https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=19de10adbaa1b2ee13f77f679fa1483a.2906&nosocial=1

觀點

搞不懂個資法?七個實例告訴你

2010 / 10 / 04
謝持恆、何依玟
搞不懂個資法?七個實例告訴你



個人資料保護法已於2010年5月26日經總統明令公布,但相關的施行細則目前還付之闕如。這段期間也許是因為新法上路,許多民眾對自身的權益仍不熟悉,或是企業本身對於這部法令還抱持觀望的態度,甚至是主管機關,對於自身所該扮演的角色及應擔負的責任,仍然不是那麼清楚。我們希望從近日發現的一些實例,來解釋一下這些事件背後所牽涉到的相關條文。同時也希望藉由個案討論,引發更多人對這部法令的關注。

現象一:
公司所有處理客戶基本資料的電腦設備,全部置放於國外的區域中心內,因為機器設備不在台灣,所以不受新版個資法的限制。

說明:一般民眾或有以為,只要主機或網路設備不設在台灣地區,便可規避我國法規之適用。

依照「個人資料保護法」第二條,對國際傳輸的定義為將個人資料作跨國(境)之處理或利用。而根據第二十一條規定,非公務機關為國際傳輸個人資料,而有如涉及國家重大利益、以迂迴方法向第三國(地區)傳輸個人資料規避本法等情形者,中央目的事業主管機關得限制之;同時第四十一條亦指出,違反中央目的事業主管機關限制國際傳輸之命令或處分,足生損害於他人者,將處二年以下有期徒刑、拘役或科或併科新臺幣二十萬元以下罰金。

另涉及行政罰規定,如違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定,或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分,足生損害於他人者,則根據第四十三條規定,中華民國人民在中華民國領域外對中華民國人民犯前二條之罪者,亦適用之。可見即便是機器設備沒有在中華民國境內,公司仍然受「個人資料保護法」的規範。

現象二:
現行許多企業都會藉由研討會或講座的方式,由與會人士提供推薦名單,以便日後做後續業務推廣使用,個資法通過後,仍可透過這種方式來取得潛在客戶資料。

說明:依照「個人資料保護法」第十九條規定,非公務機關對個人資料之蒐集或處理,應有特定目的,並符合法律明文等相關規定。另依據第九條規定,於處理或利用前向當事人告知即可。因此,如果仍使用以往的蒐集方式,但沒有告知當事人,就不能處理或利用這些資料,也就是說,企業無法再藉由這種管道取得個人資料,除非當事人同意。

現象三:
某會員俱樂部近日推出「老客戶回娘家方案」,廣發邀請函及簡訊,希望未續約的會員能重新簽約並享有優惠。

說明:依照個資法第十九條與當事人有契約或類似契約之關係,此方案的實施並不違法。惟根據第十一條,個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。同時,根據第十三條公務機關或非公務機關受理當事人之請求,可將個人資料使用時間延長,但不得超過一定期限,並應將其原因以書面通知請求人。由上可知,當契約關係已經不存在時,企業應主動將所蒐集到的個人資料,停止使用。

現象四:
某連鎖店在促銷廣告上聲稱,為配合個資法的修訂,請會員主動更新會員資料,以便日後能取得各項優惠的折扣。

說明:既然是會員,依照個資法第十九條,企業係與當事人有契約或類似契約之關係,此方案的實施並不違法。惟根據第八條,公務機關或非公務機關向當事人蒐集個人資料時,應明確告知當事人公務機關或非公務機關名稱、蒐集目的、使用方式等事項。同時,根據第十五條規定,公務機關對個人資料之蒐集或處理,應有特定目的,並經當事人書面同意。此「書面」同意,目前根據法務部解釋,除非係以電子簽章方式為之者,否則應取得當事人的「紙本」書面同意始符合法定要件,企業應留意此點要求。

現象五:
客戶攜帶所購買的家電用品進行維修,並提供個人連絡電話、電子郵件在維修紀錄單上,以便維修結果通知。客戶在取得維修的商品時,要求商家交還維修紀錄單,因上面有客戶所提供的個人資料。

說明:依據個資法第十五條規定,公務機關對個人資料之蒐集或處理,應有特定目的,並經當事人書面同意,因此商家是不需要將維修紀錄單交還給客戶的。而同時依照第八條規定,公務機關或非公務機關向當事人蒐集個人資料時,應明確告知當事人個人資料利用之期間、地區、對象及方式。因此,商家除非已盡到前述告知義務,否則不可以將此次維修紀錄單上所取得的個人資料,挪移至其他地方使用。

現象六:
某金融機構欲發行企業聯名卡,該金融機構從合作企業處取得會員資料,並且廣發宣傳,鼓勵企業會員申請聯名卡,並要求留下個人資料,以利行銷作業使用。

說明:依據個資法第九條指出,公務機關或非公務機關蒐集非由當事人提供之個人資料,應於處理或利用前,向當事人告知個人資料來源。另依據第八條規定,公務機關或非公務機關向當事人蒐集個人資料時,若沒有取得書面同意,同時未將使用目的明確告訴當事人,都是違反個資法的行為。

現象七:
某公職人員參選人,聲稱透過支持者提供的資料,大量寄發競選文宣,並宣稱前述行為是不在個資法規範的範圍內。

說明:依據個資法第二條對非公務機關的定義,包含自然人、法人或其他團體,因此,該公職人員參選人同樣也受個資法第九條及第八條,公務機關或非公務機關蒐集非由當事人提供之個人資料,應於處理或利用前,向當事人告知個人資料來源的規範。
結論
雖然新法剛剛上路,但我們仍然殷切的希望主管機關,能夠確實的訂出符合產業要求的施行細則,同時要能徹底落實,另一方面,則要思考如何強化一般大眾對個資法的認知,以保障自身權益,更重要的是,各單位要能確實檢討現行內部各項與個人資料相關的制度,包括資料的蒐集、處理、使用、傳輸及銷毀,如此才能達到三贏的效果,這也才是個資法當初修法的目的。

(本文作者現任職於管理顧問公司)