新版個人資料保護法與過去有很大的不同,新法甚至首度增加團體訴訟,而且違法的罰則也加重了,企業老闆要負更大的責任。接下來,我們以60個快速帶你認識新版個人資料保護法。
1.為何需要制定新版個人資料保護法?
因舊法「電腦處理個人資料保護法」的保護範圍有限,無法符合現今社會型態,跟不上國際對於個人資料保護的潮流。不論就保障人民權利,或是在國際上與其他國家的合作往來,舊法都顯得不合時宜。
2.個人資料保護法何時開始實施?
個人資料保護法已於民國99年5月26日正式公告,「個人資料保護法施行細則草案」也於民國100年10月27日公告,但該法正式實施日期,仍待細則確定後,才公告。
3.新版個人資料保護法是全新的法律嗎?
不是,新版個人資料保護法是由舊法「電腦處理個人資料保護法」修法而來,刪除「電腦處理」字眼,擴大了保護範圍。
4.以紙本記錄的個人資料,會受到新版個資法的規範嗎?
新版個資法擴大對於個人資料的保護,不論是經由電腦處理的個人資料,或是手抄記錄的個人資料,都受到規範。
5.誰必須遵守個人資料保護法?
每一個行業、每一個人都必須遵守個資法。舊法僅適用於公務機關與特定行業,但新法已取消行業別的限制。
6.哪些個人資料是被個資法保護?
個資法所定義的個人資料,是指自然人的姓名、出生年月日、國民身分證統一編碼、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動,以及其他得以間接或直接識別該個人的資料。
7.往生者的個人資料是否受到保護?
個資法所稱的「個人」,是指擁有自主決定權的現生存自然人,因其隱私權可能受侵害,所以,往生者的個人資料不受個資法的保護。
8.個資法規範哪些個人資料的運用行為?
個資法規範個人資料蒐集、處理及利用,從資料蒐集開始,以至資料的處理、利用,整個過程都必須符合個資法的規定,確保不侵犯個人隱私權,以及合理使用個人資料。
9.何謂個人資料蒐集?
「蒐集」是指以任何方式取得個人資料,因此不論是以紙本方式記錄個人資料,或是透過網站的註冊系統蒐集,都算是在蒐集個人資料。而且即使是以非法手段蒐集個人資料,亦算是蒐集。
10.何謂個人資料處理?
「處理」是指將蒐集的個人資料建立個人資料檔案,以及對個人資料檔案所做的處理,包括資料記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
11.何謂個人資料利用?
「利用」,是指將蒐集的個人資料做「處理」以外的使用,例如將蒐集的個資做為行銷、統計調查等等。
12.任何類型的個人資料都可以蒐集嗎?
新版個資法引進「特種資料」的概念,對於敏感性資料不得蒐集,包括醫療、基因、性生活、健康檢查及犯罪前科的個人資料,都不得蒐集。在沒有法律明訂可以的前提下,要求任何人提供不得蒐集的特種資料,就會違法。
13.什麼情況下可蒐集特種資料?
符合以下事項,則可合法蒐集與使用特種資料:
1.法律明文規定。
2.公務機關執行法定職務或非公務機關履行法定義務所必要,且有適當安全維護措施。
3.當事人自行公開或其他已合法公開之個人資料。
4.公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且經一定程序所為蒐集、處理或利用之個人資料。
14.在什麼情況下蒐集個資,不受個資法規範?
目前有兩種情況下不受個資法規範:為了個人或家庭活動的目的,而蒐集、處理、利用個人資料;以及在公開場所或公開活動中所蒐集、處理、利用之未與其他個人資料結合之影音資料。
15.可依自己的需求任意蒐集或使用個人資料嗎?
不能任意蒐集或使用個人資料,蒐集個人資料必須有特定的目的,而利用個人資料的目的,也必須與蒐集的目的有合理的關聯。
16.特定目的是自己說了就算嗎?
不行,未來法務部會公布「特定目的」的項目,對於個資的蒐集、處理、利用,都不能逾越特定目的。
17.若符合特定目的,就可以蒐集個人資料了嗎?
蒐集個人資料除了要有明確的目的,不得蒐集特種資料之外,還要符合以下事項,才可以合法蒐集個資。
企業必須符合其中一個項目:
1.法律明文規定。
2.與當事人有契約或類似契約之關係。
3.當事人自行公開或其他已合法公開之個人資料。
4.學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。
5.經當事人書面同意。
6.與公共利益有關。
7.個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。
18.在國外蒐集個人資料,仍須遵守個資法規定嗎?
不論是在國內或國外,只要蒐集個資的對象是中華民國國民,在個資蒐集、處理或利用,就必須受個人資料保護法的規定。
19.蒐集個人資料時,要事先告知當事人嗎?
新版個人資料保護法增加告知義務,在蒐集個人資料時,必須先告知當事人。
20.告知當事人,需說明那些事項?
