必知!一定要懂的個資法,讓您面對個資不觸法!
◎藉由Q&A清楚明白組織和個人在個資法中扮演的角色!
◎透過淺顯易懂的說明,搞懂個資法輕而易舉!
我國「個人資料保護法」係以「人格隱私權」概念中之「個人資料保障」為出發點,規範個人資料之蒐集、處理、合理利用、告知義務等程序事項;以及個人資料之當事人權利維護等實體事項。本書以我國「個人資料保護法」之整體架構為脈絡,因應「個人資料保護法」最新修正條文,更新《個資保護1.0》相關法規內容說明,並新增個資保護國際概況掃描以及臺灣個人資料保護與管理制度(TPIPAS)章節,透過深入淺出的內容說明個人資料保護與管理,搭配相關函釋及案例說明,使國內個人資料保護工作者更快速、清楚認識如何維護權益及遵循法律。
|
※推薦文
思索不同國家或地區個人資料保護法制形成之時空背景,大多因自動化資訊科技發達,個人資料經蒐集而處理後,可迅速進行各種利用,甚至易於搜尋比對,方便提供予第三方,包含傳輸至第三國或地區,所以在兼顧個資保護與合理流通兩大目的下,國際間陸續形成相關個人資料保護之指南、公約及各國法制。
我國亦不自外於國際趨勢,參酌外國立法例,於1995年8月11日制定施行第一部綜合性個人資料保護法制—電腦處理個人資料保護法,但對個人自主控制個人資料之資訊隱私權內涵論述,至2005年9月28日司法院釋字第603號解釋文公布後,始一窺堂奧,這印證了我國繼受外國個人資料保護概念與本土法治社會結合過程,需要時間逐漸適應,始能將國際間常見之個資保護架構與原則運用,內化成我們生活的一部分。
然科技發展一日千里,更多個資保護議題層出不窮,嗣後上開法律更名為個人資料保護法,歷經2012年及2015年之修正,持續繼受最新外國法制之精華,形成更多專業術語及概念,更需要用淺顯之論述方式,讓國內各界人士能掌握瞭解個人資料保護法之理論與實務。
張瑞星所長是我多年認識的前輩,欣聞其領導之財團法人資訊工業策進會科技法律研究所,撰述「個資保護2.0」專書,以問答之方式,串接個人資料保護法之適用體系及重要議題,並介紹個資保護國際概況及臺灣個人資料保護與管理制度(TPIPAS),提供讀者快速認識國內外個人資料保護法制之全貌。研究觀點或許見仁見智,但鼓勵專業研究團體朝此方向努力,值得讚許,故為序以表支持。
國家發展委員會法制協調中心參事 李世德
在資訊全球化、產業科技化的趨勢浪潮下,我國產業須積極面對的個資保護風險不僅止於國內法令要求,國際法遵規範的衝擊影響,亦難置身事外。去(2018)年5月25日正式施行的歐盟一般資料保護規則(General Data Protection Regulation, GDPR),歐盟各成員國之隱私執法機關大刀闊斧展開執法,近年來受理近28萬餘件當事人申訴與個資外洩事件,並作成眾多指標裁罰案件,如:Google因未有效取得當事人同意、違反透明原則(transparency principle)及告知義務等,遭法國主管機關CNIL裁罰五千萬歐元、Facebook劍橋分析個資外洩案、跨國酒店集團萬豪(Marriott International)三億餘位客戶個資外洩案等,均屬是例。
我國個人資料保護法自民國101年10月1日施行以來,迭經修正,迄已七年餘。綜觀公務機關與部分非公務機關,對於如何透過個人資料管理制度(PIMS)之建置、維運及內稽控制,俾使業務流程中之各行為符合法令要求,雖已漸具相當觀念;惟就如何確保個人資料蒐集、處理及利用等個資全生命週期流程適法性,以及安全維護措施之具體落實與缺失的矯正、改善和預防等,則仍有待精進與強化。
財團法人資訊工業策進會科技法律研究所肩負科技與產業政策法制智庫、產業共通性制度推手的重要任務。本所自創立以來,始終秉持法律專業,奠基精深研究基礎,進而結合實務需求,提供各界法遵與管理最佳解決方案。本書非常適合個資、隱私保護研究領域人士與實務工作者參考,其內容除提綱挈領,透過重點問題意識的方式呈現,更輔以法令主管機關重要函釋與經典實務案例,對於一窺我國個資法全貌,可收事半功倍之效!非常感謝各界對於初版時的支持與斧正,另值此再版之際,特併予向歷年採用本書為法律相關課程教科書之全國大專校院老師,致上由衷謝忱!也希冀能蒙各界先進不棄,繼續給予支持與賜正。
財團法人資訊工業策進會科技法律研究所所長 張瑞星
|
財團法人資訊工業策進會
科技法律研究所
為明日科技鋪軌 替未來趨勢導航
科技的奔馳,需要優質法制環境之營造。
