附件
地政士因應「個人資料保護法」須知
壹、前言
「個人資料保護法」,於民國(下同)99年4月經立法院完成三讀,並授權行政院自訂施行日期。惟因部分條文有所爭議,須再經修法,對於無爭議之條文,行政院於101年10月1日已公佈實施。茲就地政士應注意的重點,特歸納整理本須知,以供各地政士執業時之因應參考。
貳、地政士同業應注意事項
一、問:「個人資料」之範圍有哪些?
答:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
二、問:個資法規範的行為有哪些?
答:有三種,即蒐集、處理、利用。
蒐集:指以任何方式取得個人資料。
處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
利用:指將蒐集之個人資料為處理以外之使用。
三、問:個資法規範的對象有哪些?地政士是否包括在內?
答:公務機關與非公務機關。地政士屬於非公務機關。
公務機關:指依法行使公權力之中央或地方機關或行政法人。
非公務機關:指前款以外之自然人、法人或其他團體。
四、問:受委託辦理不動產登記,有何應注意之處?
答:1.依據委託人提供之個人資料填寫相關申報文件,無須另經該本人同意;但若欲將該個人資料轉為其他用途,則須事前告知本人。
2.亦可仿效銀行作法,提供書面讓委託人簽寫(如附件),避免爭議。
3.委託事務終結後,即不得再行利用該個人資料。
五、問:地政士自行調閱第二類謄本,蒐集不動產資訊,有無須注意之處?
答:個資法第19條第1項第6款規定:個人資料取自於一般可得來源,仍屬合法之範疇。因此,就條文而言,尚無限制。
六、問:公會能否將會員通訊錄公開或發放給會員?
答:原則上宜有「會員之書面同意」(19條第1項第5款),以避免爭議(是否與「公共利益」有關?較容易有爭議)。
七、問:委託人發現資料有誤,能有哪些請求權利?
答:個人資料內容如有錯誤,可要求更正、補充。
八、問:個資法的主管機關為何?
答:個資法規定以「目的事業主管機關」為準。因此,有關地政士業務個資法問題之主管機關應為中央為內政部、地方為縣市政府。
九、問:違反個資法的法律責任如何?
答:民事(損害賠償責任)、刑事(最高五年以下有期徒刑)、行政責任(罰鍰)
十、問:由法務部目前公布的訊息,可知個資法除保護人格權外,仍應促進個人資料之合理利用,所以,並非無止境地限制:
答:1.學校能否張貼榮譽榜公告學生姓名?可以。
2.執行處拍賣公告,可否註明債務人姓名?可以。
3.收集社交名片,有無違反個資法?沒有。
4.郵務寄存送達通知單上,可否記載收件人姓名?可以。
(以上第貳項係由黃達元律師 研究整理)
隱私權聲明條款
個人資料保護法第八條事項受告知聲明書
立書人茲聲明貴地政士已依據個人資料保護法第八條第一項規定,以本書面將下數事項明確告知:
資料蒐集目的:為辦理不動產登記相關事務。
個人資料之類別:姓名、身分證統一編號、聯絡方式等,以留存貴地政士之立書人資料為準。
資料利用期間、地區、對象及方式:
1.期間:貴地政士因執行業務所必須之保存期間,如另有約定者,從其約定。
2.地區:貴地政士及提供業務或服務有關或得依法提供之第三方之所在地以及立書人所同意對象之所在地。
3.對象:貴地政士及與提供業務或服務有關或得依法提供之第三方以及立書人所同意之對象。
4.方式:以自動化機器或其他非自動化之利用方式。
四、立書人得依法令及貴地政士指定之方式及程序,行使下列權利:
1.得向貴地政士查詢、請求閱覽或請求製給複製本,而貴地政士得酌收必要成本費用。
2.得向貴地政士請求補充或更正,惟立書人應為適當之釋明。
3.得向貴地政士請求停止蒐集、處理或利用及請求刪除,惟貴地政士因執行業務所必須者,得不依立書人請求為之。
五、立書人知悉並瞭解,如未將申請業務或服務所需之個人資料提供予貴地政士,將無法享有貴地政士所提供之服務。
此致
○○地政士事務所
立書人:_________________________________________________(簽名或蓋章)
身分類別:1.□自然人申請人,身分證統一編號: ______________________
2.□自然人申請人_________之法定代理人/意定代理人/輔助人,身分證統一編號: ______________________
3.□法人或其他組織申請人__________之代表人或負責人,身分證統一編號: ______________________
