2024年11月4日 星期一

個人資料保護法Q&A_generated by ChatGPT

為什麼會有個人資料保護法?(個人資料保護法的立法目的?)

台灣《個人資料保護法》的立法目的是為了保護個人隱私權,並在保障個人資料安全的基礎上促進個人資料的合理運用。具體來說,立法目的包括:

  1. 保護隱私權:確保個人資料在未經個人同意的情況下不會被不當收集、處理或利用,保障個人的隱私權。
  2. 確保資訊自主權:賦予個人對其資料的控制權,使個人能查詢、更正、刪除自己的資料,增強對個人資訊的主導權。
  3. 促進資料合理運用:在保護隱私的同時,允許在合法且合理的範圍內利用個人資料,以促進社會和經濟發展。
  4. 規範資料處理行為:對公私部門在收集、處理及利用個人資料的行為進行規範,確保其行為符合合法性與合理性。
  5. 強化資料安全:要求採取技術與管理措施,以保護個人資料免於外洩、濫用等風險,提升資訊處理的安全性。

此立法目的在於平衡個人資料保護與資料流通的需求,構建一個既保障隱私又促進資訊合理應用的法律體系。

哪些資料是個資?

依據台灣《個人資料保護法》,「個人資料」是指可以直接或間接識別特定個人的資料。這些資料可能包括個人的身分資訊、特徵、財務、健康、家庭背景等。具體而言,「個人資料」包含以下類型:

  1. 基本身分資料:例如姓名、性別、出生年月日、身分證字號、護照號碼等,可直接識別個人的資訊。

  2. 聯絡資訊:例如地址、電話號碼、電子郵件地址等,能夠直接或間接辨識出個人的資訊。

  3. 財務資料:如銀行帳戶、信用卡號、收入、資產等,屬於與個人財務狀況相關的資訊。

  4. 健康與醫療資訊:如健康紀錄、病史、身心障礙資訊等,涉及個人身體和心理狀況的資料。

  5. 生物識別資料:例如指紋、臉部識別、聲紋、虹膜掃描等,這些資料具有高度的唯一性。

  6. 網路使用資訊:如 IP 地址、Cookie 記錄、行為追蹤數據等,能間接識別出特定個人或與特定個人相關的資訊。

  7. 家庭與背景資訊:如家庭成員資料、婚姻狀況、學歷、職業等,可以辨識個人社會背景的資訊。

  8. 社會關係與偏好:例如社交媒體帳號、交友關係、購買行為等,可以間接反映個人的生活方式或偏好的資訊。

根據《個人資料保護法》,以上這些資料都屬於「個人資料」,只要能識別出特定個人,即受法律保護。

民眾對個人資料享有什麼權利?

依據台灣《個人資料保護法》,當事人對其個人資料享有多項權利,以保障其資料自主與隱私。這些權利包括:

  1. 查詢或請求閱覽權:當事人有權要求資料控管者提供其個人資料的查詢或閱覽,以了解其資料的狀況及使用情形。

  2. 請求製給複製本權:當事人可以請求資料控管者提供其個人資料的複製本,以便保留或備份。

  3. 請求補充或更正權:若發現其個人資料有錯誤或不足,當事人有權要求資料控管者進行補充或更正,以確保資料的正確性。

  4. 請求停止收集、處理或利用權:當事人有權要求資料控管者停止收集、處理或利用其個人資料,特別是在資料已無收集或使用的必要時。

  5. 請求刪除權:當事人有權要求刪除其個人資料,尤其是在資料已無保存的必要或是當事人撤回同意的情況下。

這些權利賦予當事人對其個人資料的控制權,確保其資料在合法且適當的範圍內被使用。資料控管者應根據《個人資料保護法》尊重並配合當事人的上述權利請求。

企業如何合法蒐集處理利用他人的個人資料?