1989年,資訊工業策進會在資訊市場情報中心之下,正式編制「資訊法律研究小組」,協助資訊產業掌握全球脈動,追求卓越的國際競爭力。1996年,在經濟部科技專案支持之下,研究團隊轉型成為獨立編制的「科技法律中心」(Science & Technology Law Center),並於2011年起更名為「科技法律研究所」(Science & Technology Law Institute),以承先啟後開拓創新之精神在瞬息萬變的科技洪流中,引領科技產業走向另一波高峰。
承諾與執著
自誕生之日起,科技法律研究所即肩負科技及產業政策法制智庫、產業共通性法律制度推手的重責大任。面對資訊化、科技化及全球化的強勢挑戰,本所堅持以精深的法律專業提供務實的解決方案,除了提供本會所需之法律事務服務外,多年來更是持續協助政府打造優質的科技與新興產業發展法制環境,引領我國接軌國際、布局全球。
為將法制策略能力轉化為影響世界版圖的嶄新行動,未來本所規劃延伸專業觸角,擴大國際交流與合作的範圍,承諾讓本所不僅成為科技與法律的匯集點,更要成為促進臺灣與世界連結的標竿型研究重鎮。
願景與目標
科技法律研究所的成長,一如我國科技與新興產業法制環境建構的軌跡,從無到有、備極艱辛。然而,在奠定架構的過程中,本所的優質團隊始終秉持著創新、關懷、實踐的信念,在時空推移間,用心關注與擘畫科技與新興產業法制的每一步進程。
一路走來,紮實的耕耘促使本所研究範圍簇集於科技與產業發展、科技研發體系、技術移轉、智慧財產權、資通訊、資訊安全、電子商務、永續能源、新興科技、文化創意等核心議題,並擴及至國際經貿與競爭秩序等外延領域。本所不僅洞見全球法制變動趨勢,並掌握產業脈動,引領臺灣科技走向全世界。
展望未來,本所將持續致力深化及拓展團隊整體的研究能量與專業能力,並且積極尋求與國際重要法制同步接軌。
成為大中華區最頂尖的科技法律政策與制度推動者,是我們堅定不移的目標。
|
推薦序
前言
第一章 認識個資法
Q1 「隱私」與「個人資料」是不是相同的概念?
Q2 個資法會不會溯及既往?
Q3 個資法修正歷程重點為何?
第二章 何謂個人資料
壹、個人資料基本概念
Q1 何謂個人資料?
Q2 哪些人的資料是個人資料?
Q3 哪些資訊可以被認為是個人資料?
Q4 「就業服務法」第5條所謂隱私資料是否受個資法所保護?
Q5 有無不適用個資法之個人資料?
Q6 已經去識別化的資料是否仍有個資法之適用?
Q7 何謂個人資料檔案?
貳、特種個人資料
Q1 何謂特種個人資料?
Q2 特種個人資料之六類資料分別規定為何?
第三章 誰該遵守個資法
壹、個資法適用對象
Q1 個資法跟我有關係嗎?我需要遵守個資法嗎?
Q2 個資法規範下,公務機關與非公務機關有何差別?
貳、區分公務機關與非公務機關
Q1 學校是「公務機關」還是「非公務機關」?
Q2 醫院是「公務機關」還是「非公務機關」?
Q3 國營事業是「公務機關」還是「非公務機關」?
參、我國個資法的地域效力
Q1 在國外蒐集、處理、利用之機關是否適用於個資法?
Q2 我國人民於外國電子商務網站上購物消費,使該外國公司有蒐集、處理及傳輸我國人民個人資料事實時,我國個資法規範應如何適用?
Q3 中國最大的叫車平台「DiDi—滴滴出行」,曾於2018年進入臺灣市場,一般民眾需要安裝及註冊後始得使用該APP。請問:對於非屬於我國企業蒐集我國人民之個人資料,並由境外的香港伺服器儲存乘客及司機資料,應注意及遵守我國個資法哪些規範?
第四章 個資法的核心行為規範
壹、蒐集、處理與利用
Q1 個資法上的蒐集係指何種行為?
Q2 個資法上的處理與利用應如何區分?
Q3 公務機關如何合法地蒐集、處理與利用個人資料?
Q4 非公務機關如何合法蒐集、處理與利用個人資料?
貳、對當事人告知
Q1 個資法上的告知義務規範為何?
Q2 什麼情況下可以免除告知義務?
參、同意
Q1 個資法上的「同意」內涵為何?
Q2 書面同意之相關規定為何?
肆、目的外利用
Q1 個人資料可否於蒐集的特定目的以外為利用?
Q2 使用個人資料行銷時應注意哪些事項?
伍、對特種個人資料的蒐集、處理與利用
Q1 個資法對特種個人資料的蒐集、處理與利用上有何特殊限制?
Q2 將含有特種個人資料之法院判決張貼於公開地點是否違反個資法?
Q3 販賣殘留個人基因的物品有無違反個資法?
第五章 個人資料委外
Q1 個資法第4條中受託者「視同」委託機關應如何解釋?
Q2 委託機關對於受託者的監督義務該包含什麼事項?