4.□自然人、法人或其他組織申請人_____之(連帶)保證人/擔保物提供人,身分證統一編號: ______________________
5.□其他:_______________________
中華民國 年 月 日
參、地政士同業的告知義務
一、地政士業直接蒐集個人資料之告知義務:
依個人資料保護法(以下稱個資法)第8條規定,依第15條或第19條規定向當事人蒐集個人資料時,應明確告知當事人。除非1、依法律規定得免告知。2、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。3、告知將妨害公務機關執行法定職務。4、告知將妨害第三人之重大利益。5、當事人明知應告知之內容。
二、地政士業間接蒐集個人資料之告知義務:
依個資法第9條之規定依第15條或第19條規定,蒐集非由當事人提供之個人資料,應於處理或利用前,向當事人告知個人資料來源及前條第1項第1款至第5款所列事項。
三、地政士業對消費者之義務:
地政士應依消費者之請求,就其蒐集之個人資料,答覆查詢、提供閱覽或製給複製本。但有法律限制者,不在此限。地政士應維護消費者資料之正確,並應主動或依當事人之請求更正或補充之。違反個資法規定之蒐集、處理或利用消費者資料者,應主動或依消費者之請求,刪除、停止蒐集、處理或利用該個人資料。
肆、個資法與地政士業者有關的問答事項
一、問:個資法是什麼時候實施?
答:行政院宣布新版個資法正式於101年10月1日施行,除了規範特種個資的第6條,和已間接蒐集個資需1年內告知的第54條,這兩條暫緩實施以外,其餘條文如期實施,原本行政院擬取消的第41條中對非意圖營利而違法者的刑責部分,則來不及完成修法,將照常實施,換句話說,自10月1日起,任何人違反個資法都將有刑責。法務部也正式發布了個資法施行細則,共有33條,細則也將同步於10月1日實施
二、問:個資法適用範圍如何?
答:凡與個人資料之蒐集、處理及利用有關者,皆適用該法。
三、問:瞭解個資法之用詞及適用範圍為何?
答:本法用詞,定義如下:
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用等
四、問:平常使用網路暱稱或Email是屬於個資法規範的個人資料嗎?
答:網路暱稱不易識別特定的個人,依個資法第2條非屬個人資料。至於Email則若能識別特定之個人,仍可認定為個人資料。
五、問:多少筆之資料才會適用個資法?
答:無論1筆或多數筆之個人資料,皆適用個資法。
六、問:地政士業在何種狀況下,可以拒絕消費者請求查詢個資?
答:地政士業在下列情況下1、妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益。2、妨害公務機關執行法定職務。3、妨害該蒐集機關或第三人之重大利益。可以拒絕消費者請求查詢個資。
七、問:地政士業為跨國業者,在國外蒐集個資是否要遵守個資法?
答:不論在國內外,只要對本國的國民蒐集、處理或利用個資,都適用個資法。
八、問:假如某地政士業人員所持有個人資料中部分內容模糊難辨,例如:身分證號中有5個數字是以****表示,是否還會受到個資法規範?
答:否,這類部分模糊的個人資料,無法輕易識別,因此這類資料就不適用個資法。但若和其他個資搭配後而能識別,則受個資法規範。
九、問:個資法中所稱其他團體如何定義?
答:任何3個人以上所組成的團體,都要遵守個資法。一般社團所蒐集的個人保險資料、通訊資料,都要遵守個資法的規範。
十、問:請問個資法的主管機關為何?
答:每個行業的目的事業主管機關就是個資法主管機關,若牽涉到多個主管機關或者主管機關不明時,則經由公務機關的協調聯繫機制決定如何共同執行或由誰主管監督,若無法決定則由行政院決定。
十一、問:若個人要求地政士業者刪除個人資料,但因另有法律規定要求地政士業者保存時,該如何處理?
答:個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者,不在此限。
十二、問:地政士保有個人資料遭違法侵害,應如何處理?
答:地政士若違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。
十三、問:假如某地政士業者受權利人要求查詢、瀏覽或複製的請求,地政士業者必須多快回應個人提出的個資處理請求?
