資訊倫理與 個 資法議題 研習
DESCRIPTION
資訊倫理與 個 資法議題 研習. 黃証 義 撰編. 倫理定義. 1. 倫理是人類與生俱有的天理與良心 , 知道 什麼是對的,什麼是錯的。 2 . 倫理是存在人們心中的一套價值觀與行為準則,指出什麼是對的,什麼是錯的。. 資訊倫理定義. 1. 資訊倫理是與資訊利用和資訊科技相關的價值觀 。 2. 資訊倫理是人類產生、傳播、整理、保存、檢索及利用資訊時的行為準則。. 資訊倫理的四大議題 (PAPA). 隱私權 :(Privacy) 正確性 :(Accuracy) 所有權 :(Property) 使用權 (Accessibility ). - PowerPoint PPT PresentationTRANSCRIPT
資訊倫理與個資法議題研習
黃証義撰編
2
倫理定義
1. 倫理是人類與生俱有的天理與良心, 知道什麼是對的,什麼是錯的。
2. 倫理是存在人們心中的一套價值觀與行為準則,指出什麼是對的,什麼是錯的。
3
資訊倫理定義
1. 資訊倫理是與資訊利用和資訊科技相關的價值觀。
2. 資訊倫理是人類產生、傳播、整理、保存、檢索及利用資訊時的行為準則。
4
資訊倫理的四大議題(PAPA)隱私權 :(Privacy)正確性 :(Accuracy)所有權 :(Property)使用權 (Accessibility)
5
隱私權 :(Privacy)
1. 關於個人,什麼資訊可以透露?在什麼條件下可以透露?
2. 什麼資訊可以由個人保有,別人無權干涉?
3. 什麼樣的資訊使用行為,會侵害別人的隱私和自由?
6
正確性 :(Accuracy)
1. 資訊使用者應如何在眾多的資訊中去蕪存精,辨別資訊的正確性?
2. 資訊提供者如提供錯誤的資訊,負有何種責任?
3. 資訊管理者如未善盡管理之責,讓資訊遭人入侵竊取或修改,負有何種責任?
7
所有權 :(Property)
1. 資訊在什麼情況下可以免費使用?什麼情況下應該付費或徵得所有權人的同意方能使用?
2. 什麼樣的資訊使用行為算是侵害別人的著作權?
3. 侵害別人的著作權應負何種責任?
8
使用權 (Accessibility)
1. 如何維護個人對資訊使用的權利?
2. 如何維護資訊使用的公平性?3. 如何避免資訊「貧者愈貧,富
者愈富」的現象?
9
基夲人權
隱私權
個人資料保護
10
1995 年訂定電腦處理個人資料保護法
2010 年修正為個人資料保護法
11
Q :何以需要修正個資法?
A :現行法制不符社會需求
12
現行法制不符社會需求
1.只有經電腦處理的資料受到規範2.只規範八大行業及指定行業:徵信業、
電信業、醫院、學校、金融業證劵業、保險業、大眾傳播業…
13
案例:彰化縣四國中小學校長,洩漏學生個資予補習班。
法院作出無罪判決,無法証明意圖營利,並認未觸犯刑法 132
條。
14
中華民國刑法第 132 條 ( 洩漏國防以外之秘密罪 )
公務員洩漏或交付關於中華民國國防以外應秘密之文書、圖畫、消息或物品
者,處三年以下有期徒刑。
因過失犯前項之罪者,處一年以下有期徒刑、拘役或三百元以下罰金。
15
新法最後基於非意圖營利的處罰規定,各界認課以刑法太重,因此刪除「非意圖營利二年以下可併課罰金 20萬元以下」的規定。但是如果為了賺錢營利而非法使用、處理個資,或進行國際傳播,仍受刑法 5 年以下有期徒刑 併科 100
萬元罰金規範。
16
法案三讀通過二年多後,個人資料保護法終於在2012 年 10月 1日施行
17
第 6 條敏感性「特種資料」,包括醫療、基因、性生活、健康檢查、犯罪前科等敏感性個資,原則上不得蒐集、處理或利用,即使當事人出面同意也不能蒐集。此引發醫療機構緊張反彈,基於增進公共利益,法務部擬恢復原送立法院版本,即「經當事人同意可以蒐集」。
18
但增訂學校、學術機構處理利用時應「去識別化」,以保護當事人隱私。
19
Q :依細則第 17 條意指…資料經過處理後或依其揭露方式無從識別特定當事人,指個人資料以代碼、匿名、隱藏部分資料或其他方式,無從辨識該特定個人。
A :何謂「去識別化」?
20
新舊版個資法差異
21
法案名稱 電腦處理個人資料保護法 個人資料保護法
適用行業 8 大行業,後以函釋增加 所有行業均適用
資料範圍 電腦處理的資料 所有的個人資料
賠償金額及上限
個人二萬至十萬,
單一事件最高二仟萬
個人伍佰至二萬,
單一事件最高二億
舉証責任 受害者 被告公司企業
團體訴訟 無 有
22
個人資料保護法施行細則2012 年 9月 26日修正
23
建立個資保護的機制
24
Q :依個資法及其施行細則規定,機關應有何「適當安全維護措施」?
25
Q :何謂本法第六條第一項第二款所稱「適當安全維護措施」、第十八條所稱「安全維護事項」、第二十七條第一項所稱適當之「安全措施」?A :指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施。
26
保護個資的重要概念
從人員訓練做起
加強法治觀念
27
案例:台南縣學甲分局偵查隊長,洩漏黃姓男子手機、本籍資料、通聯紀錄予討債集團。
法院作出有罪判決,認已觸犯刑法 132 條。
28
建議:機關訂定個資管理規則
29
施行細則第二十四條 公務機關保有個人資料檔案者,應訂定個人資料安全維護規定。
30
本法與公務機關相關的主要內容
31
(一)、立法目的
32
個資法第 1 條 為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人 資料之合理利用,特制定本法。
個資案例解析
個資的合理利用法律字第0980036360號
情境:因莫拉克風災造成民眾失蹤,內政部為查明當事人現況,擬將失蹤、失聯民眾姓名公布於網站,並運用新聞電子媒體協助刊登週知,依電腦處理個人資料保護法及政府資訊公開法之規定,內政部得否為之?
