個人資料保護法(以下簡稱個資法)已經上路,對於個資法的遵循也隨著每個人有不同解讀而出現各種版本,部分矯枉過正,部分則輕忽以對,因而造成法規遵循上的迷思與盲點。以下為筆者實務工作中常見的幾項錯誤:
盲點1、法律上的錯誤認知
許多企業對於個資法有錯誤的解讀,像是個人資料的定義、對蒐集行為的定義、個資法規範範圍…等,因而產生了遵循的盲點。
何種資料屬於個人資料?
由於無法判定哪些是個人資料,導致有時蒐集個資而不自覺,或是蒐集了非個資卻自認應遵循個資法之各項規定。根據個資法第2條,所謂的個人資料指:自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。實務上常見企業問題如下。
1、 Email是不是個資?
法務部雖曾於94年法律決字第0940017397函釋說明,「有關公務機關將收集他人電子郵遞住址(EMAIL)資料提供他人查詢服務,如其並未與自然人之姓名等相結合,尚不足以識別該個人者,則該資料即非上開規定所稱之個人資料,並無電腦處理個人資料保護法規定之適用。」
大部分的郵件地址屬於無法識別該個人資料,例如公務機關通常以數字代號來當成電子郵件位址名稱,因此一般人(非該機關人員)無法識別擁有該郵件位址的人是誰。至於免費信箱例如Gmail、Yahoo等,雖然有些人可能會使用中文姓名的羅馬拚音,作為電子郵件位址名稱,但要據此認定使用者身份仍然相當困難,所以也不符合直接或間接可識別個人的條件。
只有少數狀況在企業Email中使用可辨識公司名稱的網址,加上當事人的中文音譯姓名或英文姓名,確實有相當高的機會可以識別出該個人,因此如果嚴格認定的話,考慮到這些特殊狀況,即使單獨蒐集Email還是有可能被判定為個人資料。
2、 行動電話號碼或 IP Address?
對一般組織來說,如果單獨蒐集行動電話號碼或IP Address的其中一樣,均無法識別個人,因而可以認定在單獨蒐集時不屬於個資,然而,該等資料對於所屬的電信或ISP業者而言,卻是可以關聯識別出使用該號碼或IP Address的使用者,因此對業者而言,此二者應屬於個資。
惟有正確判定所蒐集的資料是否為個人資料,才能解決企業在個資法適用上的部分盲點。筆者藉由下列兩個案例進行說明:例如提供客戶服務時,原本應於蒐集過程中依法進行告知義務,但是如果僅蒐集來電客戶的姓氏、稱謂及行動電話,例如:黃先生,09xx-xx-986,由於此資料無法識別該個人,因而可以免告知。但是如果僅蒐集客戶訂閱電子報的電子郵件地址,就認定為沒有蒐集個資而免告知,此時就可能有觸法的風險,因為Email在部分狀況下可以識別該個人,例如企業信箱Vincenthuang@tuvit.de,這家公司全球1萬名員工只有一個叫做Vincent Huang。
誤判蒐集、處理及利用:蒐集資料後歸還就沒有蒐集嗎?
常常有企業認定,在蒐集個人資料後,如果歸還、不儲存就不叫做蒐集個資,這是對蒐集行為的錯誤解讀,因為個資法第2條對於蒐集的定義係指「以任何方式取得個人資料」。
舉例來說,若公司要求面試者交付個人履歷,但是於審閱後立即歸還,此時,蒐集的動作已在取得履歷的同時完成,看完後歸還的動作僅說明,公司並未進行記錄、儲存等「處理」作業。其次,若公司在審閱履歷後,回答該面試者未錄取,這種藉由瀏覽履歷判斷錄取與否的作法,等同於已經進行「閱讀」及「判斷是否錄取」的個資利用行為。因此,對於個資的蒐集、處理、利用等行為需有正確解讀,以避免造成法規適用上之錯誤。
個資法僅約束公司及政府機關、個人不受限?