依據台灣《個人資料保護法》,合法蒐集、處理及利用他人個人資料必須符合以下幾個原則及條件:

  1. 取得當事人同意

    • 通常,蒐集或利用個人資料需事先取得當事人同意,且同意必須是自願且明確的。
    • 當事人需清楚了解資料被收集的目的、範圍及使用方式,才能作出知情同意。
  2. 合法且特定目的

    • 個人資料的蒐集、處理或利用必須有合法目的,且這一目的應具體且明確,不可隨意擴大使用。
    • 資料控管者應清楚告知當事人資料的用途,並確保在蒐集目的完成後,不再繼續保留資料。
  3. 依蒐集目的使用

    • 蒐集的個人資料應在原定目的範圍內使用,不得超出範圍或用於其他目的,除非取得當事人額外同意。
  4. 符合法定例外

    • 在某些情況下,法律允許不經當事人同意而蒐集、處理或利用資料,例如:
      • 為了執行法律規定或法定義務。
      • 為避免當事人生命、身體、自由、財產等重大利益受損。
      • 公部門在執行法定職務時有必要。
      • 為了公共利益,或學術研究、統計等,不影響當事人權益的情況。
  5. 保障資料安全

    • 蒐集者應採取適當的安全措施,防止資料外洩、濫用或毀損,以保障個人資料的完整性與安全性。
    • 資料使用後應依規定刪除或做適當處理,以防不當使用。
  6. 提供當事人權利行使管道

    • 資料控管者應設立機制讓當事人查詢、更正、刪除、停止使用其個人資料,並依據法律義務及當事人需求,合理處理相關請求。

滿足以上條件後,資料控管者才能合法蒐集、處理及利用他人個人資料,否則可能會構成違法,並面臨相應的法律責任。

什麼是敏感性個資?

在台灣《個人資料保護法》中,「敏感性個資」指的是涉及個人隱私或人格的重要資訊,其不當處理可能對當事人造成重大影響或傷害。這些敏感性個資包括以下幾種:

  1. 醫療與健康資料:如病歷、健康檢查報告、心理健康記錄等,涉及個人身體或心理狀況的資訊。

  2. 基因資料:例如基因檢測結果、遺傳資訊等,這些資料可能包含個人或家族的健康風險和遺傳特徵。

  3. 性生活與性傾向:個人的性取向、性生活或相關資料屬於高度敏感的隱私資訊。

  4. 生物識別資料:例如指紋、臉部識別數據、虹膜掃描、聲紋等,這些資料具有高度唯一性並可用於個人身份辨識。

  5. 健康檢查:包含個人醫療史、藥物使用情況等,涉及身體健康和疾病情況的詳細記錄。

  6. 犯罪前科:犯罪記錄涉及個人過去的法律違規行為,這些資料若不當公開或濫用,可能對當事人造成嚴重的社會、經濟及心理影響,因此受到特別保護。

敏感性個資的處理通常需要更加嚴格的保護措施,並需依法律或在取得當事人明確同意後才能蒐集、處理或利用,以減少對個人隱私的影響。

蒐集特種資料,依法需要當事人「書面同意」,是否只限於紙本簽名?可以用電子郵件嗎?

根據台灣《個人資料保護法》,蒐集特種資料(如敏感性個資)需取得當事人「書面同意」。在實務上,書面同意並不限於紙本簽名,電子文件、電子郵件或電子簽章等方式在符合特定條件下亦可被視為有效的書面同意。

電子同意的有效性取決於以下要點:

  1. 可驗證性:電子同意的方式必須能夠有效證明該同意來自當事人本人,並且不可被輕易偽造。例如,電子簽章、雙重身份驗證或經過加密的電子郵件等方式可以增加同意的可信度。

  2. 紀錄保存:應保存電子同意的記錄,以便將來核對當事人確實已授權同意。這些紀錄可以是電子郵件紀錄、電子簽章記錄等,並應能證明同意的時間、內容及提供者。

  3. 法律或機關規範:某些情況下(如高度敏感資料或涉及重大權益),監管機構或相關法令可能會對書面同意的形式作出具體要求,因此應確認是否有進一步的規範。

在台灣,一般情況下,符合上述條件的電子郵件或電子簽章被視為有效的書面同意方式。但在具爭議或高風險情境下,紙本簽名仍然是最穩妥的選擇。

目前,台灣法院對於電子形式的「書面同意」是否符合《個人資料保護法》規定,尚無明確的判決案例。然而,根據《電子簽章法》及相關法規,電子簽章在法律上具有與手寫簽名相同的效力,前提是該電子簽章符合認證機構的規範並可驗證簽署者的身份。