答:對於個人要求查詢、瀏覽或複製的請求,地政士業必須在15天內決定是否同意,若要拒絕得書面說明理由,前項延長至多可再延長15天。若是請求補充或更正,則可在30天內答覆,至多再延長30天。
十四、問:地政士業者可以任意自定蒐集或處理資料的目的嗎?
答:否,法務部擬與各事業目的主管機關訂定新的特定目的項目,企業必須從中選擇其中一項或多項作為資料蒐集目的。地政士蒐集個資時不能踰越所選定的特定目的範圍。
十五、問:若有當事人投訴地政士業侵犯個資時,地政士業是否需負舉證責任,證明自己確實遵守個資法的規範?
答:是,若當事人投訴地政士業侵犯個資時,地政士業依個資法規定,必須舉證自己盡到保護個人資料的義務,才能免責。
十六、問:地政士業者平常若使用二類謄本取得客戶資訊,有無義務告知客戶取得資料之方式?
答:若涉及個人資料之蒐集、處理及利用,仍有該項告知之義務。
十七、問:我是一位地政士業人員想直接對當事人蒐集個資時,到底有哪些情況不用告知?
答:依個資法第8條之規定,有下列情況得免為告知:1、依法律規定得免告知。2、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。3、告知將妨害公務機關執行法定職務。4、告知將妨害第三人之重大利益。5、當事人明知應告知之內容。
十八、問:地政士業搜集非由當事人提供之個資,何種情況之下得不用告知當事人?
答:地政士業在下列情況,得不用告知當事人:1、當事人自行公開或其他已合法公開之個人資料。2、不能向當事人或其法定代理人為告知。3、基於公共利益為統計或學術研究之目的而有必要,且該資料須經提供者處理後或蒐集者依其揭露方式,無從識別特定當事人者為限。4、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。
十九、問:地政士業若不是直接向當事人蒐集個資,仍舊需要告知當事人嗎?
答:依據個資法第10條規定,即使不是向當事人蒐集個人資料,仍有告知當事人之義務,只有在法定情況之下才免告知。
二十、問:個資法要求企業直接對當事人蒐集個資前,要先告知當事人,地政士業可以透過哪些方式告知?
答:告知方式不拘,例如:電話通知、簡訊、電子郵件、書面通知皆可,通知時最好保留記錄,以便舉證。
二十一、問:地政士業人員向當事人蒐集個人資料時,要告知哪些事項呢?
答:向當事人蒐集個人資料時,應明確告知當事人蒐集機關名稱、蒐集目的、資料類別、利用方式、當事人之權利,以及不提供將對其權益之影響等相關事項。
二十二、問:地政士業人員或地政士業合法公開在網路上的資料是否可以蒐集?
答:凡是當事人合法公開,或者是其他合法管道公開的資料,地政士業者或人員就能蒐集利用,但是必須確認這些資料來源的合法性。
二十三、問:為了省時方便,當事人書面同意可以透過電子文件方式進行嗎?
答:個資法第十五條第二款及第十九條第五款所稱書面同意,指當事人經蒐集者告知本法所定應告知事項後,所為允許之書面意思表示。第十六條第七款、第二十條第一項第六款所稱書面同意,指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之書面意思表示。書面的定義,在未有統一見解之前,建議以文書同意較有保障,但若能舉證有電子文件方式同意,並非皆無被採納之可能。
二十四、問:地政士因為疏忽發生個資損害時,請當事人求償的時效多久?
答:當事人必須在事件發生5年內提出求償,或者當事人知道損害事件後,在2年內要提出,超過時間就不能再請求賠償。
二十五、問:請問不慎發生個資損害時(如被駭客入侵而招致竊取、竄改、毀損、滅失洩漏),要賠償多少金額?
答:若損害金額不易估算時,每人每一件可賠償新台幣(下同)500~20,000元,最高2億元賠償。涉及利益超過2億元時,就按實際利益計算。所以地政士業者,如不慎因駭客侵入致生資料外洩,該受害人是可以向地政士業求償,最高金額可達2億元。
二十六、問:個資法會處罰地政士業的老闆嗎?
答:地政士業違反個資法第46、47和48條的行政罰鍰時,如果老闆無法證明自己努力盡到防止義務,就會被處以相同額度的罰鍰。行政罰鍰從2萬~50萬元不等。
二十七、問:地政士業如違反個資法時,身為地政士業者的老闆會被判刑嗎?
