歷經6年多的審查、協商,個資法日前在立法院以迅雷不及掩耳速度三讀通過。法務部法律事務司表示,此次修法的重點在於,保護客體與適用主體的擴大──同時保護電腦處理與人工紙本的個人資料,橫跨所有行業別,包括法人、團體及個人對個資的搜集、處理、利用都受規範。並且提高民、刑事及行政責任──單一事件最高可罰至2億元,且增加團體訴訟機制。至於三讀前備受爭議的大眾媒體報導需求而蒐集個資以及將與他人合照之照片張貼於社交網站,或作人肉搜索等行為,在特定前提下均可排除在此次規範之外。
國巨律師事務所合夥律師朱瑞陽指出,其實先前二讀的版本就已經完善,而這次法務部為了順利通過三讀而增訂的一些字眼,如「公開取得」、「個人重大利益」等非一般法律常見名詞,將來在施行細則訂定時需要特別說明,否則將來恐有爭議。此外,在損害賠償部分,對企業最困擾的應是第29條「非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明無故意或過失者,不在此限。」朱瑞陽坦言目前沒有一套標準可定義『能證明無故意或過失』,並非購買IT產品就能證明,唯經濟部有相關標章等做法在研議中。但至少企業需依照法條的要求做到該有的措施,將來法官在認定是否有故意或過失時,也會參考同業作法,一般該有的IT安全管理基本措施不能少,例如對資料庫存取權限的控管等。
此外,在賠償金額的部分,雖然法條中把每人每一事件賠償金額下修為500元至2萬元。但此次新增團體訴訟的部份,企業也不能小覷。將來只要被提起團體訴訟,受害當事人只要在文件中簽署即可加入團體訴訟,不再像過去需要歷經繁複冗長的訴訟程序,朱瑞陽說。
談到個資法帶來企業將面臨的新風險,臺灣微軟資深法務長施立成律師站在企業法務的角度,則擔心行政檢查權的行使。過去是需要檢查官開搜索票,調查單位才能進到企業內部來做事件調查,如今行政檢查權落到各中央目的事業主管機關或直轄市、縣(市)政府,如何啟動行政檢查權則需要定義更清楚。
中華民國電腦稽核協會副理事長林宜隆認為,以過去的相關判例來看,傳統法律學者對於數位證據有效性的認定仍有值得討論之處。且電磁記錄不等於數位證據,而現在網際網路對於民眾的影響範圍才更大…等,將來施行細則的制定應廣納更多科技背景的法律學者一同討論。