因應個資法企業應有之認知與作為
文:王晨桓(建業法律事務所執行長)
近年來公部門與私部門之個人資料外洩事件頻傳,突顯出我國公私部門對於個資內控方面的認知與作為急待補強,以私部門之企業為例,在網際網路科技發達的今日,民眾於線上從事各種行為,例如瀏覽、購物、發表言論、甚至是對於某篇報導或社交軟體中的貼文表達喜歡與否等,都將有跡可循,此即所謂的「數位足跡」,而企業為達到精準行銷或法遵科技之目的,通常會對民眾之「數位足跡」進行蒐集、處理及利用,尤其是第四次工業革命時代,人工智慧(AI)之演算法(Algorithm)結合大數據(Big Data)之加持,為企業帶來可觀商業利益,然卻也同時對民眾個資及隱私帶來巨大威脅,在此時空背景下,企業如何確保民眾之個資不致外洩,以降低對其隱私權之衝擊,將係當代企業急需面對的課題。對此我國訂有「個人資料保護法」(以下稱個資法),就個資之蒐集、處理、利用暨其他個資安全控管相關事宜,定有明確規範,企業於全力發展業務、追求個人資料蒐集使用利益最大化之同時,仍應詳加注意遵循。為此,本文以下即彙整現行法下企業蒐集、處理及利用個人資料應遵守的事項與規範,並因應現代科技技術之發展,提出具體可行作法,希冀能供作企業實務運作時之參考方向。
個資法於民國(下同)99年5月26日公布全文, 101年10月1日正式施行。就現行個資法下企業應如何蒐集、處理及利用民眾之個人資料,首先須從「資料」之定義談起,個資法之「資料」分為「個人資料」、「個人資料檔案」及「特種個人資料」,前者「個人資料」係指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料(個資法第2條第1款參照)。又其中以間接方式識別,係指保有該資料之公務或非公務機關,僅以該資料不能直接識別特定個人,須與其他資料對照、組合、連結等後,始能識別該特定之個人(個資法施行細則第3條參照);次者「個人資料檔案」係指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合,且包含備份檔案(個資法第2條第2款、個資法施行細則第5條參照);後者「特種個人資料」則係指,病歷、醫療、基因、性生活、健康檢查及犯罪前科等個人資料,企業除得當事人同意、法律規定或履行法定義務外,原則上不得蒐集、處理或利用該特種個人資料(個資法第6條參照)。綜前可知,只要係足以讓他人直接或間接識別之個人資料,不論是「紙本」或是「數位資料」皆有個資法之適用,因此企業於網路所取得之民眾數位足跡,因可能符合「其他得以直接或間接方式識別該個人之資料」概念而仍有個資法之適用。
其次,企業於蒐集、處理或利用個人資料時,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯(個資法第5條參照)。其中所謂「蒐集」係指以任何方式取得個人資料(個資法第2條第3款參照);「處理」係指,為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送(個資法第2條第4款參照);「利用」則係指將蒐集之個人資料為處理以外之使用(個資法第2條第5款參照)。又「特定目的」係指,企業應依據法務部和各事業目的主管機關所訂定之「個人資料保護法之特定目的及個人資料之類別」選定的特定目的範圍,蒐集、處理及利用個人資料,且不能踰越。而該「特定目的」又可區分為:「蒐集或處理之特定目的」及「利用之特定目的」,前者係指企業依個資法第19條規定,對個人資料之蒐集或處理,除同法第6條第1項所規定之特種個人資料外,應有特定目的,並須符合該條所訂8款情形之一者,方可為之;後者則係指,企業依個資法第20條之規定,對個人資料之利用,除同法第6條第1項所規定之特種個人資料外,應於蒐集之特定目的必要範圍內為之,僅在該條7款例外規定之情形下,方可為特定目的以外之利用,而該例外規定於企業之使用上,主要為同條第1項第6款之「經當事人書面同意」,而所謂「書面同意」係指當事人經公司企業明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,「單獨」所為之書面意思表示(個資法第7條第2項、個資法施行細則第15條參照)。此外,企業若有利用民眾之個資從事商品行銷,在當事人表示拒絕接受時亦應立即停止,且公司企業於第一次進行行銷時,應支付當事人拒絕行銷之費用,例如提供免付費電話以便利當事人行使拒絕行銷的權利(個資法第20條參照)。
