在個人資料保護法裡,隱含了二項重要的精神與要求,其中個人隱私維護是首要項目,它是指必須要在個人資料蒐集、處理、利用的過程中確保個人隱私不會受到侵害,其次則是如何善盡個人資料保護的責任,本期將說明相關的注意事項。
個人資料保護法全文共有56條,內容說明了公務機關與非公務機關在個人資料蒐集、處理及利用的注意事項,以及違反時的賠償與罰則,單就法條內容來看,其實不太容易馬上掌握其要求的重點。但經過歸納分析之後,可以發現個人資料保護法的精神與要求,主要集中在兩件事上,分別是「個人隱私維護」和「個人資料保護」。
個人隱私維護的要求,主要來自於個人資料保護法的第一條,「為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。」其中隱私就是人格權的重要一環,因此個人資料的揭露與否,必須尊重當事人的權益並獲得其同意,以免因侵犯個人的隱私而造成人格的受損。
個人資料保護的要求,則來自於個人資料保護法的第十八條,「公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」;以及第二十七條,「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」
個人資料蒐集注意事項
目前,依照法務部個人資料保護事項協調聯繫會議的決議,所有公務機關在99年底前都必須要指定一位個資聯絡窗口及個資召集人,來協調聯繫與個人資料有關的事項,而各機關也要在年底前完成制訂組織的「個人資料保護及管理規範」。至於非公務機關,未來則是要依照所屬事業目的主管機關的要求,提出「個人資料檔案安全維護計畫」,這份維護計畫的建議內容,可參照網管人第56期的說明。所謂的蒐集是指以任何方式來取得個人資料,包括自動化(例如網頁上所填寫的個人資料)或非自動化(人工紙本記錄的個人資料)的方式來進行。
|
▲個人資料保護法的要求全貌。 |
依照個人資料保護法第八條的規定,無論是公務機關或非公務機關,在向當事人蒐集個人資料時,都必須要明確告知當事人以下事項:
一、蒐集資料的公務機關或非公務機關的名稱。
二、蒐集的目的,也就是要在未來公布的特定目的中,至少找到一項適用的項目。
三、個人資料的類別,同樣也是在未來公布的個資類別中,找到適合的類別名稱。
四、個人資料利用的期間、地區、對象及方式,建議要向當事人說明資料使用時間和保存多久,在哪些地區使用,將會透過什麼方式來使用。
五、當事人可以行使的權利及方式,例如當事人可以要求更正、刪除、停止使用其個人資料,或要求提供個人資料的複製本。
六、應說明當事人可以自由選擇是否要提供個人資料,若當事人不願意提供的話,也要清楚告知不提供這些資料,對其個人權益會有哪些影響。
所以,請務必謹記,「只要有蒐集的行為,就會有告知的義務」,除非是法律規定可以不用告知,以及公務機關為了執行法定職務(例如警察執行公務),或非公務機關為了履行法律規定的義務等,這部份請參照個人資料保護法第八條的五項免告知情形。
另外,依據個人資料保護法第十五條規定,公務機關對於個人資料的蒐集或處理,除了要有特定目的之外,還要符合以下三種情形之一,才可以進行:
一、執行法定職務必要範圍內。
二、經當事人書面同意。
三、對當事人權益無侵害。
建議在實務上,若不是執行法定職務,公務機關想要蒐集民眾的個人資料,最好的方式就是事先取得當事人的書面同意,以避免違反法規的要求。
個人資料處理注意事項
所謂的處理,簡單來說就是指蒐集個人資料之後,將這些資料經過編輯、修改、增刪、傳遞等動作,變成一份個人檔案的過程。依照第十條的規定,在正常情形之下,公務機關和非公務機關都要依照當事人的請求,針對這些個人檔案,提供查詢、閱覽或複製本,而且要在十五天內回覆當事人是否同意或拒絕其請求。
為了要維護這些檔案中個人資料的正確性,公務機關和非公務機關要主動或依照當事人的請求來予以更正或補充,至於回應的時間則是在三十天內要完成。若是個人資料的正確性有爭議時,也要主動或依照當事人請求,停止處理或利用這些個人資料。另外,隨著個人資料蒐集時的特定目的消失或是期限屆滿的時侯,也要依當事人請求,刪除、停止處理或利用這些個人資料。