本件公布莫拉克風災後未與親人聯繫者之姓名…,雖有揭露失聯當事人之個人部分隱私,惟有利於各級主管機關結合民間力量協尋失聯民眾,健全民政、戶政管理或社會行政,降低政府協尋失聯民眾之成本,有利於公共
利益之增進,適法性應無疑義。
法務部見解一
建請貴部於公布前宜審慎斟酌公布之內容、程度及範圍,僅於可供一般人識別或判斷失蹤當事人身分之必要範圍為之,例如:姓名、相片、性別、年齡等足資初步識別資料(不含出生年月日、身分證統一編號)
法務部見解二
37
公開個資需合於「比例原則」、
「最小侵擾原則」
38
Q :個資法施行後,某縣教
育局函文規定榮譽榜的比賽得獎公告,為免違反個資法,請學校以圈圈替代學生名字,這樣的做法是否妥適?
學校為達成教育或訓練行政目的,於其必要範圍內所為獎勵學生行為,如張貼榮譽榜揭示姓名,符合個資法第 16 條、第20 條利用規定,無需過度遮掩姓名,否則有違個資法第 1 條規定所稱「促進個人資料之合理利用」意旨。
法務部見解
40
Q :個資法施行後,學校張貼榮譽榜,一律需匿學生姓名?
41
A :學校為達成教育或訓練行政目的,於其必要範圍內所為獎勵學生行為,如張貼榮譽榜揭示姓名,符合個資法第 16 條、第 20條利用規定,無需過度遮掩姓名,否則有違個資法第 1 條規定所稱「促進個人資料之合理利用」意旨。
42
建立個資使用規範
43
建立個資使用規範 保護資料主體的人格權
44
建立個資使用規範 保護資料主體的人格權 合理使用個人資料
45
個資之利用,在公共領域有助於政府為行政管理、做正確之行政給付,提升行政效率;而在工商界方面有助於開發行銷產品、進行市場分析、提升經濟效率。
46
個資法之立法目的,並非限制、甚或禁止使用個資。而是要求個人資料的應用,必需符合正當程序。
47
保護個資
使用個資
48
禁止違法
合理使用
49
所謂正當程序,其內涵主要為告知當事人、徵得當事人同意及當事人擁有個資請求權。
50
告知當事人 徵得其同意 擁有請求權
正當程序:
51
(二 )本法定位為普通法
52
與其他法律之關係 ---本次修法
已刪除,但理由中仍敘明為普通法,其他法如有有關個人資料之保護或提供閱覽之特別規定,應優先適用其他法律規定。如警察職權行使法第 13 、 16 條。
53
Q :個資法施行後,考生參
加考試院舉辦之國家考試發生違規事件,一律不得公布違規考生姓名?
公務機關如係依特別法應公布之個人資料類別,尚無庸依個資法衡酌公布個人資料範圍。例如:依典試法第 21 條規定訂定之「試場規則」,應考人若有違反者,查該規則第 8
條第 1 項規定,由辦理試務機關在試區公告違規者之試場、姓名、座號、違規事實及處分。
法務部見解
55
(三)受規範的主體
56
1. 公務機關:指依法行使公權力之中央或地方機關或行政法人
2. 非公務機關:指前款以外之自然人、法人、或其他團體
3. 受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關。(本法第 4 條)
57
公立學校
•公務機關•個資法15、16條
私立學校
•非公務機關•個資法19、20 條
58
公立醫院
•公務機關•個資法15、16條
私立醫院
•非公務機關•個資法19、20 條
59
Q :何謂個人資料保護法第 4
條 所稱視同委託機關?
60
A :依個資法第 4 條規定,本法適用範圍內視同委託機關,再依施行細則第 7 條規定,受委託蒐集、處理或利用個人資料之法人、團體或自然人,依委託機關應適用之規定為之。亦即仍以委託機關為權責歸屬機關,
61
A :進而言之,當事人行使本法第 3 條查詢、閱覽、製給複製本、補充、更正、停止、刪除之權利,以及本法第 28 條至第31 條之請求損害賠償之權利時,應以委託機關為對象。
62
EX. 慈濟醫院委託臺大醫院進行某罕見疾病之病歷分析、術後追蹤、新藥與療程技術開發等研究,臺大醫院受委託蒐集、處理或利用個人資料於本法適用範圍內,將依慈濟醫院應適用本法之相關規定為之,當事人如有行使本法相關權利時,應向委託機關慈濟醫院為之。
63
立法目的:為進一步釐清公務機關或非公務機關與其受託人之責任歸屬,爰參考德國、日本等外國立法例,施行細則第 8 條明定委託人應對受託人採取適當之監督,以確保委託處理個人資料之安全管理。
64
適用除外規定
65
Q :平常基於社交禮儀,雙
方交換名片,是否有個資法適用 ?
66
A :自然人為單純個人社交活動而蒐集、處理或利用個人資料,係屬於單純個人活動之私生活目的行為,依個資法第 51條第 1 項第 1款規定,並不適用個資法。
67
Q :名片上之資料是否為個資?
收名片的個人是否為個資法所稱之「非公務機關」?其利用「名片」,是否需合於個資法之規定 ?
68
Q :有否可能雙方交換名片,
並非平常基於社交禮儀,而是公務、商務或其他情況?而有個資法適用 ?