因此,雖然缺乏直接的法院判決支持,但在符合相關法律規定的情況下,電子形式的同意書應可被視為有效的書面同意。為確保合法性,建議在使用電子同意時,採用符合《電子簽章法》規定的電子簽章,並妥善保存相關記錄,以備未來查驗。

企業蒐集個資的時候,要告知什麼事情?

根據台灣《個人資料保護法》,企業在蒐集個人資料時,需向當事人充分告知以下事項,以確保蒐集行為的透明性和合法性:

  1. 蒐集目的

    • 明確告知蒐集個人資料的具體目的,例如提供服務、行銷活動、客戶管理、法規要求等。
  2. 資料的類別

    • 說明將蒐集哪些類型的個人資料,例如聯絡資訊、身份識別資訊、財務資料等。
  3. 資料利用的期間、地區、對象及方式

    • 期間:告知資料的使用期限,例如「依業務需求保存至不再需要」或「依法律規定保存X年」。
    • 地區:說明資料將在哪些地區使用,如「僅限於台灣境內」或「可能用於跨境傳輸」。
    • 對象:說明哪些對象可能會使用這些資料,例如公司內部、合作夥伴、第三方服務提供者等。
    • 方式:說明資料的處理方式,如「電子檔案存儲」、「線上行銷活動」等。
  4. 當事人權利及行使方式

    • 告知當事人對其個人資料的權利,包括查詢、閱覽、請求複製、補充、更正、停止蒐集、處理、利用以及刪除的權利。
    • 說明當事人可如何行使這些權利,例如聯絡資訊、客服專線或專門的隱私保護窗口。
  5. 資料提供是否屬於當事人義務及未提供的影響

    • 若資料的提供屬於法定或契約義務,應說明不提供資料可能會產生的影響,例如無法享受服務或產品、影響契約履行等。

企業在進行個人資料蒐集時,應以清晰易懂的語言將以上資訊告知當事人,以確保資料的蒐集、處理及利用符合《個人資料保護法》的規範。

在哪些情形下,企業蒐集個資,不用取得當事人同意?

根據台灣《個人資料保護法》,在特定情形下,企業蒐集個人資料可以不經當事人同意。這些例外情形包括:

  1. 法律明文規定

    • 若法律明確規定必須蒐集個人資料,例如稅務申報、身份核對或其他法定義務,則企業可依法律規定蒐集資料而不需取得當事人同意。
  2. 公部門執行法定職務

    • 當資料蒐集涉及公部門為了執行法定職責所需,且具正當性,例如稅務機關進行稅務調查,企業配合蒐集或提供相關資料無需取得當事人同意。
  3. 契約履行之必要

    • 若資料蒐集為了履行契約所必需,例如訂單處理、交貨等,當事人已經默示同意企業蒐集其資料用於履行契約之目的,則企業無需另外取得同意。
  4. 當事人自行公開

    • 若當事人已經自行公開其個人資料(例如在公開網站、社交平台),企業在特定範圍內使用這些公開資料時,可以不再取得當事人同意。
  5. 為了避免當事人或他人之生命、身體、自由或財產的危險

    • 若蒐集個人資料是為了避免當事人或他人遭受重大危險,例如緊急醫療需求或緊急救助情況,企業可以在合理範圍內進行資料蒐集而不需同意。
  6. 學術研究或公共利益,且不影響當事人權益

    • 在學術研究、統計分析、公共利益等目的下,若資料已經去識別化,且對當事人權益不會產生不利影響的情況下,企業可以在適當範圍內使用資料而不需取得當事人同意。

企業在這些例外情形下蒐集個人資料時,仍需遵守「目的限定原則」,即在原定合法目的範圍內合理使用資料,並保障資料的安全,避免超出範圍的濫用或外洩。

個資外洩時,企業應如何通知當事人?