這個錯誤觀念普遍存在網拍及個人網路商店業者。個資法約束範圍亦包括個人,其目的事業主管機關為縣市政府,若欲檢舉網拍業者(此指沒有商業登記的個人賣家),應向縣市政府為之,再者,個資法的賠償及行政罰則亦不會因為是個人而所減輕,因此個人業者一旦違法,其賠償的義務不若公司可以有限的資本進行賠償,反而會背負著賠償義務一輩子,不可不慎。
盲點2、行為盲點:資產違法還是行為違法?
企業普遍因個人資料合法性考量而進行個資盤點,盤點項目以個資的數量及種類為主,但僅盤點個人資料並無法判定該資產是否違法,是以,進行盤點者應包含個人資料蒐集、處理及利用的行為,再藉由比對行為與法定要求的合法性才能判斷是否符合個資法。
舉例來說,企業有3,500筆會員資料,蒐集管道來自網路報名及活動現場報名,如果在網站蒐集時,未依照個資法第8條要件進行告知,或未具備個資法第19條的蒐集、處理要件(例如與當事人有契約關係、類契約關係或取得當事人的書面同意等),於10月1日個資法上路後,其蒐集行為即屬違法(10月1日前所蒐集的個資因為不受法規約束,可以繼續在特定目的內合法使用)。
因此企業如果不針對蒐集、處理及利用進行「行為盤點」,將無法判斷及改善現行作業的適法性。另外一種常見的行為違法是在合法蒐集後,將資料超出原告知的蒐集目的或超出特定目的外利用,例如將資料交予同集團的子公司利用,由於子公司與母公司或其他集團公司在個資法中屬各自獨立的法人,因此,這樣的利用通常需要透過特定目的外利用的方式,告知當事人並取得合法要件始得為之。
單純在告知函內容中宣告並不具備完整合法要件,將資料提交出去的公司為違法利用,收到的一方,因未依據個資法第9條間接取得個資進行告知,並符合蒐集、處理的合法要件,其蒐集之行為亦屬違法。
此外,還有一種普遍的違法行為發生在人事單位。公司從人力銀行間接取得面試者的履歷資料,雖然人力銀行取得面試者的同意交付資料給企業人事單位,但是人事單位如果沒有依據個資法第9條,在處理、利用前或首次利用時併同進行告知,也屬於違法的蒐集、利用行為。
最嚴重的違法情形則發生在企業對外蒐集名單,例如收到其他公司交付的名單或蒐集公協會會員名單,因為無法達到個資法第19條蒐集、處理合法要件的要求,所謂合法要件像是該名單內人員與蒐集單位有契約或類契約關係,或已取得當事人書面同意等,對於該名單的蒐集、處理行為均屬違法。
盲點3、沒有從法律觀點來檢視流程?
企業內部的作業程序多有標準作業流程,但往往沒有以個資法法律觀點重新檢視流程。舉例來說,線上遊戲業者通常會蒐集身份證影印本,以便日後消費者進線要求客戶服務時可以證明其身份,雖說身份證影印本是證明身份的方法,但保留、儲存該身份證影印本卻多蒐集了消費者的配偶與父母姓名,亦即與該次服務不相干的其他人個人資料,這樣的作業流程仍有違法疑慮。
另外,電子商務或其他經營網路服務的企業,現今流行使用Open-ID登入網站,像是Facebook或是Google帳號,避開蒐集個資或使用者登記個資的麻煩,多數企業認為此舉並無蒐集個人資料,但是仔細看看系統作業中,由 Facebook取得的Facebook ID(一個9位數的數字ID),只要將此ID帶到Facebook網址,就會出現該使用者的個人Facebook首頁,符合個資法中可以間接識別該個人之定義,因此被歸類為個人資料,這種作法仍然屬於蒐集個資之行為,需要依個資法進行告知,並具備第19條蒐集、處理合法要件,才會是完全合法的流程。
電子商務或其他經營網路服務的企業需注意,即便開放使用者透過Open-ID登入網站,仍然屬於蒐集個資之行為,需要依個資法進行告知,並具備第19條蒐集、處理合法要件,才會是完全合法的流程。
企業應該在個資法上路後,重新以個資法法律觀點檢視現有作業流程、系統作業流程,確認作業的細節、過程、蒐集及利用的個資範圍,始能避開個資法遵循的迷思及法解釋上的盲點。
盲點4、風險盲點:防內還是防外?