個資法所稱非公務機關雖包括自然人,惟有關自然人為單純個人社交活動而蒐集、處理或利用個人資料,係屬於單純個人活動之私生活目的行為,依個資法第 51 條第 1 項第1款規定,並不適用個資法。
法務部見解
個資法案例解析
家庭活動與目的外利用法律字第 10100626710號
71
Q :網路郷民小莊,以行車記錄器,記錄下目前道路上的許多行車亂象,像是不遵守交通規則,或更可惡的肇事逃逸等影片,並將之 Po 在 YouTube上,請問小莊有否觸犯個資法?
72
Q :街頭攝影師,照片中出現路人甲、乙、丙…,是否需徵得這些人的同意,方可發表照片作品?是否違反個資法?
73
Q : Google 的街頭攝影機、掃街車?是否違反個資法?
74
Q :網路郷民小莊,在臉書上 PO上「好友」「單純個人或家庭活動」所拍的「不雅照片」,是否違反個資法?
75
A :與個資法無違,但行為很可能已經侵害名譽權、隱私權等人格權,依民法第 18 條、第 184 條及第 195 條規定,受損害之當事人仍可提起民事訴訟請求賠償因此所受到的財產上及非財產上損害。
76
Q1 :總統府以訪賓入府時辦理管制查核 之名單,用於寄送總統年節賀卡,是否合於個資法?Q2 :得否視為「自然人為單純個人或家庭活動之目的,而蒐 集、處理或利用個人資料。」?
77
A1 :相關名單原蒐集之目的係為訪賓入府晉見總統時辦理管制查核 及接待之用,而將該名單用於寄發賀卡者,係屬特定目的外利用, 諸一般社會通念,於通常情形下當事人將不致拒絕收受賀卡, 是以寄發賀卡傳達祝福,似可認屬有利於當事人權益,而得依本法 第 16 條第 6 款規定為目的外之利用。
78
A2 :關於貴室蒐集、處理或利用相關國 內外人士之名單資料,並非基於單純個人或家庭活動之目的,故無第 51 條第 1 項第 1 款規定之適用。
79
第 51 條 有下列情形之一者,不適用本法規定: 一、自然人為單純個人或家庭活動之目的,而蒐集、處理或利用個人資料。 二、於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料。
80
(四)重要用詞的定義界定
81
Q :何謂「個人」?A :施行細則第二條 本法所稱個人,指現生存之自然人。
82
Q :何謂個人資料?
A :實行後以個人資料保護法第二條為依據
83
Q :個資法定義的個資範圍為何?
84
第 2 條 本法用詞,定義如下: 一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
85
代號 修正特定目的項目○○一 人身保險○○二 人事管理(包含甄選、離職及所屬員工基本資訊、現職、學經歷、考試分發、終身學習訓練進修、考績獎懲、銓審、薪資待遇、差勤、福利措施、褫奪公權、特殊查核或其他人事措施)
86
代 號 識別類:C○○一 辨識個人者。 例如:姓名、職稱、住址、工作地址、以前地址、住家電話號碼、行動電話、即時通帳號、網路平臺申請之帳號、通訊及戶籍地址、相片、指紋、電子郵遞地址、電子簽章、憑證卡序號、憑證序號、提供網路身分認證或申辦查詢服務之紀錄及其他任何可辨識資料本人者等。
87
代 號 特徵類:C○一一 個人描述。 例如:年齡、性別、出生年月日、出生地、 國籍、聲音等。C○一二 身體描述。 例如:身高、體重、血型等。C○一三 習慣。 例如:抽煙、喝酒等。C○一四 個性。 例如:個性等之評述意見。
88
Q :何謂得以直接方式識別該個人之資料?「聲音 」是否為個資?
89
A :以接聽他人來電的經驗而言,「聲音」確實可作為辨別他人的方式之一,甚至保全系統亦有以「聲音」 作為依據者。「聲音」既屬可以識別出特定個人之資料,即應受到個資法的規範。
90
Q :何謂「間接方式識別」?A :施行細則第三條,指保有該資料之公務或非公務機關僅以該資料不能直接識別,須與其他資料對照、組合、連結等,始能識別該特定之個人。
91
Q :何謂以間接方式識別該個人之資料?何謂不能識別?例如學校職員 A從校務行政資料庫,將學生資料中之一個欄位聯絡方式」賣給補教業者 B ,則是否屬個人資料保護法所規範之可識別個人資料?
92
A : (1)就 A 君而言,雖然 A 君只挑選學生資料中一個欄位「聯絡方式」,單純就連絡方式之資料內容來看,無法得知該資料之特定個人為何人,但是 A 或 A 所代表的機關本身,仍有該校務行政資料庫之其他資料欄位可供對照、組合、連結等間接方式,而能識別該特定個人,
93
故就 A 或 A 所代表的機關該單筆資料欄位仍屬可間接識別之個人資料。 A君 以意圖營利之方式販賣可識別之個人資料,該當個人資料保護法第 41 條第 2 項之刑事構成要件而應負刑事責任。
94
(2)就 B 補教業者而言,該「聯絡方式」之個人資料如無法透過資料庫之對照、組合、連結等間接方式而加以識別該特定之學生,則屬查詢有困難之情形究屬查詢困難、耗費過鉅或耗時過久始能特定之情形需個案認定),故為無法識別之個人資料,無個人資料保護法之適用,惟如屬其他法令規範之範圍,則仍有其他法令之適用,例如民法第 18 條及第 195 條之侵害隱私權等規定。
95
Q :監視器拍攝的畫面,算不算「個人資 料」?