根據台灣《個人資料保護法》,當企業發生個人資料外洩、竄改、或其他危害資料安全的事件時,應立即採取措施並通知當事人,以減少對當事人可能造成的損害。具體的通知方式與內容要求如下:

  1. 迅速通知當事人

    • 當企業確認資料外洩的事實後,應立
    • 即以適當的方式通知當事人,讓當事人有機會採取應對措施,如更改密碼、監控帳戶等。
  2. 通知方式

    • 通知方式應符合當事人方便且易於接收的原則,通常包括:
      • 書面通知:郵寄信件以通知當事人。
      • 電子郵件:通過電子郵件即時通知,適合數量多且無法快速郵寄的情況。
      • 電話聯繫:對於緊急情況或高度敏感資料的外洩,直接聯絡當事人。
      • 網站公告:若無法個別聯繫每位當事人,則可選擇在企業網站上公告,並提供專線服務供當事人進一步查詢。
  3. 通知內容

    • 通知應清楚說明外洩事件的詳細情況,包括:
      • 外洩的原因和範圍:簡明扼要地說明外洩事件的原因(若已知)和影響範圍,如涉及的個資類別(例如姓名、聯絡資訊、財務資料等)。
      • 可能的影響:說明外洩事件可能對當事人產生的影響,例如帳戶安全、身份盜用風險等。
      • 當事人可採取的應對措施:建議當事人可採取的行動,例如更改密碼、監控帳戶活動或聯絡銀行等。
      • 企業採取的措施:說明企業已採取的補救措施,例如加強資訊安全、通知相關主管機關等。
      • 聯絡資訊:提供當事人可聯絡的專線或客服窗口,供其查詢事件詳情或進一步協助。
      • 向主管機關報告

        • 除了通知當事人外,企業還應依照主管機關的規範,通報資料外洩事件的情況,包括外洩規模、風險評估、應對措施等。
  4. 企業在發生個資外洩時迅速通知當事人,是依照《個人資料保護法》履行的法律責任,同時也有助於減少當事人可能受到的損害,維護企業的信譽和法遵形象。

個資外洩,企業如果沒有通知當事人的話,會受到什麼處罰?

根據台灣《個人資料保護法》,若企業在發生個人資料外洩時未依規定通知當事人,可能會面臨以下處罰:

  1. 罰款

    • 主管機關可對未履行通知義務的企業處以罰款。依據《個人資料保護法》第48條規定,違反通知義務的企業可處新台幣2萬元以上、20萬元以下的罰鍰。
    • 若企業屢次違反規定或情節嚴重,主管機關可要求限期改正,若在限期內未改善,可再處以每次新台幣2萬元以上、20萬元以下的罰鍰,直到改正為止。
  2. 行政命令

    • 主管機關可以對違反者發布行政命令,要求其限期改善資訊安全措施,或改正相關違規行為。
    • 若企業未按要求改正,主管機關可以對其採取進一步的處罰措施,甚至可勒令停止特定業務,以保護當事人的權益。
  3. 民事賠償

    • 當事人若因企業未通知而遭受損害,有權依據《個人資料保護法》第29條請求民事賠償,企業需就當事人的損害負賠償責任。
    • 當事人可主張因個人資料外洩而造成的損害賠償,包括直接損害(如財務損失)及間接損害(如精神損害賠償)。
  4. 聲譽損害及信譽受損

    • 除法律上的罰款外,企業若未妥善通知當事人並管理外洩事件,可能會影響其在市場中的聲譽,導致客戶流失、商譽受損等負面影響。

因此,企業應嚴格遵守《個人資料保護法》的通知義務,在個人資料外洩時迅速採取行動,以免受到法律責任和信譽損害的影響。

什麼是個人資料檔案安全維護計畫?

