有鑑於個人隱私的侵害難以透過事後回復來彌補,加上進入數位時代後,個人資料得以大量蒐集、處理與利用,造成個人隱私極大的威脅。因此,我國自民國84年8月11日公布實施「電腦處理個人資料保護法」,讓原本僅能透過事後民事求償或刑事懲處方式的個人資料保護,拉到事前的安全管理,以有效降低個人資料受侵害的風險。但是民國84年「電腦處理個人資料保護法」之適用範圍以及規範密度,在科技日新月異的潮流下,「電腦處理個人資料保護法」在保護個人資料之權益時,仍有捉襟見肘之感。因此,在經過十餘年後,我國在度於民國99年修正通過「個人資料保護法」,將個人資料保護的範圍擴及所有的個人資料蒐集、處理與利用,並且增修整體的管理模式,以保護個人資料。但是,在99年「個人資料保護法」施行後,學術、產業界分別反應該法的部分條文規定相對嚴格並且窒礙難行,如果逕行施行對民眾及社會將會帶來許多的衝擊。因此,分別針對99年「個人資料保護法」第六條有關特種個人資料之蒐集、處理及利用規定,及第五十四條有關修正施行前非由當事人本人提供個人資料之補行告知規定皆暫緩施行。之後,法務部針對各界的意見,以須優先處理之「個人資料保護法」部分條文進行修正,並於去年(104)年12月30日經總統公布,於今年(105)3月15日施行。本文將針對105年「個人資料保護法」的相關重大修正內容分述如後。
一、 特種個人資料之修訂
自99年「個人資料保護法」通過施行以後,雖然第六條之規定暫緩施行,然社會大眾仍對於病歷被排除於特種個人資料以外,尤其是醫療資訊並不包含病歷,導致病歷適用一般個人資料的規定,引起相當大的疑慮與爭論。為了解決相關的爭議,105年「個人資料保護法」特別明文增訂病歷與原定之醫療、基因、性生活、健康檢查、犯罪前科同列為特種個人資料之範疇,以消除原有之爭議;另原99年「個人資料保護法」在第六條規定,縱使當事人書面同意蒐集、處理或利用其特種個人資料,若未依據第六條第一項一到五款之規定,即屬於違法之蒐集、處理或利用,因此造成實務運作上之障礙;鑑此,此次修法在尊重當事人之個人資料自主決定權的前提下,增列特種個人資料得經當事人書面同意蒐集、處理或利用;除此之外,同時增訂為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內得蒐集、處理或利用特種資料,使公務機關執行法定職務或非公務機關履行法定義務時,如有請求其他相關單位協助提供特種資料之必要時有法所依循,例如健保資料庫之爭議,藉此解決本法修正前實務難以運作並遵循之困境。
二、 放寬資料主體同意的形式
由於資訊社會的演進已成為人類發展不可逆的過程,包括智慧聯網、電子商務等相關科技應用深深影響現代人的生活,鑑此,99年「個人資料保護法」所規範的書面同意,似已無法呼應當今社會潮流與科技之進步,因此在105年「個人資料保護法」將現行一般個人資料蒐集、處理及利用之「書面同意」修正為「同意」,分別於105年「個人資料保護法」第七條、第十五條、第十六條、第十九條及第二十條進行修正,不再侷限以書面方式為之。
三、 減少刑事處罰的範圍
有鑑於如果非意圖為自己或第三人不法之利益或損害他人之利益,而違反「個人資料保護法」之相關規定,因該行為的責難程度較低,經過廣泛之意見討論,認原則透過民事損害賠償、或處以行政罰已足夠達到「個人資料保護法」所欲保護的法益效果,因此在105年「個人資料保護法」第四十一條及第四十五條,將此部分之刑事處罰刪除。
四、 告知期限之修正
99年「個人資料保護法」第五十四條,原針對舊法時期間接蒐集之個資,應於1年內完成告知,在105年「個人資料保護法」修正為蒐集者於新法修正施行後為處理或利用者,應於處理或利用前,依本法第九條規定向資料主體,也就是當事人進行告知。
我國從民國84年8月11日公布實施「電腦處理個人資料保護法」,開啟了我國對於個人資料保護之先河。在該法施行後,歷經與各方討論與協商,決定擴大個人資料保護的範圍,並且加強相關蒐集、處理或利用的管制,因此在99年5月26日修正公布「個人資料保護法」。本次105年「個人資料保護法」的修訂並未對原有的99年「個人資料保護法」架構有重大的變動,這一次的修訂主要是要回應社會大眾對於舊法的疑義,主要在於將病歷納入特種個人資料的範疇,並且將間接蒐集完成告知的期限改為於處理或利用前。但隨著巨量資料的應用益趨蓬勃,許多與個人資料去識別化的運用與再識別的處理等相關個資議題,引起廣泛的討論與爭議。除此之外,隨折科技的進步,為人類生活帶來更多的便利與服務,但也勢必會造成個人隱私的衝擊,如何在促進科技發展與保護個人權利中取得平衡,勢必是我國「個人資料保護法」未來必須面對的議題,預計也會是下次「個人資料保護法」修法應討論的重點之一。屆時我國「個人資料保護法」的修訂方向,將會更進一步影響產業的個人資料利用,應密切注意。
本文作者目前任職於資策會科技法律研究所專案經理一職。