個人資料保護法第8條規定,蒐集個資時要明確告知當事人以下事項:
1.資料蒐集者的名稱,如企業或公務機關的名稱。
2.蒐集個人資料的目的。
3.所蒐集資料的類別。
4.個人資料利用的時間、地區、對象及方式。
5.當事人依個資法可行使的權利,亦即當事人對其個人資料檔案,可要求查詢、閱覽、製作複本、補充或更正資料,以及要求蒐集者停止蒐集、處理或利用,或是刪除個人資料檔案。
6.當事人可以自由選擇提供個人資料時,不提供將對其權益的影響。
21.什麼情況下可不必事先告知當事人?
有下列情況之一,可以不必告知當事人:
1.依法律規定得免告知。
2.個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。
3.告知將妨害公務機關執行法定職務。
4.告知將妨害第三人之重大利益。
5.當事人明知應告知之內容。
22.透過第三者間接取得個人資料,需要告知當事人嗎?
依照個人資料保護法第9條規定,間接由第三方取得個人資料,必須告知當事人,並說明個人資料來源。
23.間接取得個人資料時,什麼情況下可不必告知當事人?
除非有下列情況之一,可以不必告知:
1.直接自當事人蒐集個資時,可免告知的情況之一。
2.當事人自行公開或其他已合法公開的個人資料。
3.不能向當事人或其法定代理人告知。
4.基於公共利益而需要的統計,或是學術研究上有必要,而且資料須經處理過而無從識別出特定的當事人。
5.大眾傳播業者基於新聞報導公益目的而蒐集個人資料。
24.對於新法實施前已蒐集的個資,需要補告知嗎?
若是在新法實施之前,以間接方式取得的個人資料,則需要在新法實施後補行告知當事人。
25.告知只能以紙本型式的書面告知嗎?
告知可以採用書面、電話、傳真、電子文件或其他適當的方式。
26.受委託蒐集資料,也要受個資法的規範嗎?
受委託者依然要遵守個資法的規定,若委託者是公務機關,則必須遵守個資法對公務機關的規定;若委託者是非公務機關,則適用對非公務機關的規定。
27.可以任意使用所蒐集的個人資料嗎?
不行,僅能就蒐集個資的特定目的範圍內使用個人資料。例如在贈獎活動中蒐集到的個人資料,就僅能用於贈獎活動,不能做為其他用途。
28.在什麼情況下,才可將個人資料做為其他之用?
企業在以下情況下,才可以將個人資料做為原訂目的之外使用:
1.法律明文規定。
2.為增進公共利益。
3.為免除當事人之生命、身體、自由或財產上之危險。
4.為防止他人權益之重大危害。
5.公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。
6.經當事人書面同意。
29.企業利用個人資料來行銷時,必須獲得當事人的同意嗎?
企業在首次行銷時,就必須提供當事人可表達拒絕的方式,並且要支付所需要的費用。
30.消費者拒絕企業以其個資來行銷,企業可以不理會嗎?
不行,當事人表達拒絕接受行銷時,企業就必須立即停止利用個人資料行銷。
31.公務機關須要提供公眾查閱嗎?
公務機關必須在網站上公開個人資料檔案名稱、保有機關名稱及聯絡方式、個人資料檔案保有之依據及特定目的及個人資料之類別,提供公眾查閱。
32.公務機關必須有專人負責安全維護嗎?
只有公務機關保有個人資料,就必須有專人負責安全維護事項,防止個人資料被竊取、竄改、毀損、滅失與洩漏。
33.個資當事人可對其個人資料行使哪些權利?
個資當事人可要求查詢、閱覽、提供複本、對個資補充、更正、刪除,或者要求停止蒐集、處理、利用。
34.個資當事人可放棄其權利嗎?
不行,個資當事人的權利不能預先拋棄,也不能以特約限制。
35.個資當事人行使個資權利時,企業可以拒絕嗎?
只有在以下情況可以拒絕:
1.妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益。
2.妨害公務機關執行法定職務。
3.妨害該蒐集機關或第三人之重大利益。
36.企業有責維護個人資料的正確性嗎?
不論是公務機關或非公務機關,皆應維護個人資料的正確,主動或依當事人的請求更正或補充。
37.個人資料的正確性有爭議時,企業可以不理會嗎?
不行,企業必須主動或依當事人的請求,停止對個資的處理或利用。但因執行職務或業務所必須並註明其爭議,或經當事人書面同意,則不在此限。
38.當個人資料的使用目的消失後,還可以繼續使用嗎?
不行,企業必須主動或依當事人的請求,刪除、停止處理或利用該個人資料。除非是執行業務所需或經當事人書面同意,則不在此限。
39.違反個資法規定所蒐集的個資,可以繼續使用嗎?
不行,必須主動或依當事人請求,刪除、停止蒐集、處理或利用該個人資料。
40.因違反個資法而導致當事人權益受損,須告知當事人嗎?
