【經濟日報╱社論】
2010.05.01 02:05 am
詐騙集團愈來愈難混了,倒不是因為轉帳金額限制等措施發酵,而是以往詐騙集團把一個人的生辰八字、身分證字號、所作所為講得清清楚楚時,民眾連想懷疑都無從懷疑起,被騙成功的機會當然很高;但現在民眾都知道,別說是詐騙集團,就算是一般人,也能透過網路人肉搜索或破解網購密碼,輕易取得他人資料,民眾已不會那麼容易上當了。但此一趨勢也使得一般民眾對無店鋪的交易行為,如電子商務、電視購物,甚至政府大力發展的雲端產業缺乏安全感,因為愈方便的資訊傳輸,也將帶來愈大的資訊外洩風險,亦更凸顯個人資料保護法於此時完成修法的意義。
立法院本周二完成個人資料保護法修正案三讀,這項法案早在四年前就送進立法院,但因民意代表及媒體是否免責等主要爭議而卡住;法務部的原版本排除了以從業「身分」別的免責規定,希望由「事」的本身來認定是否應受個資法規範,結果引起新聞自由受限的疑慮,因而在三讀時調整,通過媒體基於新聞報導的公益目的而蒐集的個人資料,以及民眾在網路使用公開活動的資料,例如在臉書張貼友人合照等都可免責。
相對於舊版的「電腦處理個人資料保護法」,新版個資法主要修法內容有三:一是「擴大適用」,將原本只適用電腦處理等「特定行業」的舊規,擴大為所有公民營事業都適用;二是「加重刑度」,將意圖營利而竊取、洩漏個資,及非法變更、刪除個人資料等行為的最高可處徒刑之罪,提高為五年,罰金也大幅增加,且此二類犯行亦由「告訴乃論」修正為「可為公訴」。
三是由著重於「事後」發生行為懲處,納入「事前」防範的規定,這也將對產業發展帶來最大的影響。個資法第27條規定,非公務機關保有個人資料檔案者,應採行適當的安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏;中央目的事業主管機關並得指定非公務機關,訂定個人資料檔案的安全維護計畫或業務終止後個人資料的處理方法;另於47條訂明罰則,若未依規辦理,主管機關可要求改正,屆期未改正者,按次處新台幣2萬元以上20萬元以下罰鍰。
目前台灣所有的行業中,資訊安全整體表現最好的是金融業,主要是為符合巴塞爾協定的相關規範,其他產業尚待提升;因而對業者的規範,除了事後的責任與處罰,規範這些業者增強環境風險的控制能力與努力,確是必須的。日本在2003年5月即通過「個人情報保護法(JPIPA)」,明訂擁有5,000筆以上個人資料的機構,必須做好預防資料外洩機制,即使沒有發生外洩事件,也可能因未做好預防而受罰,應可做為借鏡。
因此,未來中央目的事業主管機關所訂定的各行業「安全措施」規範,對於該行業資訊化的便利與發展至為重要,政府應善用此一規範,全面提升台灣的資訊安全環境,千萬不要辜負了好不容易才通過的個資法,尤其是金融、電信、醫院、保險及資訊服務相關行業更是如此;我們並建議針對敏感性相關產業的上市企業,要求須在財報揭露資安的投入、機制與事件,以供消費者及投資人參考。
此外,公務機關也保有大量的個人資料檔案,故而個資法18條明定,應指定專人辦理安全維護事項;但我們認為這是不夠的,政府應要求設置資安主管,且既是專人就不能是兼職。過去研究顯示,有無資安主管及專人專職,對資安事件的發生頻率有著顯著的影響。因此,個資法通過只是第一步,能否展現預期效益,端看政府主事者的認知與決心。
立法院三讀通過「個人資料保護法」
張貼時間:2010/4/29 下午 02:31:18 資料來源:法務部