答:若地政士業違反個資法而導致顧客損失時,企業主必須面對最高2年以下的有期徒刑。若老闆為了營利而違反個資法時,刑期還會加重到最高5年以下有期徒刑。
二十八、問:地政士業者使用購買名單自大樓管理員或從管理委員會私下取得名單是否觸法?
答:是的,凡是當事人合法公開,或者是其他合法管道公開的資料,地政士業者就能蒐集利用,對於私下非正式管道取得個人資料在未經當事人書面同意而擅自使用,不宜採用,一但當事人發現而認受有損害時,得向法院請求賠償,賠償金額不易計算時得以每人每一件可求償500~20,000元,最高2億元賠償。涉及利益超過2億時,就按實際利益計算,不可不慎。
二十九、問:地政士業者現今持有個人資料是否需要遵守個資法?
答:地政士業者在個資法施行前蒐集的個人資料庫,若非由當事人提供,就必須在個資法實施後1年內告知當事人,讓對方知道企業擁有他的個人資料。告知後才能繼續利用他的個人資料,故地政士業者如有未經當事人書面同意而蒐集建立個人資料庫應於個資法實施『1年內』告知當事人。
三十、問:觸犯個資法之罪,是否為告訴乃論?
答:本章之罪,須告訴乃論。但犯第四十一條第二項之罪者,或對公務機關犯第四十二條之罪者,不在此限。
(以上第參、肆項係由張曼隆律師 研究整理)
伍、個資法適用對象、區域、保護客體及範圍
一、適用對象:個人資料保護法於修正前之電腦處理個人資料保護法時期,適用對象係以公務機關與非公務機關為限,就非公務機關而言,係指「徵信業及以蒐集或電腦處理個人資料為主要業務之團體或個人」、「醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業」、「其他經法務部會同中央目的事業主管機關指定之事業、團體或個人」,然而,適用對象範圍過於狹窄,於此次修法時,則大幅擴張適用對象,就非公務機關而言,係指公務機關以外之自然人、法人或其他團體,亦即不論是自然人、法人或任何事業體,均受個人資料保護法之規範。
二、適用區域:為實現憲法保障隱私權之意旨,維護個人人格權之保障,個人資料保護法之適用區域,除我國人民於境內之個人資料之使用外,不論係「外國人於我國境內對個人資料之使用」、「我國人民於我國境外對我國人民個人資料之使用」或「外國人於我國境外對我國人民個人資料之使用」,均受個人資料保護法之規範,以達周延保護個人資料之立法目的。
三、保護客體:個人資料保護法於修正前之電腦處理個人資料保護法時期,保護之客體僅限於以電腦處理之個人資料,至於以紙本製作之個人資料,則不受該法之規範,其保護客體範圍亦過於狹窄,該法自施行以來,少有適用之機會;因此,此次修正時,大幅擴張保護客體之範圍,不論係「系統建立而得以自動化機器製作、整理之個人資料」或「其他非自動化方式製作、整理之個人資料」均受到個人資料保護法之保護。
四、保護範圍:就個人資料保護法之保護範圍而言,即指應受規範之個人資料,除依個人資料保護法第2條第1款規定之各種列舉之個人資料外,尚且包含「其他得以直接或間接方式識別該個人之資料」,如某一資料尚無法識別為特定之個人所有,原則上仍無適用之餘地,惟如此一資料與其他資料相互對照得以識別為特定之個人所有,仍有適用個人資料保護法,而應遵循各該規定之可能。
陸、個資法規範的個人資料區分類別
一、一般資料:所謂一般資料,即是指「指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、聯絡方式、財務情況、社會活動」等資料,此等資料,原則上只要符合「特定目的與其必要範圍」、「正當合理關聯」等要件,皆可以為「蒐集、處理或利用」等行為。
不論是政府機關、民間企業甚至個人,蒐集處理利用個人資料時,都會有一個目的之存在,簡而言之就是「為何要蒐集利用這些一般民眾之個人資料」,如果民眾之個人資料與前述之目的無關,就不得蒐集、處理或利用,否則即是「逾越特定目的之必要範圍」。如警察機關蒐集犯罪嫌疑人之個人資料,其目的即屬「犯罪預防、刑事偵查、執行、矯正、保護處分或更生保護事務」,如與前述目的無關之個人資料,警察機關即不得蒐集。