若違反個資法規定,以致個人資料被竊取、洩漏、竄改或其他侵害,必須在查明後以適當方式告知當事人。
41.個資當事人請求查詢閱覽個人資料,企業需在時限內答覆嗎?
當事人提出查詢、閱覽、製作複本請求,企業或公務機關必須在15天內回覆。必要時可再延長15天,但需將原因以書面告知請求人。
42.個資當事人請求補充更正個人資料,企業需在時限內答覆嗎?
當事人提出補充、更正個人資料請求,企業或公務機關必須在30天內回覆。必要時可再延長30天,但需將原因以書面告知請求人。
43.針對個資當事人請求查詢個資,企業可以收工本費嗎?
可以,對於查詢、請求閱覽個人資料或製作複本,企業可酌收必要工本費。
44.企業可以跨國傳輸個人資料嗎?
可以,但有以下情況時,中央目的事業主管機關可以限制企業不得跨國傳輸:
1.涉及國家重大利益。
2.國際條約或協定有特別規定。
3.接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞。
4.以迂迴方法向第三國(地區)傳輸個人資料規避本法。
45.主管機關若認為企業有違個資法之嫌,可以進企業檢查嗎?
可以,中央目的事業主管機關或直轄市、縣(市)政府認為企業有可能違反個資法時,可隨時派員進入企業檢查,並可命令相關人員說明、配合或提供相關證明資料。
46.主管機關進企業檢查時,可以直接查扣證據嗎?
可以,對於可能是證據的個人資料或檔案,可要求所有人、持有人或保管人提出或交付,若無正當理由拒絕,則主管機關可採取對企業權益損害最少的方式,強制執行。
47.主管機關檢查時,非公務機關的其他人員也會一併進入嗎?
主管機關可率同資訊、電信或法律等專業人員共同執行檢查。不過,參與檢查的人對於他人資料有保密的義務。
48.企業對於個人資料個管,應盡到什麼責任?
企業應對個人資料採取適當的安全措施,防止個人資料被竊取、竄改、滅失或洩漏。
49.企業應採取何種適當的安全措施,才能善盡其責?
企業應採取以下措施:
1.成立管理組織,配置相當資源。
2.界定個人資料之範圍。
3.個人資料之風險評估及管理機制。
4.事故之預防、通報及應變機制。
5.個人資料蒐集、處理及利用之內部管理程序。
6.資料安全管理及人員管理。
7.認知宣導及教育訓練。
8.設備安全管理。
9.資料安全稽核機制。
10.必要之使用紀錄、軌跡資料及證據之保存。
11.個人資料安全維護之整體持續改善。
50.若公務機關違反個資法,應負什麼責任?
除非是因天災、事變或其他不可抗力之因素,公務機關違反個資法就必須負損害賠償責任。
51.若企業違反個資法,亦須負損害賠償責任嗎?
企業若能證明其無故意或過失,則不須負損害賠償責任。若無法證明,則必須負損害賠償責任。
52.若有個資侵害事件,損害賠償如何計算?
若被害人非財產上的損失,亦可請求賠償相當的金額。若名譽受到侵害,亦可請求為回復名譽的適當處分。
53.若不易證明個資侵害的實際損失,還可以求償嗎?
被害人若不易證明其實際損失金額,可請求法院依侵害情節,以每人每一事件5百元以上、2萬元以下的賠償。
54.同一個資侵害事件,最高賠償金額有上限嗎?
若同一事件造成多數當事人權利受侵害,最高可請求的賠償金額以2億元為限。但若所涉利益超過2億元,則以所涉利益為限。
55.若個人權利受侵害,請求賠償有時間限制嗎?
當事人必須在事件發生5年內提出求償,或是在知道侵害事件的2年內提出,超過時間就失效。
56.若有個資侵害事件,只能自己上法院控告嗎?
新版個人資料保護法新增團體訴訟,只要有20人以上以書面授權,就可以提起團體訴訟,由被授權的財團法人或公益社團法人代為打官司。
57.違反個資法會有刑責嗎?
若違反個資法而導致他人損害,可處2年以下有期徒刑、拘役或併科20萬元以下罰金。若是意圖營利而犯法,則可處5年以下有期徒刑,得併科100萬元以下罰金。
58.若違反個資法,只要負損害賠償責任嗎?
若是企業違反個資法,除了損害賠償,亦會處以2萬~50萬元不等的行政罰鍰。
59.若違反個資法,公司老闆也會受罰嗎?
企業負責人除非能證明已盡防止義務,不然也會一併處以相同的行政罰鍰。
60.若違反個資法涉及員工,也要負刑責嗎?
員工若違反個資法而導致他人損害,亦得負刑責,可處2年以下有期徒刑。若是意圖營利而犯法,則可處5年以下有期徒刑。
(參考資料:https://www.ithome.com.tw/article/91041)