個資法 個資 法規 法律 告知 同意 書面

鬆綁部份告知同意規定 個資法修正有利網路產業

2016-01-12
立法院甫於2015年12月15日三讀通過個資法修正案,預計2016年上半年施行。將「告知後同意」保護機制及其他部分規定因應實務運作所需而做適當調整,有助於業界(特別是網路平台業者)能以較符合成本效益的方式遵行法律規定。
立法院於2015年12月15日三讀通過個資法修正案,預計將於2016年上半年施行。此次修正的重點是將個資法採取的「告知後同意」保護機制及其他部分規定因應實務運作所需而做適當調整,有助於業界(特別是網路平台業者)蒐集、處理及利用個資時,能以較符合成本效益的方式遵行法律規定並兼顧個資保護。例如雲端服務及App開發業者得透過當事人同意而蒐集利用醫療、病歷、健康檢查等特種個資,可促進醫藥及健身產業e化與多元發展。

「告知後同意」(Informed Consent)是為確保個人在被告知充分資訊下做出適當決定的機制。個資屬於個人重要的隱私,如遭有心人士惡用可能造成個人隱私、名譽及財產的嚴重損害。我國大法官會議釋字第603號解釋已明白揭示憲法亦保障「個人自主控制個資之資訊隱私權」,個資法亦規範「告知後同意」的保護機制,以落實個人自主控制個資之隱私保護。本次個資法修正有以下重點:

「同意」之新法則

1. 同意不限於書面:個資法第15條與第19條原均有規定「經當事人書面同意」得作為公務或非公務機關蒐集或處理個資之要件。而依同法第7條,所謂書面同意,係指當事人經蒐集者告知個資法所定應告知事項後,所為允許之書面意思表示,此即「告知後同意」的機制。但鑑於現今社會、網路及電子商務活動多元化蓬勃發展,書面同意已不足以因應實務所需,紙本之書面亦有資源浪費之虞,個資法修正案乃將現行一般個資蒐集、處理及利用之「書面同意」修正為「同意」,不再限定以書面方式為之(修正條文第7、15、16、19、20條)。

2. 同意之舉證責任與推定:個資法修正案規定蒐集者就當事人同意之事實,應負舉證責任,此係基本原則。惟考量實務運作狀況,另規定蒐集者已明確告知法定事項時,當事人如未表示拒絕,並已提供其個資者,「推定」(假設)當事人已表示同意(修正條文第7條),如當事人認其並未同意,則應舉證反駁,此可減輕蒐集者的舉證責任。

3. 特種個資得經當事人書面同意而蒐集、處理及利用:個資法於2010年公布的版本在2012年10月經行政院命令施行時,尚保留第6條有關特種個資之規定暫未施行,因其就醫療、基因、性生活、健康檢查、犯罪前科等特種個資之蒐集、處理或利用採取「原則禁止,例外允許」之嚴格規範,即使當事人同意也不准,對於保險、醫療及運動健身等產業之發展實有窒礙難行之處。個資法修正案不僅將病歷列為特種個資之一,另增列特種個資得經當事人書面同意蒐集、處理或利用,以尊重當事人之個資自主決定權(修正條文第6條)。

相較於一般個資之同意不限於書面,特種個資之同意則以書面為限,旨在提高保護強度,促使當事人慎重其事。惟同意之書面是否限於紙本?將影響電子商務的發展以及企業因應的成本。個資法施行細則參考電子簽章法的作法而容許:內容可完整呈現,並可於日後取出供查驗者,經蒐集者及當事人同意,得以電子文件為之。因此,為合法蒐集使用者個資,於網頁設計可採「兩次同意鍵」方式,第一次同意是使用者同意以電子文件來為意思表示,第二次同意則是使用者表示同意蒐集個資。

「告知」之新法則

1. 直接蒐集個資前之告知:個資法第8條規定公務機關或非公務機關向當事人搜集個資,應明確告知蒐集機關名稱、搜集目的、個資類別、利用方式、當事人得查詢或請求刪除等個人自主權之特定事項,並訂有幾種免為告知之例外情事,這是有關「直接搜集個資」的規定。為利於實務運作,個資法修正案增修兩種免為告知之例外情事:1.告知將妨害公共利益;2.個資之蒐集非基於營利之目的,且對當事人顯無不利之影響。

2. 間接蒐集個資前之告知:個資法第9條是關於「間接搜集個資」的規定,亦即任何機關蒐集非由當事人提供之個資,應於處理或利用前,向當事人告知個資來源(即從何處取得個資)以及第8條之法定告知事項。個資法第54條原規定個資法修正施行前間接蒐集個資的情形,應依第9條規定於個資法施行日起一年內補行告知,但由於間接蒐集之個資數量龐雜,難於法定時限內補行告知,故該規定經行政院保留暫未施行。個資法修正案乃針對舊法時期間接蒐集之個資,刪除原定1年內應完成告知之期限規定,修正為蒐集者於本次修正施行後為處理或利用者,應於處理或利用前,依第9條規定向當事人告知,以減輕業者成本負擔(修正條文第54條)。

其他修正規定

除前述關於告知後同意之修正外,個資法修正案尚有下列重要之修正規定:

1. 刪除非意圖營利而違反個資法之刑罰規定:對於非意圖為自己或第三人不法之利益或損害他人之利益,而違反個資法規定,因其非難性較低,原則以民事損害賠償、處以行政罰已足,故個資法修正案將此部分之刑事處罰刪除(修正條文第41、45條)。

2. 增列特種個資蒐集、處理及利用之例外情事:個資法修正案就特種個資蒐集、處理及利用之例外情事,除增加當事人書面同意之外,另就公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要情形,增訂個資必須經過提供者處理後或經蒐集者依其揭露方式「無從識別特定當事人」之要件。此外,亦增訂為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內亦得蒐集、處理或利用特種個資(修正條文第6條)。

3. 增訂公共利益之必要條款:個資法有規定為增進公共利益得蒐集、處理及利用個資之例外情事,但為避免以公益之名在實務操作上會流於浮濫,導致個資保護之目的遭架空,個資法修正案乃增列增進公共利益所「必要」之要件,藉由必要性之比例原則,以合理限制公共利益之適用(修正條文第16條、19、20條)。

<本文作者:陳佑寰,目前為執業律師。國立台灣大學法學碩士,美國賓夕法尼亞大學法學碩士。專攻領域為智慧財產權法、高科技產業議題及資訊法等。>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!