96
A :如果僅是畫面、聲音,而沒有其他資訊,對不認識的人來說,光看到照片或畫面無法知道畫面中的主角是誰。假設,要花費很多時間、費用,才能比對出影中人身份,即不構成「間接識別」,即非「個人資料」。(個人資料保護法施行細則第 3 條)
情境:有關○○科技有限公司為研發監視科技,申請於路口裝設監視器進行實測,是否違反個人資料保護法?
Q1 :科技公司是否有個資法之適用?Q2 :該錄影行為是否違反個資法?Q3 :內政部警政署得否准許該公司架設?
爭點提問
又本案○○科技有限公司研發之車牌辨識系統,如該系統確僅錄存不特定自然人影像,且不足以識別個人資料,則此監視錄影系統之設置 ,尚無本法之適用。
法務部見解一
…惟本案縱無個資法之適用,然依多數學者之見解,一般人於公共場所 之活動,仍有合理隱私權之期待,從而行政機關在無相關法源依據下,得否「同意」私人於 公共場所架設監視錄影設備進行實測?該「同意」之效果為何?後續影像如何管理銷毀及監督?相關問題恐值深究,爰本件申請案之適法性,仍請參考上開說明本於權責自行審認。
法務部見解二
101
Q :個人資料檔案是否包含備份檔案?
102
A :施行細則第五條,本法第二條第二款所定個人資料檔案,包括備份檔案。
103
第 2 條 本法用詞,定義如下: 二、個人資料檔案:指為建立或利用個人資料檔案所為資之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
104
Q : Google 的個資搜尋是否違反個資法?
105
第 2 條 本法用詞,定義如下: 三、蒐集:指以任何方式取得個人資料。
106
第 2 條 本法用詞,定義如下: 四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、 編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
107
Q :何謂上述的「刪除」?「內部傳送」?A :施行細則第六條, 「刪除」指使已儲存之個人資料自個人資料檔案中消失。
「內部傳送」指公務機關或非公務機關本身內部之資料傳送。
108
第 2 條 本法用詞,定義如下: 五、利用:指將蒐集之個人資料為處理以外之使用。
109
第 2 條 本法用詞,定義如下: 六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
110
Q :何謂個人資料法所稱之「政府機關」?「非政府機關」?「當事人」?
111
A :夲法第二條:七、公務機關:指依法行使公權力之中央或地方機關或行政法人。八、非公務機關:指前款以外之自然人、法人或其他團體。九、當事人:指個人資料之本人。
112
敏感個資從嚴保護
113
第 6 條 有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。
114
第 6 條敏感性「特種資料」規定並未施行,因即使當事人出面同意也不能蒐集。此一規定引發醫療機構質疑,基於「增進公共利益」,法務部擬恢復原送立法院版本,即
「經當事人同意可以蒐集」。
115
(五)、尊重當事人權益
116
個資保護應是個人之資訊自我決定權之保護,讓本人對自己之資料如何被蒐集、處理、利用均能掌控,避免他人濫行蒐集、處理、利用個人資料。
117
Q :依據個資法,當事人有那些權益?
118
當事人權益
查詢閱覽
製給複本
補充更正
停止蒐集、處理、利用
請求刪除
119
第 3 條 當事人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約限制之: 一、查詢或請求閱覽。 二、請求製給複製本。 三、請求補充或更正。 四、請求停止蒐集、處理或利 用。 五、請求刪除。
120
當事人權益
查詢閱覽
第10條
製給複本
第10條
補充更正
停止蒐集、處理、利用
請求刪除
121
第 10 條 公務機關或非公務機關應依當事人之請求,就其蒐集之個
人資料,答覆查 詢、提供閱覽或製給複製本。
122
Q :前述「當事人」是否包括巴拉圭駐台僑民?
123
Q :外國人得否向我政府申請所保有的政府資訊?
124
Q :依政府資訊公開法,得申請政府資訊的客體為何?
125
當事人權益
查詢閱覽
第10條
製給複本
第10條
補充更正
第11條
停止蒐集、處理、利用
第11條
請求刪除
第11條
126
第 11 條 公務機關或非公務機關應維護個人資料之正確,並應主動或依當事人之請 求更正或補充之。
個人資料正確性有爭議者,應主動或依當事人之請求停止處理或利用。但因執行職務或業務所必須並註明其爭議或經當事人書面同意者,不在此限。
127
第 11 條第 3 款: 個人資料蒐集之「特定目的消失」或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但因「執行職務或業務所必須」或經當事人書面同意者,不在此限。…
128
Q :何謂本法第十一條第三項「特定目的消失」?A :細則第 20 條:指下列各款情形之一:一、公務機關經裁撤或改組而無承受業務機關。二、非公務機關歇業、解散而無承受機關,或所營事業營業項目變更而與原蒐集目的不符。三、特定目的已達成而無繼續處理或利用之必要。四、其他事由足認該特定目的已無法達成或不存在。
129
Q :何謂本法第十一條第三項「因執行職務或業務所必須」?A :細則第 21 條,指有下列各款情形之一者:一、有法令規定或契約約定之保存期限。二、有理由足認刪除將侵害當事人值得保護之利益。三、其他不能刪除之正當事由。
130
例如:某公務人員或公司員工雖已離職,但如其人事管理之特定目的仍繼續存在,例如勞工之健康資料保存有其期限,尚不得請求刪除、停止處理或利用該個人資料。
131
Q :依個資法,公務機關蒐集、 處理、利用個資,首應注意者為何?
132
機關的義務?