過去資訊安全通常抵抗的是外部惡意入侵或非法存取資料,避免洩漏資料到外部,但是個資法的違法案例除了駭客攻擊、非法入侵,更常見內部員工洩漏、非法使用、錯誤利用或內部人員作業之意外,因此,對內部合法接觸個資人員的管控不足,是企業普遍存在的管理風險。哪些人該可以接觸客戶個人資料?哪些作業可以看到個人資料?如何產生系統記錄來追溯內部人員查閱資料的歷程…等,均是目前相對於強調對外資安防護而更該正視的內部個資保護工作。
盲點5、證據留存盲點:想要證明甚麼?
目前大多數的企業開始留存系統log、防火牆記錄、資料或檔案存取記錄…等軌跡資料,以期在個資爭議時能舉證以確保自身權益,但是企業普遍缺乏對於留存哪些資料、記錄而使該些資料在真正需要時能派上用場、具備證據能力並有高度證據力的知識。盲目地留存非必要的記錄只會增加成本與作業負擔,卻無法真正保護企業,這顯然是過度強調證據留存的盲點。
| 盲目地留存非必要的記錄只會增加成本與作業負擔,卻無法真正保護企業,這顯然是過度強調證據留存的盲點。 |
證據的留存如果是為了事後舉證,例如:證明個資的洩漏時間點,那麼個資的變化可能就是一個要被留存的記錄,像是某個客戶六年前住在台北市興隆路,五年前更改為台北市龍江街,一年前搬到新北市板橋區中山路。當洩漏到外部的資料顯示該客戶地址為興隆路,此時若有留存更改資料的歷史記錄,或許能證明該資料的外洩時間應該在五年以前,如此才能避開賠償請求(個資法損害賠償請求權時效係自損害發生時起,逾五年者而消滅)。試問多少企業真正留存客戶個資欄位的變化記錄?
盲點6、改善盲點:問題太多 從何著手?
個資法上路,聽得最多的藉口就是「千頭萬緒、不知從何著手」,確實個資保護是需要法律、管理及技術配合的高難度作業,改善之道建議從外而內,從立即、明確的違法風險改善起,未履行蒐集時的告知義務、不具備蒐集/處理合法要件及違法取得名單是最容易被告的法律風險,企業可由此先著手,再逐步擴大個資保護因應面向。
最後,僅以三管五卡來提供大家改善的建議。
- 三管:
1、 管理蒐集、處理、利用作業:建立標準作業程序,以法律檢視程序細節。
2、 管理當事人權利行使作業:確保所有當事人權利行使均有程序、表單及適當的系統或人力支援。
3、 管理適當安全維護措施:施行細則第12條的適當安全維護措施均有程序、監督過程確保以執行。
- 五卡:
1、 新蒐集前卡:新的個資蒐集行為前需要審查、核准後才執行。
2、 新利用前卡:新的個資利用行為前需要審查、核准後才執行。
3、 資料傳輸前卡:資料傳遞到企業外部前,需要審查、核准後才執行。
4、 資料庫連結前卡:含有個資的資料庫接受其他系統連結時,需審查其系統對個資保護的程度後才准予連結。
5、 出口管制卡:企業對於個人資料的利用出口(Email或簡訊),應該盡可能地集中並設立管制條件(例如黑、白名單),以確保所有利用行為均受控制。
本文作者現任職於TUViT。如您對本文有任何感想,歡迎來信交流:isnews@newera.messefrankfurt.com、 V.Huang@tuvit.de