觀點

個人資料保護法修正趨勢對資安產業的影響

2006 / 04 / 28
吳兆琰
個人資料保護法修正趨勢對資安產業的影響

從現行刑法角度觀之,個人資料的蒐集與販賣,如果沒有伴隨進一步的犯罪行為(如詐欺、恐嚇行為),則確實有相當的灰色地帶,難以具體論刑。然而,現行法律體系中其實還有一部重要的法律,電腦處理個人資料保護法(以下簡稱「個資法」),其立法目的就是在保護民眾的個人資料隱私。根據本法,不論公務或非公務機關,對於個人資料的蒐集、利用都必須尊重當事人的權益,並不得逾越取得該資料之特定目的必要範圍;資料處理時,除應與蒐集之特定目的相符外,當事人有請求維護資料的正確性、停止利用或刪除該資料的權利;而保有個人資料檔案者,有指定專人依相關法令辦理安全維護事項,以防止個人資料被竊取、竄改、毀損、滅失或洩漏的義務,違反者,當事人得提出損害賠償訴訟等。
然而,不可諱言的,我國個資法成立於1995年,立法者當時顯難以預見今日網路環境下的多樣化資訊利用態樣,個資法在適用上已出現規範不足的缺陷。又由於我國人對資訊隱私的概念啟蒙甚晚,導致我國民在國際上的資訊應用程度名列前茅,但政府機關、企業行號甚至是消費者自身,對個人資料安全維護的重視程度卻嚴重不足。
所謂亡羊補牢,猶未晚也。參照國際法制趨勢,修正個資法,以法令強制規範、督促各行各業重視對客戶資料之安全管理工作,實有其迫切需要。本文簡介我國目前在立法院審議中的個人資料保護法內涵(2005年4月22日委員會審查版本),再從實務可能的因應作法,試論此法制發展趨勢對資安產業可能的影響。
個資法修正重點
現行個資法在適用上最大的爭議,在其適用範圍僅限於徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業等所謂的「八大行業」,而不及於一般事業及個人;且保護之客體,只限於經電腦處理之個人資料。新法將改名為「個人資料保護法」(以下簡稱「新法」),刪除現行個資法中對非公務機行業別之限制,將適用之主體擴大至自然人、法人、公務與非公務機關等;並擴大保護客體至紙本處理的個人資料;增加犯罪前科、健康檢查、醫療、性生活及基因等5類「敏感性資料」,嚴格規範其蒐集處理與利用等等。其中企業需特別注意者,為新法賦予企業更重的個人資料安全維護責任,並賦予目的事業主管機關更大的介入查核權限。相關修正重點包括:
一 新增機關對當事人主動通知之安全責任
有鑑於國內屢次爆發大規模的個人資料外洩案,資料主體當事人卻因為欠缺得知資料被外洩途徑可能性,而導致權益受損卻無法主張權利的狀況(註1),新法特別賦予公務或非公務機關,當其所蒐集之個人資料有被竊取、洩漏、竄改或遭其他方式之侵害時,有以適當方式(如電話、信函、公告請當事人上網或電話查詢等)迅速通知當事人之責任;違反規定而隱匿不為通知者,主管機關得限期改正,並得按次處以新台幣2萬元以上20萬元以下之行政罰鍰。