133
機關的義務蒐集
尊重當事人權益
處理尊重當事人權益
尊重當事人權益
134
第 5 條 個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法 為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
135
(六)、「明確告知」原則
136
第 8 條 公務機關…蒐集個人資料 時,應明確告知當事人下列事項: 一、機關名稱 二、蒐集之目的 三、個資的類別 四、個資利用之期間、地區、對象及方式 五、當事人得行使之權利及方式 六、當事人不提供將對其權益之影響
137
第 8 條但書例外免為告知之條件
138
一、依法律規定得免告知。二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。三、告知將妨害公務機關執行法定職務。四、告知將妨害第三人之重大利益。五、當事人明知應告知之內容。
139
間接蒐集的告知義務
140
第 9 條 公務機關或非公務機關依第十五條或第十九條規定蒐集非由當事人提供之個人資料,應於處理或利用前,向當事人告知個人資料來源及前條第一項第一款至第五款所列事項。 ( 如後頁 )
141
間接蒐集應告知事項 :第 8 條 第一項 一、機關名稱 二、蒐集之目的 三、個資的類別 四、個資利用之期間、地區、對象及方式 五、當事人得行使之權利及方式
142
但書例外免為告知
143
第 9 條 …有下列情形得免為前項之告知: 一、有前條第二項所列各款情形之一。 二、當事人自行公開或已合法公開之個人資料。 三、不能向當事人或其法定代理人為告知。 四、基於公共利益為統計或學術研究之目的而有必要,且該資料…無從識別特定當事人者為限。 五、 …基於新聞報導之公益目的而蒐集個人資料。
144
告知的期限 (暫緩施行 )第 54 條 本法修正施行前非由當事人提供之個人資料,依第九條規定應於處理或利用前向當事人為告知者,應自本法修正施行之日起一年內完成告知,逾期未告知而處理或利用者,以違反第九條規定論處。
145
告知的方式
施行細則第 16 條 依本法第八條、第九條及第五十四條所定告知之方式,得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。
146
(七)、公務機關蒐集、處理個資的要件
147
第 15 條 公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料
外,應有特定目的,並符合下列情
形之一者: 一、執行法定職務必要範圍內。 二、經當事人書面同意。 三、對當事人權益無侵害。
EX :內政部警政署取得應受尿液採驗人尿液採驗及治安顧慮人口查訪等資料,係
為預防犯罪或基於維護社會治安需要之特定目的而蒐集之相關個人資
料,自屬合法;
149
Q :各縣、市政府社會局請
○○集中保管結算所股份有限公司提供投資人持股資料以辦理低收入戶及中低收入戶資格認定業務,是否符合個資法規定 ?
依社會救助法規定,縣(市)政府為社會救助業務之地方主管機關,因此,其審核認定低收入戶及中低收入戶之資格,基於「社會行政」、「 政府福利金或救濟金給付行為」之特定目的,向集中公司請求提供投資人持股資料,符合個資法第 15 條第 1款之規定。
法務部見解
151
Q :何謂 15 條 2 款:經當事人書面同意?
A :本法第七條 指當事人經蒐集者告知本法所定應告知事項後,所為允許之書面意思表示。
152
Q : 15 條 2款經當事人書面同意之方式,是否得以電子文件方式為之?
153
A :施行細則第十四條本法第七條所定書面意思表示之方式,依電子簽章法之規定,得以電子文件為之。
154
(八)、專人維護的指定
155
第 18 條 公務機關保有個人資料檔案者,應指
定專人辦理安全維護事項,防止個
人資料被竊取、竄改、毀損、滅失或洩漏。
156
(九)、通知與損害賠償
157
第 12 條 公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其
他侵害者,應查明後以適當方式通知當事人。
158
施行細則第二十二條本法第十二條所稱適當方式通知,指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但需費過鉅者,得斟酌技術之可行性及當事人隱私之保護,以網際網路、新聞媒體或其他適當公開方式為之。
159
第 28 條 公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害 當
事人權利者,負損害賠償責任。但
損害因天災、事變或其他不可抗力所 致者,不在此限。
160
第 31 條 損害賠償,除依本法規定外,公務機關
適用國家賠償法之規定,非公務機關
適用民法之規定。
個資法案例解析
委託蒐集與當事人權益法律字第 0999028404號
情境:國道高公局委託某電收公司辦理通行費代收業務。Q1 :如該公司違法利用個資,高公局是否需負國家賠償責任?Q2 :如發生在新法施行前一年,得否依新法提起圑體訴訟?
1.個資法第 28 條、第 31 條2.個資法第 30 條
法條提示
該公司 如有違法蒐集、處理或利用個人資料之情形,…均由貴局依 ( 新修 ) 條文第 28 條、第 31 條負國家賠償責任。
法務部見解
165
個資法 28 條公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限。
被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。
166
個資法 28 條…依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者,以該所涉利益為限。
167
個資法第 30 條損害賠償請求權,自請求權人知有損害及賠償義務人時起,因二年間不行使而消滅;自損害發生時起,逾五年者,亦同。
法律字第 10100518090號函釋:「…當事人於修正施行後得依新法團體訴訟之規定主張權利,但仍須注意有無罹於時效之問題。…」
法務部見解
169
Q4 :個資法於民國 101 年 10月正式施行,依 30 條規定計算,只要是在新法施行日起算前五年內,即民國 96 年 10月之後,所發生的個資外洩事件,或受害者知悉損害與賠償義務人時不超過兩年,即於民國 99
年 10月以後知悉,皆可於上述時效內,依「程序從新」原則,利用團體訴訟請求賠償。
170
(十)、公告以供閱覽
171
機關的義務蒐集
處理應先告知當事人事項
應有特定目的且合條件
專人維護安全確保
事故通知及損害賠償
公告以供查閱
172
第 17 條 公務機關應將下列事項公開於電腦網站,或以其他適當方式供公眾查閱;其有變更者,亦同:
一、個人資料檔案名稱。 二、保有機關名稱及聯絡方式。 三、個資檔案保有之依據及特定目的。 四、個人資料之類別。
173
施行細則第二十三條公務機關依本法第十七條規定為公開,應於建立個人資料檔案後一個月內為之;變更時,亦同。公開方式應予以特定,並避免任意變更。
本法第十七條所稱其他適當方式,指利用政府公報、新聞紙、雜誌、電子報或其他可供公眾查閱之方式為公開。
174
項目
編 號
個人資料檔案名稱 保有依據個人資料
類別保有單位
1 記者採訪證申請表 法務部組織法第 2 條
識 別 類( C001識 別 個 人者 、 C003 政府資料中 之 辨 識者)
綜合規劃司
2立法院立法委員助理名冊
法務部組織法第 2 條
識 別 類( C001識 別 個 人者)
綜合規劃司
法務部保有個人資料檔案公開項目彙整表
175
(十一)、公務機關對個資的利用
176
第 16 條 公務機關對個人資料之利用,除第六
條第一項所規定資料外,應於執行法定職務必要範圍內為之,並與蒐集
之特定目的相符。
177
Q :公務或非公務機關可否將
員工資料提供予其他內部員工查詢使用?
