個人資料保護法施行細則草案之修正意見

個人資料保護法施行細則草案之修正意見

◎賴文智律師、蕭家捷律師

 

個人資料保護法施行細則草案公告徵求公眾意見，本所內部亦進行研議，茲提供本所初步修改建議如下：

 

1.第三條　本法第二條第一款所稱得以間接方式識別該個人之資料，指僅以該資料不能識別，須與其他資料對照、組合、連結等，始能識別該特定個人者。但持有該資料之公務或非公務機關查詢困難、需耗費過鉅或耗時過久始能特定者，不在此限。       

 

施行細則草案有關「查詢困難、需耗費過鉅或耗時過久始能特定者」，其標準究為相對亦或絕對無法判斷，建議加上「主體」以杜爭議。例如：IP位址對大部分之公務或非公務機關而言，並無法直接查詢到特定當事人，應非屬個人資料。然而，對於連線服務提供者而言，該等IP位址為其配發予客戶使用，得輕易與其客戶資料連結查詢，自屬個人資料並無疑義。

 

2.第四條第六項  本法第二條第一款所稱犯罪前科之個人資料，指經緩起訴、職權不起訴、法院判決有罪確定之紀錄或記載當事人犯罪有無之公文書。

 

按本法有關「犯罪前科」經施行細則草案，限定為「有」犯罪，然而，惟有意蒐集「犯罪前科」資料者，僅需要求當事人提供反面資料（如無犯罪紀錄證明），若當事人無法或不願提出，即可能遭「視為」其曾有犯罪前科，此就當事人個人資料之保護顯有不足，建請修正條文如上。

 

3.第五條  本法第二條第二款所稱個人資料檔案，包括備份檔案及附隨個人資料蒐集並儲存於個人資料檔案中之軌跡資料。      

 

按網際網路因採TCP/IP協定，故部分施行細則草案所提及之軌跡資料（Log Files），會由網路設備自動記錄、儲存，例如：網站伺服器會自動記錄拜訪者之IP位址、作業系統、瀏覽器版本、存取時間、頁面等。修正理由雖有表明「個人資料在蒐集、處理、利用過程中所產生非屬於原蒐集個資本體之衍生資訊」之說明，為避免此等未與蒐集個人資料行為連結之自動記錄的資訊，亦為視為個人資料檔案，建請修正條文如上。

 

4.第六條  本法所稱刪除，指使已儲存之個人資料自個人資料檔案中消失。

公務機關或非公務機關依法主動或依當事人之請求刪除個人資料者，如為事後查核、比對或證明之需要，得留存軌跡資料不予刪除。

本法第二條第四款所稱內部傳送，係指公務機關或非公務機關本身內部之資料傳送。

本法第二條第六款所稱將個人資料作跨國（境）之處理或利用，不包括儲存於我國境內而供全球網際網路連線處理或利用者。

 

一、刪除與內部傳送不同，內部傳送僅第二條第四款使用。刪除一詞則在第二條、第三條、第十一條、第十九條、第二十五條及第四十二條，若前開條文之用語須為相同定義者，建請修正條文如上。

二、施行細則草案第六條第二項規定，應係針對主動或依當事人請求刪除之情形，建請修正條文如上。

三、網際網路並無跨國（境）分別，如將單純儲存於我國而提供全球網際網路搜尋之個人資料（例如：whois資料庫）亦認為屬國際傳輸之一種，於特定國家有本法第二十一條各款情形，經中央目的事業主管機關限制為國際傳輸者，因實際上即使限制該國IP位址之連線並無法達於個人資料不外洩於該國之目的，徒使主管機關之命令歸於無效致有損威信，應明文排除此種由境外連線取得個人資料之方式，建請新增條款如左。

 

5.第八條之規定課予委託機關義務似已超出法律授權，建議應於個人資料保護法修法時納入。

       

6.第十條  本法所稱當事人自行公開，係指當事人主動提供，或自行對不特定人或特定多數人為揭露。（下略）

 

按業務人員來訪留下名片為常見之社會活動，惟並非「與當事人有契約或類似契約之關係」或「自然人為單純個人或家庭活動之目的」可以含括，建請修正條文如左。

 

7.第十七條　有下列各款情形之一者，屬於本法第十一條第三項但書所定因執行職務或業務所必須：

一、有法令規定或契約約定之保存期限。

二、有理由足認刪除將侵害當事人值得保護之利益。

三、儲存方式特殊致不能刪除或耗費過鉅始能刪除。

四、其他不能刪除之正當事由。

有前項第三款或第四款之事由致不能刪除個人資料者，應告知當事人並以適當方式停止處理或利用該個人資料。  

 

按如有本條第三款及第四款之原因致蒐集者無須刪除該個人資料者，蒐集者縱無須刪除惟仍應停止處理及利用。原施行細則規範將致不能刪除之個人資料，蒐集者得於特定目的消失或期限屆滿後繼續處理或利用，此應非立法者本意，建請修正如上。

 

8.第十八條  本法第十二條所稱查明，係指初步查證確認個人資料遭竊取、洩漏、竄改或其他侵害可能之方式及受影響範圍者。

本法第十二條所稱適當方式通知，係指於適當之時間點，以書面、電話、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但耗費過鉅者，得斟酌技術之可行性及當事人隱私之保護，以網際網路、新聞媒體或其他足以使公眾得知之方式為之。

 

依本法第十二條通知當事人，其內容應包括個人資料可能被侵害之情形、已採取之因應措施及當事人若因此受有損害得依法請求損害賠償之說明。    原修正草案條文未就第十二條所稱查明為定義，建議訂定如左。

適當方式通知除通知之方法外，應仍包括通知之時間亦應適當方屬該當，建議修正條文如上。

 

9.第二十七條  本法修正施行前已蒐集或處理由當事人提供之個人資料，於修正施行後，得依本法有關個人資料保護之規定，繼續為處理及特定目的內之利用。其為特定目的外之利用者，應依本法修正施行後之規定為之。

前項特定目的若未於蒐集時告知當事人者，應於本法修正施行後以公告或通知當事人之方式為之。

 

按個資法修正施行前，許多非公務機關均未適用個資法規定進行蒐集或處理個人資料，故未告知特定目的應屬常態，為貫徹本條之意旨，建請增列第二項規定。

 

 

同系列文章

黃曉薇律師，個人資料保護法Q&A-書面同意是否一定要以紙本為之？

賴文智律師，個人資料保護法Q&A-敏感性個人資料禁止蒐集的效力？ 

賴文智律師，個人資料保護法Q&A-網友「人肉搜索」的合法性？  

賴文智律師、蕭家捷律師，個人資料保護法Q&A-僱主臉書(Facebook)洩個資，當然不行！ 

賴文智律師、蕭家捷律師，個人資料保護法Q&A-可否要求網路業者刪除網友張貼之個人資料？ 

賴文智律師、蕭家捷律師，從南韓控蘋果集體訴訟案看我國個資法團體訴訟制度

賴文智律師，個人資料保護法Q&A-從NFC手機談個人資料的管制  

賴文智律師，個人資料保護法Q&A-企業上雲端，個資保護責任誰負？  

賴文智律師，個人資料保護法Q&A-依法股東名冊絕不能外流？  

賴文智律師，個人資料保護法Q&A-拒絕電話行銷後，仍然不斷收到相同業者的電話？ 

賴文智律師，個人資料保護法Q&A-與當事人約定永久保留、使用其個人資料，是否有違反法律？  

Copyright IS-Law.com