二、特種資料:所謂特種資料是指「醫療、基因、性生活、健康檢查及犯罪前科」等資料,特種資料是屬於性質較為特殊,或是具有敏感性之資料,如果與一般資料相同而可以任意蒐集、處理或利用,恐怕會造成當事人極大之傷害,外國立法例中如歐盟資料保護綱領即有規定,其會員國應禁止特種資料之處理,德國聯邦個人資料保護法亦有相關之規定。故特種資料原則上不得「蒐集、處理或利用」,只有在符合「法定列舉之例外情況」下,始得於要件限制之範圍內為各種之行為。然而,本條規定仍有爭議,目前尚未施行。
三、其他資料:所謂其他資料係指「其他得以直接或間接方式識別該個人之資料」,其他資料之規定,是為了避免保護不周,特別以概括方式規定,只要該資料得以直接或間接之方式,識別當事人是為何人,該等資料即屬須受個人資料保護法規範之個人資料,其性質亦依個人資料之種類,分別適用一般資料或特種資料之規定。
柒、個資法規範的行為態樣
一、蒐集:由於蒐集個人資料之方式種類繁多,有直接向當事人詢問,有間接向第三人取得,亦有從網路、其他機構或其他建檔資料中搜尋取得,故為落實保護個人資料隱私權,而將「蒐集」重新定義為以「任何方式」取得個人資料,只要是為了取得個人資料之行為,不論是以何種方式,均屬於蒐集。
二、處理:處理是以「建立或利用個人資料檔案」為目的,而為各種針對個人資料之製作或其他使用,其中,個人資料之處理,與「個人資料檔案」息息相關,依個人資料保護法第2條第2款規定:「個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。」,個人資料檔案已非如舊法時代限於「儲存於電磁紀錄物或其他類似媒體」,而是包含了「自動化機器」如電腦,及「其他非自動化方式」如檔案室、檔案夾等,因此個人資料檔案之製作不限於以電腦處理,縱使是以人工記載於紙本之上也是。
執此之故,個人資料之處理,也不限於以電腦為之,條文規定之種種行為態樣,雖然多數都是須以電腦作業,但亦可以電腦作業以外之方式,來進行個人資料之處理。總而言之,個人資料之處理,實際上是針對蒐集取得之個人資料,為建立或利用個人資料檔案,而為之初步製作或其他檔案建立之使用。
三、利用:在舊法中對於「利用」之定義,是指「將保有之個人資料檔案為內部使用或提供當事人以外之第三人」,然而直接對當事人本人使用其個人資料,是否屬於「利用」之行為,如銀行直接對存款戶從事行銷行為,即有相當大之爭議,況且利用之型態眾多,如僅以列舉方式限定於「內部使用」或「提供當事人以外之第三人」,不免有掛一漏萬之嫌,因此新法則改以明示排除之方式為概括規定,只要是「處理以外之使用」均屬於「利用」之行為。
四、國際傳輸:國際傳輸實際上即是指跨國(境)之個人資料處理或利用,只要是將個人資料作跨國(境)之傳輸,不論是「利用」或「處理」,如台灣總公司將員工個人資料傳送至美國分公司,即是屬於「國際傳輸」行為。
捌、個資法規範應遵循的各種行為
一、蒐集與處理:依個人資料保護法第19條之規定,非公務機關對於個人資料之蒐集與處理,應有特定目的及各款法定事由之ㄧ始得為之;而對個人資料之蒐集,依個人資料保護法第8條、第9條規定,資料蒐集者應對當事人盡告知義務;因此,就個人資料之蒐集與處理,其行為規範如下:
1.確定蒐集、處理個人資料之「特定目的」及「法定事由」:依個人資料保護法第19條規定,蒐集或處理個人資料應有特定目的及法定事由。
特定目的部分:應參照法務部會同主管機關所發布之「個人資料保護法之特定目的及個人資料之類別」,其中可能與地政士相關的有「004土地行政」、「007不動產服務」、「071建築管理、都市更新、國民住宅事務」等,但不限於前述三種特定目的,如有其他業務,仍應參照前揭規範,以確定蒐集個人資料之特定目的。