法務部所擬電腦處理個人資料保護法修正草案(修正後名稱為「個人資料保護法」),立法院業於27日三讀通過。本法自92年12月29日陳報行政院核轉立法院審議,歷經多年來審查、協商及立法院「屆期不續審」再重報,終於三讀通過,使本法在保障個人資料隱私並兼顧新聞自由平衡下邁向新的里程碑。新法強化了個人資料揭露、查詢及更正等的自主控制,同時新法也採認「亞太經濟合作論壇(APEC)隱私保護綱領」所揭示的預防損害、告知、蒐集限制等原則納入規範,以迎接個人資料保護全球化時代的來臨。各目的事業主管機關均應積極履行法定監督職責,以確實防制個人資料之外洩,與人民共同織起個人資料保護網絡,打造一個安全、安心與信賴的資訊生活環境。本次修正重點如下:
一、保護客體與適用主體的擴大
本次修正主軸在於擴大保護客體為所有個人資料(包含電腦處理及人工紙本的個人資料),以及打破行業別限制,包括所有的法人、團體及個人對個人資料之蒐集、處理與利用均受規範,填補舊法對於個人資料保護不足的缺口,對於憲法保障個人資訊隱私權之目標,向前邁進一大步。
二、隱私保護與新聞自由之平衡
本法乃個人資料保護之基本法律,惟新聞自由的尊重,乃現代民主國家的重要表徵,為期兼顧「個人隱私」與「新聞自由」之平衡,對於大眾傳播業者基於新聞報導之公益目的而蒐集個人資料,自得免為告知當事人;另外,與公共利益有關或個人資料取自於一般可得之來源者,非公務機關對個人資料亦得為蒐集或處理。
三、民眾網路使用行為疑慮之釐清
有關臉書、部落格等張貼有他人合影的照片行為,如屬社交活動或家庭生活之目的範圍內,依新修正通過之個資法第51條第1項規定可排除本法適用,回歸民法適用。另外,對於在公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料,基於便利性及合照本身之共同使用合法目的亦甚明確,故亦排除在本法之適用範圍外。有關人肉搜索行為等,如非屬個資法第51條第1項社交活動或家庭生活之目的範圍內,仍應依第19條及第20條規定為蒐集、處理或利用;如屬公共利益有關或個人資料取自於一般可得之來源,則均屬合乎個資法蒐集或處理個人資料之規定。
四、民、刑事及行政責任的加重及提高
修法的另一個重點,在於調整民事、刑事與行政罰責任內涵,同一事件民事損害賠償最高總額提高至新臺幣2 億元,被害人不易或不能證明其實際損害額時,得請求法院依侵害情節以新臺幣5百元以上2萬元以下計算,且為方便當事人提起救濟,新法增加團體訴訟機制。刑事責任主要對於意圖營利之違法行為,提高刑責至5年以下有期徒
刑得併科新臺幣1百萬元以下罰金,並改為非告訴乃論。行政裁罰部分,則提高罰鍰額度。
五、特種個人資料蒐集限制等其他重要修正
有關醫療、基因、犯罪前科等個人資料之保護上,必須在符合法律明文規定的嚴格要件下,始得蒐集、處理或利用該等敏感性資料。新法對於當事人之書面同意,有明確之定義,且未來直接或間接蒐集個人資料前,原則上須盡到對當事人之「告知義務」。個人資料一旦外洩,資料保有者依法須查明後通知當事人,以防止損害擴大。另外,各行業有利用個人資料首次行銷時,新法賦予當事人表示拒絕接受行銷之權利,且各行業應提供表示拒絕接受行銷之方式並支付所需費用。由於新法擴大非公務機關之適用範圍,故在行政管理上亦相對提高其監督密度。
透由本次修正之相關報導,已達到個資法深入社會各界並廣為週知之宣導效果,相信未來本法在推動上當能更為順暢。法務部亦將於近期內成立個人資料保護法與政府資訊公開法小組,積極推動保護隱私與政府資訊公開透明,也期盼各相關機關及目的事業主管機關能體認個人資料保護法修正意旨,積極辦理相關事務,以建構保障人權與陽光民主政府的基石。