其三,企業須負擔告知義務,並維護資料的正確性。詳言之,企業於直接或間接蒐集個人資料時,應告知當事人關於「公司企業名稱」、「資料蒐集之目的」、「資料之類別」、「個人資料利用之期間、地區、對象及方式」、「當事人依個資法第3條規定得行使之權利及方式」、「當事人得自由選擇提供個人資料時,不提供將對其權益之影響」等(個資法第8、9條參照),而前述之告知方式包含,言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式(個資法施行細則第16條參照)。此外,企業亦負有維護個人資料正確性之義務,應主動或依當事人之請求更正或補充,若個人資料之正確性有爭議,亦應主動或依當事人之請求停止處理或利用(個資法第11條參照)。
其四,企業應確保個人資料的安全。依個資法第27條第1項規定:「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」,該條係課予企業應就其所保有之民眾個人資料採行適當安全措施之義務。而所謂「適當之安全維護措施」包括:(1)配置管理之人員及相當資源、(2)界定個人資料之範圍、(3)個人資料之風險評估及管理機制、(4)事故之預防、通報及應變機制、(5)個人資料蒐集、處理及利用之內部管理程序、(6)資料安全管理及人員管理、(7)認知宣導及教育訓練、(8)設備安全管理、(9)資料安全稽核機制、(10)使用紀錄、軌跡資料及證據保存、(11)個人資料安全維護之整體持續改善等。又前述之「安全維護措施」需同時結合技術上及組織上之必要措施,且以與所欲達成之個人資料保護目的間具有適當比例為原則(個資法施行細則第12條參照)。
其五、公司企業應將違法情事通知當事人,以使當事人得即時知其權利被侵害之情事,並進行相關權利救濟。細言之,依個資法第12條規定,企業違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。而該通知方式係指,即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之,且前述之通知內容應包括個人資料被侵害之事實及已採取之因應措施(個資法施行細則第22條參照)。
其六、企業若未能遵守前述個資法之相關規定,則須依違反的情節輕重負擔民事賠償、刑事及行政責任。析言之,公司企業違法蒐集處理或利用個人資料者、或係有妨害個人資料正確性之行為,將分別依個資法第41條及第42條之規定承擔相關刑事責任;若公司企業違反個資法之規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,亦應依個資法第28條及第29條負相關民事損害賠償責任;除前述刑事及民事責任外,公司企業若有違反個資法之規定,目的事業主管機關亦得依不同情形處以不同行政罰,且公司企業之代表人、管理人或其他有代表權人亦可能一併受罰(個資法第25、47、48、50條參照)。
最後須提醒的是,依據個資法第51條第2項之規定,企業若係在中華民國領域外對中華民國人民個人資料蒐集、處理或利用者,亦適用個資法之規定。換言之,企業不論係在國內或國外,只要對中華民國的國民有個人資料之蒐集、處理或利用,即有上述個資法相關規定之適用,企業應予以留意以免誤觸法網。
企業於進行消費者或使用者之個人資料蒐集、處理及利用時,須遵守之個資法相關規定,已如前述,然除此之外,在第四次工業革命趨勢下,企業使用人工智慧、大數據等科技協助個資蒐集、處理及利用將成為常態,於此前提下企業應如何因應以降低科技革新對個人資料隱私帶來之衝擊?亦值注意。本文認為,企業除須遵守個資法之規定在「特定目的」範圍內謹慎使用個人資料,並應留存紀錄備查外,平時亦應定期舉行員工教育訓練;此外,企業應建立資訊安全內部控制機制,對此或可從組織管理入手,亦即於企業內部成立「科技委員會(Tech Committees)」或類似內部組織,由該委員會負責監控前述企業內部資訊安全相關事宜,以在追求個人資料蒐集使用利益最大化之同時,最小化企業面臨違反個資法各項刑事、行政與民事責任的風險,並兼顧「個人的隱私權保護」及「合理利用」的衡平(個資法第1條參照),進而打造安全且透明的科技數位媒體及資料使用環境。