機關或公司將員工編號、公務電子郵件信箱等資料提供予其他員工,或供相關員工查詢系統登錄帳號等資料,係屬原蒐集個人資料之特定目的 ( 人事管理 )必要範圍內之利用行為。惟提供查詢個人資料時,仍應注意比例原則,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。
法務部見解
179
16 條但書例外規定
目的外利用
180
機關的義務蒐集
處理
執法範圍內
與目的相符
目的外利用
181
Q :個資法施行後,公務機
關得否將個資提供予非公務機關(如廟宇),作為發放敬老金使用?
縣市政府為使等發放敬老金,為增進公共利益,或有利於當事人權益時,如單純係提供慈善團體(如廟宇)按符合資格之老人名冊發放敬老金使用,即可認為屬於個資法第 16
條但書特定目的外之利用。又該廟宇或其他慈善團體取得上開之老人資料後,自不得非法移作他用,自不待言。
法務部見解
183
第 16 條 但有下列情形之一者,得為特定目的外之利用: 一、法律明文規定。 例如 :家庭暴力防治法第 50 條 執行人員知有暴力嫌疑者之通報例如 :稅捐稽徵法第 34 條重大欠稅及逃漏稅者
184
二、為維護國家安全者或增進公共利益 兵役單位提供歷年役男指紋供檢警比對調查恐怖活動分子之身分
185
Q :民意代表基於問政需要,要求公務機關提供資料, 公務機關可否提供?
186
A : 一、民意代表要求提供受公務機關補助之法人資料:行政機關及其內部單位名稱等有關法人之資料,並非個資法所欲規範之個人資料,不適用個資法。
二、民意代表或民意機關要求公務機關提供聘用人員名單:公務機關將已聘用人員名單,提供民意代表作為審查公務機關預算使用時,屬特定目的外之利用,符合為增進公共利益之必要,公務機關並無違反個資法。
三、民意代表或民意機關要求公務機關提供懲處人員名單:公務機關將其懲處人員名單,提供民意代表作為監督公務機關施政使用時,係為增進公共利益,屬於個人資料之合理利用,應符個資法。
何謂「對公益有必要」,應 由主管機關就「公開個人資料所欲增進之公共利
益」與「不公開個人 資料所保護之隱私權益」間比較衡量判斷之
法務部見解二
188
三、為免除當事人之生命、身體、自由或財產上之危險。
個資法案例解析
間接蒐集與目的外利用法律字第 1000012630號
情境:個資法施行後,衛生署為辦理自殺防救之業務,遂委託某一民間協會成立「安心專線」,協助自殺個案危機處置,該協會要求各電信事業提供來電自動顯示號碼及其所在地,依個人資料保護法,電信業者得否提供求助人員相關之基本資料?
Q1 :該民間協會之請求是否合法?Q2 :衛生署是否需告知當事人個資來源?Q3 :電信業者得否為目的外利用?Q4 :如為敏感個資,衛生署的考量為何?Q5 :該協會如非法洩用個資,衛生署是否需負國家賠償責任?
爭點提問
192
四、為防止他人權益之重大危害。
193
五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事 人。
194
六、有利於當事人之權益者 以一般人之感受為基準例如:內政部之戶政司,提供低收入戶或 殘障人士之戶籍資料給社會司例如:民政局提供教育局學齡兒童資料例如:公務機關提供資料予辦理冬令救濟 、 急難活動之救助團體
195
七、經當事人書面同意
施行細則第十四條本法第七條所定書面意思表示之方式,依電子簽章法之規定,得以電子文件為之。
196
Q :依個資法規定,公、私
立學校是否能將成年學生的表現及成績記錄交予家長父母?
197
(十二)、違反之罰則
198
第 41 條 ………… .足生損害於他人者,處二年以下有期徒刑、拘役或
科或併科新臺幣二十萬元以下罰金。
意圖營利犯前項之罪者,處五
年以下有期徒刑,得併科新臺幣一百萬元以下罰金。
199
第 42 條 ……… .. 而對於個人資料檔
案 為非法變更、刪除或以其他非法
方法,致妨害個人資料檔案之正確而
足生損害於他人者,處五年以下有期
徒刑、拘役或科或併科新臺幣一百萬元以罰金。
200
第 44 條 公務員假借職務上之權力、機會
或方法,犯本章之罪者,加重其刑至二分 之一。
201
第 46 條犯本章之罪,其他法律有較重處罰規定者,從其規定。
202
(十三)、加強行政監督
203
第 22 條 中央目的事業主管機關或直轄市、縣(市)政府為執行資料檔案安全維護業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時,得派員攜帶執行職務證明文件,進入檢查,
204
第 22 條1. 得命相關人員為必要之說明、配合措施或提供相關證明資料。
2. 得扣留或複製檔案。3. 得率同 資訊、電信或法律等專業人員共同為之。
4.相關人員不得 規避、妨礙或拒絕。5.參與檢查之人員,因檢查而知悉他
人資料者,負保密義務。
205
(十四)、提供複製、閱覽的受理期限與收費
206
第 13 條 公務機關或非公務機關受理當事
人依第十條規定之請求,應於十五日內,
為准駁之決定;必要時,得予延長,延長之期間不得逾十五日,並應將其原因以書面通知請求人。
207
公務機關或非公務機關受理當事人依第十
一條規定之請求,應於三十日內,為准
駁之決定;必要時,得予延長,延長之期間不得逾三十日,並應將 其原因以書面通知請求人。
208
第 14 條 查詢或請求閱覽個人資料或製給複製本者,公務機關或非公務機關得酌收必要成本費用。
209
學校常見個人資料保護議題
210
ㄧ、學校應如何使用學生資料?學校活動(含社團等)是否可以透過信件寄發給所有學生?誰有資格寄發或使用?