Q3 受託者的義務為何?
第六章 國際傳輸
壹、我國規範
Q1 個人資料國際傳輸的定義為何?我國個資法對此有何規定與限制?
Q2 我國企業應如何進行國際傳輸?
貳、國際重要相關立法
Q1 國際上對於個人資料的國際傳輸採取什麼樣的態度呢?
Q2 目前其他國家對於國際傳輸的管制,大概採取什麼樣的作法呢?
第七章 當事人權利維護
Q1 個資法提供了什麼權利給個人資料當事人?
Q2 當事人權利可否由他人代為行使?
Q3 當事人權利行使的對象是誰?
Q4 當事人行使權利時,公務機關或非公務機關應注意哪些事項?
Q5 個人資料之查詢、閱覽、製給複製本有哪些重點?
Q6 何謂個人資料正確性?誰負擔資料正確之義務?如何才能維護資料之正確性?
Q7 個人資料之補充、更正有哪些重點?
Q8 個人資料停止蒐集、處理、利用或刪除有哪些重點?
Q9 應以何種方式刪除個人資料?
第八章 個人資料安全管理法定事項
Q1 完整的個人資料安全維護架構為何?又應該要做到什麼標準才算合法?
Q2 如何界定個人資料的範圍?
Q3 如何進行個人資料之風險評估及設計對應之管理機制?
Q4 如何將個人資料管理程序落實於日常業務中?
Q5 不幸發生個人資料事故時,應如何處理?
Q6 如何進行認知宣導或教育訓練?
Q7 為何要保存使用紀錄、軌跡資料及證據?
Q8 實務上常見事故態樣有哪些?有無預防事故之方法?
第九章 個資法上各種違法責任
壹、民事責任、行政責任、刑事責任之差別
貳、行政檢查與行政罰
Q1 非公務機關違反個資法,會受到行政裁罰嗎?
Q2 非公務機關違反個資法,代表人、管理人也會受到行政裁罰嗎?
Q3 除了行政罰鍰,非公務機關違反個資法,還可能被裁處其他行政處分嗎?
Q4 前述罰鍰、處分的裁罰機關是法務部嗎?我國個資法的主管機關是法務部嗎?
Q5 什麼是行政檢查?誰可以執行行政檢查?可以拒絕行政檢查嗎?
Q6 行政檢查發動的要件與內容為何?
Q7 行政檢查時會發生什麼事?有什麼救濟管道?
參、民事責任與團體訴訟
Q1 公務機關違反個資法會有民事責任嗎?
Q2 非公務機關違反個資法會有民事責任嗎?
Q3 若自己的權利被侵害,能請求什麼賠償嗎?請求賠償需要證明實際損失嗎?
Q4 若無法自己提告,還能請求賠償嗎?
Q5 由財團法人或公益社團法人代為訴訟,會影響賠償金額嗎?
肆、刑事責任
Q1 誰會因為違反個資法而有刑事責任?事由為何?責任多重?
Q2 被害者該如何主張權利?
第十章 個人資料保護國際概況掃描
壹、澳大利亞(澳洲)
Q1 澳洲的個人資料保護/隱私規範的發展與特色為何?
Q2 澳洲「聯邦隱私法」所規範之義務與權利為何?
貳、日本
Q1 日本為我國國人經常旅遊之地,請問日本關於個人資料保護,其法律的制度為何?
Q2 設置於歐盟境內設有據點之日本企業,蒐集歐盟人民的個資欲跨境傳輸回日本總公司處理時,應適用歐盟GDPR,抑或適用日本個資法為妥?
參、馬來西亞
Q1 新南向政策下,我國與東協(ASEAN)諸國來往日益密切,馬來西亞為東協大國,占主導地位,其個人資料保護法制發展、架構與重點規範為何?
Q2 馬來西亞個資法所規範之義務與權利為何?
肆、新加坡
Q1 新加坡為東協成員,又是亞洲四小龍之一,作為都市國家的典範,其法制常作為我國借鏡,其個資保護法制之發展架構為何?
Q2 新加坡個人資料保護法制與我國相比有何特色?
伍、美國
Q1 美國晚近較為重要的立法即為加州「消費者隱私法」,其內容為何?
Q2 美國隱私立法以州層級為主,但聯邦卻少見地針對兒童隱私保護議題制定相關法律,其規範特色有何值得我國參考之處?
第十一章 臺灣個人資料保護與管理制度(TPIPAS)
Q1 何謂臺灣個人資料保護與管理制度(TPIPAS)?
Q2 TPIPAS是否一定要全機關、全範圍驗證?
Q3 通過TPIPAS驗證或特定範圍檢視對機關有什麼助益?
附錄
一 個人資料保護法
二 個人資料保護法施行細則
三 個人資料保護法非公務機關之中央目的事業主管機關列表
四 各中央目的事業主管機關發布之「個人資料檔案安全維護計畫或業務終止後個人資料處理方法」等相關事項之辦法一覽表(依發布機關分類)
五 公開資源與其他資訊
|
|
