在個資保護與隱私維護方面,各行各業大致上遵循著一些共通的規範原則,但因為不同行業仍有著各自的特性,所以對隱私保護的要求也有所不同,本文將探討包括醫療、金融、電子商務、電信及人力派遣等不同行業對個人資料應有的保護要求。
依據個人資料保護法第二條的定義,只要是得以直接或間接方式,能夠識別該個人之資料,就是屬於受到法律保護的個人資料。
換句話說,除了最常見的姓名、電話、地址、身分證字號、出生日期之外,還有許許多多可連結識別到特定個人的資料,這些都是各行各業不可忽視的個人資料內容。
其中比較特別的是在個資法第六條中指出,有關醫療、基因、性生活、健康檢查及犯罪前科等個人資料,除非符合了特定的要件,否則預設是不能夠任意的蒐集、處理及利用的,這也就表示,如果你的組織是屬於經常性的會接觸到這些資料的產業,像是醫院、保險公司、健檢中心等,就更必須明白有些法律針對特定的敏感資料,它的要求與一般的個人資料是不太一樣的。
醫療個資非尋常可比
對醫療業而言,保護病患的隱私,基本上已是醫療從業人員的義務和責任,尤其是關於醫生與患者之間的保密要求,更經常出現在世界各國的醫療法規之中。醫療資訊的重要性,不同於一般個人資料的原因,就在於它明顯的反應了一個人的內在,包括身體的情況和心理的狀態,若是受到不當的揭露,對於個人的衝擊,明顯地大於許多可識別至個人的資料。
換句話說,醫療業者必須要確保醫療資訊的安全和妥善的隱私保護,才能夠獲得患者的信任,使其願意提供個人的身體和心理的真實情況,才可有助於醫生判斷病情,讓病症獲得正確的診治。所以,醫療業者對於個人資料的保護責任不在話下,面對與醫療有關的個人資料蒐集、處理和利用,自是應該遵守個人資料保護法和相關醫療法規的要求,即使有些醫療資訊是為了提供給學術研究或疾病統計之用,也要注意是否已將資料做了適當的匿名化處理,使其無法識別至特定的個人,以免誤觸了法網。
此外,醫療資訊對許多職場工作者來說也是重要的,如果雇主能夠任意地取得員工的醫療記錄,對於評估為可能屬於高風險的員工,有些雇主為了避免付出過高醫療保險費用,可能就會實施惡意性的解雇,或是針對性向不同的員工,主觀認為可能會對其他員工造成影響,而將之惡意性的汰換,導致個人的工作權益受到損害。
金融業相關法規繁多
保護個人金融與信用方面的資訊,是金融業必須重視的要項之一,保護客戶的信用與借貸資料,目的是希望客戶能夠安心地揭露個人的資產與債務情況,有助於銀行業者來評估借貸者的還款能力。另外,確保個人信用資料的安全,也能夠避免個人的身分不會受到非法的冒用,或是個人金融交易受到不當的損害。
許多法規對於金融資訊的保護都有其要求,例如美國在1999年實施的GLBA法案,建立了針對金融機構一系列的個人資料保護要求;日本的個人情報保護法,針對屬於金融方面的個人資料,也有相關的使用規範。而為了進一步確保金融資訊的安全,各國針對銀行幾乎都有對應的法律要求,除了確保從業人員需盡到業務保密的責任之外,若是沒有正當的理由或未經個人同意之下,即使是政府單位想要調閱金融資訊,都可能受到限制,目的就是要保護個人的隱私。
不過近年來,為了反制恐怖行動和反制國際洗錢的犯罪行為,金融業者對於客戶金融資料的保護也面臨了種種的壓力與挑戰,因此在特定類型的交易資料方面,相關的安全機制和通報的要求,就需要多方的審慎考量。另外,透過網路的信用卡支付方面,也有別於傳統銀行業的交易模式,針對線上的身分驗證、資料傳輸及用戶端的個人資料保護,可以參考PCI-DSS標準的內容,實施對應的安全措施。
電子商務分主動被動
對電子商務業者而言,主要是透過網站來蒐集和個人有關的各項資料,一般可分為兩種方式來進行,第一種是主動式的蒐集,例如在進行線上交易之前,網站通常會要求消費者必須加入會員才能進行購物,因此就會在網頁上提供會員註冊表單,讓消費者可以採用選單選擇或直接依照項目說明填入所需的資料,最後按下送出即可完成。
第二種蒐集消費者個人資料的方法,是採取被動的蒐集方式進行,也就是電子商務業者會在消費者無法發覺的情況之下,透過網站互動技術像是Cookie,在背景之中蒐集消費者的瀏覽資訊,包括了瀏覽過的網頁、所使用的瀏覽器版本、作業系統,甚至所在的位置等,藉此來追蹤統計消費者的購物和網站使用習慣,作為後續的行銷之用或廣告點選次數計算等。
無論是採取了主動或被動的資料蒐集方式,只要蒐集的資料可識別到特定的個人,這種行為就屬於個人資料保護法中所定義的蒐集個人資料,因此必須依照法律的要求,除了要說明蒐集的目的,同時也要盡到所謂告知的義務。目前最簡單的實務作法是在網站上提供適當的聲明或是附上隱私政策的宣告,讓消費者可以知道其個人資料是如何被蒐集、處理和利用的。