將整合環保署、農委會,成立跨部會生質柴油發展計畫,計劃2010年達成國內生質柴油產量10萬公秉,替代國內車用柴油使用量約6%。   「生質柴油」乃是指動植物油或廢食用油經過轉化技術後所產生的酯類,直接使用或混合柴油可以作為燃料,為一再生清潔能源;目前台北縣環保局已結合五家客運業者、一家貨運業者、四個公所清潔隊及八里掩埋場,推動四十八輛客運車等添加柴油試運行,以實際了解生質柴油的效益。   試行時間預定至明年二月底止,預計試行車輛行走公里數為 四十四萬八千公里以上,重型機具運轉三百二十六小時以上。台北縣環保局還將安排試行車輛到台北縣林口柴油車動力計檢測站進行綜合排氣檢測,以瞭解車輛使用質柴油的所產生的污染減量成效。

美國科技公司指控六名中國人竊取科技公司營業秘密

  美國司法部起訴六名中國大陸公民,包含三名大學教授,在美從事商業間諜活動,自兩間科技公司竊取有關行動通訊技術的敏感資料,並已經提供中國大陸的大學及企業預備產製。如果罪名成立,最多可判刑15年。被竊取營業秘密包括載有薄膜體聲波共振器(FBAR)的原始碼、規格、配方等文件,主要應用在行動通訊,如平版、智慧型手機、GPS設備等消費性產品及軍事、國防通訊技術,其作用在於過濾無線訊號,改善通訊品質。   據報導,其中兩名被告張浩與龐慰為天津大學的教授,在美國南加州的一所大學攻讀電子工程學博士學位相識,期間獲得國防高等研究計劃署 (DARPA)提供的研究經費,研究FBAR技術。2005年取得學位後,分別進入Avago Technologies與Skyworks Solutions科技公司擔任FBAR工程師,並竊取分別屬於二公司的營業秘密。2006至2007年間,更開始接觸中國大陸的大學,尋找生產FBAR技術的可能性,最終得到天津大學支援,在中國大陸建立FBAR技術中心,更在2009年分別自二科技公司離職,擔任天津大學的全職教授,同時合資成立ROFS精密儀器公司,計畫生產FBAR產品,並已和企業和軍方簽訂契約。   美國政府表示,外國機構利用在美國活動的個人從事商業間諜活動,竊取美國企業投入高額成本開發的技術資料,將造成美國企業的重大損失,削弱市場競爭力,最終損害美國在全球經濟的利益,故將持續調查、蒐集不法證據,以打擊商業間諜活動與制止竊取營業秘密為首要任務。

英國Ofcom準備展開全國性的WhiteSpace測試應用

  為了增進無線頻譜的使用效率,各國紛紛針對閒置頻譜(White Space)的應用進行討論與發展,除美國已經制定出相關的技術參數與管制規則,並展開全國性的測試外,英國也在多次的公開諮詢與規則修訂後,準備展開全國性的測試應用。   閒置頻譜係指已經指配於特定用途之無線頻段,但因各種因素(如地理地形、人口分布),而在部分地區閒置未使用(即獲得頻譜使用權之業者,在當地並未提供訊號覆蓋);或者因避免頻譜間訊號干擾,而特意保留的空白區塊(以電視頻道為例,為了避免訊號互相干擾,故於頻道1與頻道3播送電視節目,而頻道2則保留空白。)由於無線通訊技術的提升,可藉由天線高度、訊號發射功率、與主要基地臺保持距離等方式,將這些閒置的頻譜區塊進行利用。   由於閒置頻譜屬於已經指配用途、發出執照的頻段,故存在著眾多的既有使用者,閒置頻譜的開放使用必須保障既有使用者不受到有害干擾。英國在2010年至2012年間已經進行多次的公開諮詢與技術發展,故相關的技術參數與管理規則已經原則上確定,但因配合歐盟整體的頻譜政策規劃,故仍暫時不開放商業使用,為了進一步確定White Space在英國的可用性,也為了測試對既有服務的干擾程度,Ofcom決定展開全國性的測試。   本次干擾測試的重點有三: 1. 針對節目製作與特殊事件(program making and special events,PMSE):PMSE泛指獲得無線頻譜使用執照的既有使用者,可能使用無線麥克風、無線攝影機或戶外無線廣播裝置,因此White Space的開放,必須避免對這些既有的使用者造成有害干擾。 2. 數位地面電視(digital terrestrial television,DTT):DTT是無線數位電視,也是最重要的既有使用者,White Space的開放除必須遵照嚴格的技術參數外,也必須避開無線電視台的發射站。 3. 其他鄰近UHF電視頻段的無線服務。   Ofcom指出,各地閒置頻譜的情況不同,如在倫敦地區,對DTT的干擾較低,但格拉斯哥(Glasgow)則相反;而在PMSE的部分,倫敦市中心(如溫布敦球場)則有相當多的節目轉播、無線廣播的使用。Ofcom計畫透過本次測試,瞭解英國各地White Space的使用潛力,屆時將收集英國各地的試點與服務業者的服務品質、功率設定、區域大小與可用的時段,以確保不會發生有害的干擾,整體試驗將持續至2014年夏季。

美國FDA發布保密證書指引草案,可防止研究人員被迫揭露研究參與者可識別個人之敏感性資料

  美國FDA(Food and Drug Administration)於2019年11月22日發布「保密證書(Certificates of Confidentiality, CoC)」指引草案。保密證書之目的在於防止研究人員在任何聯邦、州或地方之民事、刑事、行政、立法或其他程序中被迫揭露有關研究參與者可識別個人之敏感性資料,以保護研究參與者之隱私。保密證書主要可分為兩種,對於由聯邦所資助,從事於生物醫學研究、行為研究,臨床研究或其他研究,於研究時會收集可識別個人之敏感性資料之研究人員而言,保密證書會依法核發予該研究人員,稱為法定型保密證書(mandatory CoC);而對於從事非由聯邦所資助之研究的研究人員而言,原則上保密證書不會主動核發予該研究人員,惟當研究涉及FDA管轄之產品時,可由FDA自行裁量而核發保密證書,稱為裁量型保密證書(discretionary CoC),本指引草案旨在提供裁量型保密證書之相關規範。   FDA建議裁量型保密證書之申辦者先自問以下四個問題,且所有問題之答案應該皆為肯定:(1)申辦者所參與之人體研究是否收集可識別個人之敏感性資料?(2)申辦者是否為該臨床研究之負責人?(3)申辦裁量型保密證書之人體研究是否涉及受FDA管轄之產品的使用或研究?(4)申辦者之研究措施是否足以保護可識別個人之敏感性資料之機密性?   於FDA完成審查後,將向申辦人傳送電子回覆信件,表明是否核准裁量型保密證書。若結果為核准,則該電子回覆信件即可作為保密證書。該保密證書之接受者應執行法律所規定以及FDA於電子回覆信件中所要求之保證事項,以保護人體研究參與者之隱私。

TOP