211
A :學校、社團辦活動可以透過信件寄發通知給學生 , 學校辦活動之單位以及社團都可以寄發以及使用學生的個人之資料。這是符合學校教育以及成立社團的特定目的當然,如果學校所辦的活動其實是廠商的行銷活動,就會有爭議的空間。此外,學校不可以把學生的資料給合辦活動的廠商來使用。這個部份應該要請學校評估學校使用學生個人資料之用途與目的,看看是否符合學校教育興學之目的,謹慎一點應該和教育部討論,請教育部依照學校教學之需求,請法務部增修 "特定目的”。
212
二、教授要求系上助理、行政人員或電算中心提供學生資料,在何情況下,可以提供?在何情況下,不該提供?
213
A :教授為教學所需,會需要學生的個人資料,例如為了與學生連繫課業有關事項,或是為了解學生之家庭背景、能力等等。學校的行政人員要判斷的是教授索取學生資料的目的為何?有沒有超過教學的必要範圍,來決定是否提供學校可能需要根據所保有的資料內容和教授使用之目的做判斷,而需建立申請資料與審核之機制。
214
三、學生入學新生訓練時,是否是恰當時機,讓學生知道學校可能利用其資料的狀況,並在新生訓練或註冊時,取得同意的「授權」?
215
A :除非學校使用個人資料有可能超過教育行政之特定目的。不然是不需要學生額外授權,不過因為新法增加了 "告知 " 義務。在學生入學時就要立刻履行告知義務詳述學校使用個人資料之範圍用途等等。如果學校或做超過特定目的之利用,就應該及早告知學生並取得 " 書面同意”。
216
四、畢業生紀念冊上的學生相關資料應該屬於個人資料?但目前都視同慣例,是否未來有風險?如何補救?至於圖書館陳列的歷屆畢業紀念冊是否應該管理?
217
A :紀念冊上的學生資料當然是個人資料。過去紀念冊的收集與公開並非違法行為,但是因為現在有販賣個人資料或是詐騙個人資料之行為。所以學校應改改變個人資料之保管方式,應該加以控管限制可以閱覽紀念冊的人員。
218
五、學校畢業生之資料,哪些是屬於合法使用?是否仍可寄發活動通知等等?或者應該在學生畢業前,先取得畢業學生的同意授權?至於過去所有畢業生之資料如何使用與管理才能符合新的個人資料保護法的蒐集、利用之範圍?
219
A :學校使用校友的資料應該還是必須符合 "教育行政 " 的特定目的,如果超過這個目的還是不能使用,可能需要在畢業前取得學生授權。一般人並不會反對辦校友活動會超過特定目的。這部分學校應該與教育部以及法務部溝通,以確保學校能繼續使用校友資料,而學校還是應該要建立控管機制避免校友資料外洩。
220
六、教授在幫學生寫介紹信前,會要求學校職員提供該學生多年的相關資料,該如何處理?職員提供該資料前,是否應取得學生之同意?
221
A :這問題還是在解釋教育行政的範圍。老師幫學生寫介紹信在美國教育體系下是老師的義務,但是台灣的教育制度在聯考廢除以後,目前走到哪個地步 ? 如果這已經變成是教授天經地義的工作,學校是應該要提供的,無須取得學生同意。只是如何證明教授是為了寫介紹信?會不會有教授為別的目的去要資料?需不需要教授出示學生的申請書或者是教授應該反過來要求學生自己去申請,由學校直接給教授,這是學校要去綜合考量的。
222
七、學生找工作時,公司常會要求學校提供該學生在學的成績單與相關資料,學校是否可以提供?還是應該由學生透過正常程序來申請,再由學生或學校(得到學生同意後)寄給對方?
223
A :學校無從判斷學生是否有到某公司謀職,應該由學生向學校提出申請,由學校直接提供給公司,這比較合乎程序。
224
八、「就業輔導處」針對學生畢業後,使用學生相關個人資料,是否邀簽署同意書?是否有時效問題(例如: 5 年或 7 年)?若資料須放更久,如何處理?
225
A :如學校已經在簽署同意書上說明特定目的與理由,則學校於符合特定目的之情況下,得於學生畢業後繼續使用學生之個人資料,不會受到期間的限制。
226
九、系所或系科主任希望知道各老師教學狀況,以作為老師的教學評量、教學評鑑使或其它考核用途,請問課務組該如何因應處理?
227
A :課務組提供老師教學狀況給系所或系科主任,作為教學評量、評鑑或其他考核用途,屬於學校處理及利用老師個人資料的行為,應屬特定目的(教育或訓練行政)之必要範圍,符合個資法規定,因此是可以提供的。
228
十、學生借書紀錄,是否涵蓋在個資範圍內?老師擔心學生最近是否因閱讀某一些讀物而行為有一些偏差,所以向圖書館調閱學生的借書紀錄,請問圖書館是否可以提供?