法定事由部分:依個人資料保護法第19條規定有:「法律明文規定」、「與當事人有契約或類似契約之關係」、「當事人自行公開或其他已合法公開之個人資料」、「學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人」、「經當事人書面同意」、「與公共利益有關」、「個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限」等,地政士受當事人委託辦理地政事務時,與當事人間具有一定之契約關係,就當事人個人資料之蒐集與處理,得以「與當事人有契約或類似契約之關係」為法定事由,惟所蒐集之個人資料應與特定目的與法定事由具有合理之關聯;至於其他可能適用之法定事由,如依地政士法規定製作業務紀錄簿,則應屬「法律明文規定」;如不符合其他法定事由時,則應以履行告知義務後,「經當事人書面同意」而蒐集或處理,始為適法。
2.履行告知義務:資料蒐集者直接向當事人蒐集個人資料時,依個人資料保護法第8條規定,應明確告知當事人下列事項:「公務機關或非公務機關名稱」、「蒐集之目的」、「個人資料之類別」、「個人資料利用之期間、地區、對象及方式」、「當事人依第三條規定得行使之權利及方式」、「當事人得自由選擇提供個人資料時,不提供將對其權益之影響」。
如資料蒐集者係蒐集非由當事人提供之個人資料時,應於處理或利用前,向當事人告知下列事項:「資料來源」、「公務機關或非公務機關名稱」、「蒐集之目的」、「個人資料之類別」、「個人資料利用之期間、地區、對象及方式」、「當事人依第三條規定得行使之權利及方式」,至於個人資料之類別可參照前揭「個人資料保護法之特定目的及個人資料之類別」之規定。
另外,就告知之方式,依個人資料保護法施行細則第16條規定「得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之」。
二、利用:非公務機關對於蒐集取得之個人資料之利用,依個人資料保護法第20條之規定,原則上,應於特定目的必要範圍內為之;非公務機關欲為特定目的以外之利用時,依個人資料保護法之規定,須有下列情形之ㄧ始得為之:「法律明文規定」、「為增進公共利益」、「為免除當事人之生命、身體、自由或財產上之危險」、「為防止他人權益之重大危害」、「公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人」、「經當事人書面同意」。此外,如欲以「經當事人書面同意」為法定事由而為特定目的以外之使用時,另須依個人資料保護法第7條第2項之規定,明確告知「特定目的外之其他利用目的、範圍及同意與否對其權益之影響」後,取得當事人單獨所為之書面同意始得為之。
三、國際傳輸:個人資料保護法原則上對於國際傳輸並無限制,僅規定如非公務機關所為國際傳輸行為有「涉及國家重大利益」、「國際條約或協定有特別規定」、「接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞」等情形時,中央目的事業主管機關得限制之。
玖、個資法規範非公務機關的義務
一、安全維護義務:基於對於個人資料安全之維護、保障個人隱私權及促進個人資料妥善而有效之利用,個人資料保護法允許非公務機關得於符合要件之情況下,得蒐集、處理或利用個人資料,然而,資料蒐集處理者對於其所蒐集、持有之個人資料,自然須負一定之安全維護義務,以確保當事人之隱私權不受侵害。因此,個人資料保護法第27條規定非公務機關,對於其所保有之個人資料檔案,應採行適當之安全措施,以防止個人資料被竊取、竄改、毀損、滅失或洩漏。
然而,由於非公務機關所採行之安全措施是否「適當」,本屬不確定法律概念,其所採取之措施是否足以保護個人資料不受侵害,難以一概而論,原則上,非公務機關得依個人資料保護法施行細則第12條之規定,就下列事項採行技術上及組織上之措施:「配置管理之人員及相當資源」、「界定個人資料之範圍」、「個人資料之風險評估及管理機制」、「事故之預防、通報及應變機制」、「個人資料蒐集、處理及利用之內部管理程序」、「資料安全管理及人員管理」、「認知宣導及教育訓練」、「設備安全管理」、「資料安全稽核機制」、「使用紀錄、軌跡資料及證據保存」、「個人資料安全維護之整體持續改善」,並以與所欲達成之個人資料保護目的間,具有適當比例為原則。