二 增列向第三國(地區)傳輸個人資料限制
雖然現行個資法即有對國際傳輸之限制,但由於對「國際」傳輸之認定有爭議,實務上,企業為降低作業成本而將資訊作業迂迴傳輸至中國大陸或離島地區處理,忽視對客戶個人資料保護責任的情形頗為嚴重。
為避免認定之爭議影響對個人資料之保護,新法特別將「地區」之文字納入,以收明確之效。未來企業進行資訊作業委外時必須注意,違者並得課予罰鍰。
三 機關應訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
現行個資法對機關資訊安全作業之規定,僅見於第17條與第26條,要求機關保有個人資料檔案者,應指定專人依相關法令辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏等。但各機關如何辦理、落實資訊安全維護工作?機關資訊安全維護事項指涉的內涵究竟為何?由於現行個資並未明確規範,需另行參照各目的事業主管機關頒訂之相關法令,在各目的事業主管機關認知不同情況下,實務上各企業對資訊安全維護工作的認知並不相同。
也由於各企業對安全管理之需求與風險承擔能力不盡相同,新法將要求受指定之機關(如銀行、電信、保險等),應根據中央目的事業主管機關所定之標準,訂定各機關之個人資料檔案安全維護計畫、與業務終止後之個人資料處理方法。此外,雖然法條並未明訂,但中央目的事業主管機關未來在依職權進行行政檢查時,企業是否符合這些安全維護計畫與資料處理方法所訂步驟,應可望成為判斷責任歸屬之重要依據。本條規定,預期可有效提升企業資訊安全風險意識,並擴大企業對資安咨詢服務業之需求。
四 強化行政檢查權
現行個資法在適用上的另一個缺陷,在主管機關不明。雖然許多國家針對個人資料保護之議題,已設有特別之專責機構(如英國設有個人資料保護署Information commissioner),但考量各行業已有目的事業主管機關,且個人資料之蒐集、處理與利用應屬各該事業之附屬業務,新法因此不另設專責主管機關,而是明確賦予中央目的事業主管機關與直轄市、縣(市)政府有強制檢查與處分權。當其發現非公務機關違反規定,或有必要時,得派員進入該非公務機關進行檢查,或要求說明、提供資料;認有違法情事時,對檢查時所發現得沒入或可為證據之資料或檔案,得強制扣留或複製,被檢查者不得規避、妨礙或拒絕。
本條規定之立意雖佳,但由於新法賦予中央目的事業主管機關、直轄市、縣(市)政府與司法搜索扣押行為類同之權限,引發立委們的顧慮。針對此疑慮,行政院在立法理由中即建議,於新法中增列機關首長核准制度,以強化檢查程序,保障受檢查人之權利
五 新增機關代表人同受行政處罰規定
本條新增,但對企業之影響預計將頗為深遠。因為只要非公務機關(企業法人)依新法受有行政罰鍰之處罰時,企業之代表人、管理人、或其他代表權人對各該違反本法規定之行為(包括個人資料應採使適當安全措施之義務),視為有疏失;除能證明以盡防止義務者外,應並受同一額度罰鍰之處罰。
六 新增集體訴訟機制
為解決現行個人資料外洩情形嚴重,但資料主體當事人求償困難之實務困境,新法特別設計類似消費訴訟之機制,讓財團法人或公益社團法人得代表被害者提起團體訴訟。此外,為鼓勵當事人透過團體訴訟主張權利,新法同時增訂有團體訴訟裁判費減免之規定等。
七 提高賠償額度
為避免單一資安事件造成賠償過鉅,可能拖垮企業經營之情況,現行個資法對於大量個人資料外洩案件之賠償,訂有賠償額度之上限:每人每一事件新台幣2萬元以上10萬元以下計算;基於同一原因事實應對當事人負損害賠償責任者,其合計最高總額以新台幣2,000萬元為限。
惟此額度顯已不足以警示企業、並遏阻犯罪之猖獗,新法因此朝向提高賠償額度而設計。未來每一事件,將以新台幣5,000元以上10萬元以下計算;但對最高賠償額度上限,行政院所提版本為5,000萬元,但有委員主張不訂上限,以督促企業落實資訊安全維護責任。
從實務作法論對產業可能影響
在政府這幾年的大力推動資安概念與要求下,許多目的事業主管機關已經將相關的資訊安全維護責任納入行政監理事項,未來再加上個人資料保護法制的明確要求,透過兩種策略的同時併進,預期能有效推動我國整體資安法制環境的建置工作。而透過新增的機制(特別是企業代表人同受行政處分規定),新修個資法預計將對各行各業產生全面性的影響。雖然立法院目前對行政檢查權、最高賠償額度設上限等議題仍無法達成共識,導致本法遲未能完成立法,但加強對個人資料的保護已是國內外共同的立法方向。
企業考量到對客戶個人資料保護的法律責任,避免流失客戶信心並承擔法律責任,或可能增加預算購置資訊產品,或可能引進外部資安顧問以協助企業組織提升資安風險意識。不論何者,都將有助於整體資安產業的發展。
惟個人資料保護法制修正方向雖可望有效刺激企業採購安全設備與服務之意願,但我國的資訊服務業者是否真能因應法規的高標準要求,則仍待觀察。因為實務上,居於買方地位的企業會透過採購契約(不管是工程、勞務或財務之採購)將相關的風險移轉或分攤;日後在法律風險增加的情況下,以契約轉嫁風險更是必然的發展趨勢。目前甚至已有學者仿效日本個人情報保護法(JPIPA)(註2)概念,提出應在契約中約定懲罰性違約金:當業者在受委託建置或處理資訊業務時,若因其設計或業務處理流程不當,外洩個人資料達一定比數時,不論有無造成實際損害,都需對企業負賠償責任。這對目前實務上有些資訊服務業者只重賺錢而不重視安全的作法,確實可以發生一定的警嚇作用,但對中小型的資訊服務業者卻也可能造成過重的負擔。從這個角度出發,或許個資法中的損害賠償責任仍應訂有上限額度為宜。而積極引進國外的資安保險機制,再轉分攤相關的風險,也是可能的解決方案之一。
總而言之,個人資料保護法制修正趨勢,為資安產業開啟了新的利基,但惟有建構妥適的風險分擔機制,才會是資安產業成長的關鍵。此部分實仍有待實務界之努力。
本文作者現任職於資訊工業策進會科技法律中心專案經理