229
A :學生借書紀錄包括學生姓名、社會活動或其他得以識別學生之資料,構成學生個資。圖書館保存借書紀錄,是為了「學生資料管理」之目的,不是為了老師檢查學生行為偏差是否與閱讀某些讀物有關之目的。老師向圖書館調閱學生借書紀錄,固然可認為是學校內部「教育或訓練行政」目的,但仍應於「教育或訓練行政」目的之必要範圍內為之,且應尊重當事人之權益,如有證據可合理懷疑某學生偏差行為與閱讀有相當關聯,老師為了進一步確認而向圖書館調閱學生借書紀錄,或可被認為符合「教育或訓練行政」目的之必要範圍。然而,老師如果在無任何證據之情況下,全面調取學生借書紀錄,恐被認為逾越「教育或訓練行政」目的之必要範圍,因而違反個資法的規定。因此,「圖書館」是否可以將學生借書紀錄提供給老師,應視具體個案中老師可否提供合理之說明及證據來作決定。
230
十一、 若當事人尚未成年,請問個人資料蒐集要取得當事人或監護人同意呢?
231
A :民法規定,滿 20歲為成年。未成年人包括:(1) 未滿 7歲者,為無行為能力人:應由法定代理人代為意思表示,並代受意思表示。(2) 滿 7歲以上者,為限制行為能力人:其為意思表示及受意思表示,原則上應得法定代理人之允許。書面同意係以書面方式為意思表示。依據上述民法規定,未成年人為書面同意,確實應由法定代理人代為書面同意,或得到法定代理人之允許。雖有上述限制,但民法規定,已經結婚之未成年人,有行為能力。換言之,已經結婚之未成年人,可以自行為書面同意,並無法定代理人代為書面同意或允許之問題。
232
十二、學務處提供家長可以查詢學生的考試成績或學習紀錄,使用的方式是以「學生的身分證字號」登入為查詢依據,請問學務處可以提供家長查詢嗎?若可以,可以提供到什麼程度?另外針對己成年的學生或未成年的學生是否有不一樣的處理方式。
233
A :應區分成年和未成年,成年學生的家長應無法查詢,除非有學生授權。未成年的家長是學生的法定代理人,應該都能看才對。
234
十三、某大學為獎勵學生畢業,將學生部分資料公開於網頁上,經學生提告後,將網頁資料撤銷,但在 Google仍搜尋得到,請問是否可以要求學校向 Goolge 交涉,或需由學生自行要求 Google撤銷其資料?
235
A :網頁由學校建立,學校應盡早自己去找 Google 交涉,否則有可能仍然有責。
236
十四、個資法中之特種個人資料規範中,若個資擁有者自行公開之個人資料,是可以收集的,但是請問這樣的資訊可以拿來傳播嗎?
237
A :雖然已經公開的特種個資是可以蒐集的,但蒐集以及利用時還是要依照個資法規定的範圍,也就是必須要有特定目的,並不是任意可以拿來傳播的。
238
十五、學校可以為了保護學生,收集學生病史、健康、身分(低收入戶)資料等涉及特種個資嗎?
239
A :有關病史、健康檢查的部分,要看教育部的法規有沒有允許。低收入戶並非特種個資。
240
十六、在公告欄上公告曠課學生名單(學生姓名、學號)有違反個資嗎?
241
A :有關獎懲之作法,應符合學校辦理教育行政之目的,公布應不違反個資。
242
十七、學校是否可寄發認同卡相關資料給校友 ?
243
A :學校當初蒐集校友個人資料之特定目的為教育或訓練行政,或學生資料管理。學校寄發認同卡相關資料給校友,構成利用校友個人資料之行為,似已逾越上述特定目的,除非取得校友之書面同意,否則不得為之。
244
十八、導師是否可以知道班上同學的學習狀況,導師可以知道同學修課成績嗎 ?
245
A :如果導師取得學生的修課成績,是為了瞭解學生的學習狀況,應認係為執行法定職務必要範圍(公立學校)或因學校與學生間之契約關係(私立學校),為了特定目的(教育或訓練行政)所為,符合個資法的規定。
246
十九、學生成績預警制度,若有扣 8分或扣 16分的情形,是否可以寄給家長知道 ?
247
A :學校將學生預警制度的扣分情形告知家長,似為學校執行法定職務必要範圍,且與蒐集之特定目的(教育或訓練行政)相符。惟大學生收受成績預警制度之資料,依其年齡及身分,應為其日常生活所必需,且滿 20歲之大學生已為成年人,不論其為意思表示或受意思表示,均無須法定代理人(家長)之允許,因此大專院校是否有必要將告知學生本人之成績預警資料,另行提供學生家長,始能達到教育或訓練行政之目的,恐有疑義,建議教育部對此作成統一解釋,以便學校知所遵循,避免學生質疑。
248
二十、網頁上的學生家長區,家長可以查詢學生的個人缺曠、操行嗎 ?
249
A :如上題所述,學校將學生的缺曠課資料及操行成績提供家長查詢,似為學校執行法定職務必要範圍,且與蒐集之特定目的(教育或訓練行政)相符。惟大學生瞭解自己的缺曠課資料及操行成績,依其年齡及身分,應為其日常生活所必需,且滿 20歲之大學生已為成年人,不論其為意思表示或受意思表示,均無須法定代理人(家長)之允許,因此大專院校是否有必要將學生的缺曠課資料及操行成績提供家長查詢,始能達到教育或訓練行政之目的,恐有疑義,建議教育部對此作成統一解釋,以便學校知所遵循,避免學生質疑。
250
報告完畢
251
參考資料
1. 資訊倫理- 教育Wiki
2. 個人資料保護講義 3. 個人資料保護法.pptx
4. 個人資料保護法/施行細則宣導與學校因應之道