二、個人資料外洩通知義務:依本法第十八條及第二十七條之規定,資料蒐集者對所蒐集的個人資料有安全維護義務,防止資料被竊取、洩漏、竄改,惟當事人就其個人資料是否遭受不法侵害,往往無法得知,更不能及時採取預防措施或為有效之補救,是以本法特別規定資料蒐集者或持有者就其所蒐集或持有之個人資料,如被竊取、洩漏、竄改或遭其他侵害時,應於查明後以適當方式通知當事人,至於通知方式,依個人資料保護法施行細則第22條規定,係指「即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之」。但需費過鉅者,「得斟酌技術之可行性及當事人隱私之保護,以網際網路、新聞媒體或其他適當公開方式為之。」。而非公務機關所為通知之內容則應包含「個人資料被侵害之事實」及「已採取之因應措施」。
拾、個資法規範的當事人權利:當事人針對其個人資料遭蒐集、處理或利用時,依本法之規定得有查詢、閱覽、製給複製本、補充更正、停止行為、請求刪除等權利,使當事人得進一步了解其個人資料遭蒐集、處理或利用之情況,並得針對該資料有所主張。而且,最重要的是,此等權利不得「預先拋棄」或「以特約限制」。
一、查詢、閱覽及製給複製本:第3條明文規定當事人就其個人資料有查詢或請求閱覽及至給複製本等權利,而且不得預先拋棄或以特約限制,故依此規定,不論公務機關或是非公務機關,於遭受當事人請求時,自當依其請求之意旨,就蒐集之個人資料,答覆查詢、提供閱覽或製給複製本等,用以確保當事人個人自主控制個人資料之資訊自決權。然而,此一規定亦非無例外,依本條但書之規定,如有「妨害國家安全、外交及軍事機密、整體經濟利益或國家重大利益」,或有「妨害公務機關執行法定職務」,或有「妨害該蒐集機關或第三人之重大利益」時,資料蒐集者或持有者,得依法拒絕當事人行使其權利。
此外,如公務機關或非公務機關,經個人資料之當事人依法請求查詢、閱覽或製給複製本時,受請求者應於「十五日」內為准駁之決定;必要時,仍得延長,為其延長之期間,仍不得超過「十五日」,並應將延長之原因以書面通知當事人。因此如公務機關或非公務機關受當事人之請求時,至多應於「三十日」內,即須為准駁之決定,且查詢、閱覽或製給複製本之請求,並得酌收必要成本費用。
二、更正、補充:公務機關或非公務機關,就其所蒐集之個人資料,有維護其正確性之義務,不正確之個人資料,就其處理或利用,將對當事人造成遠比侵害隱私權更大之傷害,因此,資料蒐集者應對其所持有個人資料檔案,隨時主動檢查,並確認其正確性,如有不正確或應補充之處,應立刻更正或補充,以求個人資料之正確,進而為護當事人之權益,如當事人發現其個人資料有誤或不完整時,亦得請求資料蒐集者更正或補充之。
因此本法第十一條爰為相關之規定,公務機關或非公務機關應維護個人資料之正確性,並應主動或依當事人之請求更正或補充之;如個人資料正確性有爭議者,應主動或依當事人之請求停止處理或利用;如個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料;如有違反本法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求,刪除、停止蒐集、處理或利用該個人資料;此外,如有可歸責之事由,未為個人資料之更正或補充時,應於更正或補充後,通知曾提供利用之對象。
三、停止蒐集、處理、利用及刪除:當事人就其個人資料及隱私權,應有得以其自主之意思,自行控制其個人資料之資訊自決權,因此如其個人資料遭公務機關或非公務機關為蒐集、處理或利用時,基於當事人資訊自決權之維護,自當使當事人得決定是否允許資料蒐集者繼續為蒐集、處理或利用之行為,如不欲使資料蒐集者繼續保留其個人資料,並得請求刪除之。惟如非公務機關另有法律規定應保存該個人資料時,就當事人刪除其個人資料之請求,則得拒絕並依法律之規定為個人資料之蒐集、處理或利用。
(以上第伍、陸、柒、捌、玖、拾項係由鄒純忻律師 研究整理)
備註:
本須知係由本會委請法律諮詢委員:黃律師達元、張律師曼隆、鄒律師純忻等三位所義務精心研究整理而成,以供各地政士業者因應參考,特此謹向其致上最高敬意。
第