個人資料檔案安全維護計畫是指企業或機構為了保護所管理的個人資料安全,依據台灣《個人資料保護法》而制定的系統性方案。這個計畫旨在預防個人資料被未經授權的存取、竄改、洩漏、毀損或丟失,確保個人資料的機密性、完整性及可用性。計畫的內容通常包括以下要素:

  1. 安全政策與目標

    • 制定針對個人資料安全的政策與明確的安全目標,確保資料處理符合保護法規,並說明為何和如何保護個人資料。
  2. 風險評估

    • 對個人資料處理過程中的潛在風險進行評估,找出可能的安全威脅,並根據風險等級採取相應的保護措施。
  3. 存取控制

    • 設定資料的存取權限,確保只有授權人員才能夠接觸和處理個人資料,以減少內部和外部威脅。
  4. 資料加密與傳輸保護

    • 針對電子資料使用加密技術,以確保在儲存和傳輸過程中不會被攔截、竄改或未經授權存取。
  5. 資訊系統安全管理

    • 定期檢查和更新資訊系統,防止資料受到網絡攻擊、病毒、惡意程式等威脅,並確保系統軟硬體的安全性和穩定性。
  6. 員工教育與訓練

    • 對相關員工進行個人資料保護的教育訓練,提高安全意識和技能,避免因人員疏忽導致資料洩漏或安全事件。
  7. 事件應變處理

    • 建立事件應變計畫,包含資料洩露、系統故障等突發情況的處理流程,確保能夠迅速反應、處置和通知當事人及主管機關。
  8. 紀錄保存與稽核

    • 保留資料存取、修改的記錄,定期稽核個人資料保護措施的落實情況,以確保安全計畫的執行效果。
  9. 持續改進

    • 定期檢討與更新安全維護計畫,隨著技術發展和法規變化,不斷提升個人資料保護的水準。

透過制定和執行個人資料檔案安全維護計畫,企業或機構可以更系統化、有效地管理個人資料風險,確保符合《個人資料保護法》的要求,進一步保護當事人權益並降低資料外洩風險。

企業可以把台灣民眾的個資傳到其他國家嗎?

根據台灣《個人資料保護法》,台灣民眾的個人資料在特定情況下可以傳送到其他國家,但需符合一定的條件及規範,以確保跨境傳輸過程中資料的安全性與當事人權益。具體條件包括:

  1. 接收國的法律保護水準

    • 接收資料的國家或地區需具備足夠的個人資料保護水準,能夠保障資料在該國仍受到合理的安全與隱私保護。
  2. 主管機關的規定

    • 台灣的個資主管機關(例如國家通訊傳播委員會或個資保護專責單位)有權規定某些國家或情境下,限制或禁止將個人資料傳送至特定國家。例如,若某國缺乏基本的資料保護機制,主管機關可針對該國發布禁止跨境傳輸的命令。
  3. 當事人同意

    • 若要跨境傳輸當事人的個人資料,通常需事先取得當事人同意,並清楚告知資料將被傳輸到哪些國家,以及傳輸的目的、範圍及可能的風險。
  4. 特定例外情況

    • 在某些特定情況下,無需取得當事人同意即可進行跨境傳輸,例如:
      • 為了履行契約必要:若跨境資料傳輸為履行契約的一部分(例如國際服務或運輸),且當事人已默示同意,則可進行傳輸。
      • 避免重大危害:為避免當事人或他人的生命、身體、自由或財產等重大危害時,跨境資料傳輸可能成為必要措施。
      • 依法執行職務:公部門或經授權的機構在依法執行職務的情況下,可能需要進行跨境傳輸。
  5. 合約保障措施

    • 若資料接收方承諾會依據台灣的資料保護標準處理個人資料,且簽訂了具有約束力的合約以保證資料的安全性,則企業或機構在符合法規的情況下也可進行跨境傳輸。

因此,台灣民眾的個人資料在符合這些條件下可以合法地傳送至其他國家,但企業需格外謹慎,確保傳輸過程中符合當地法律和國際標準,以保護個人資料的安全與當事人權益。

企業違反個資法,會有什麼法律責任?

企業若違反台灣《個人資料保護法》,可能會承擔以下法律責任:

1. 行政責任

  • 罰鍰:依據《個人資料保護法》,企業若未遵守個資法規定(例如未取得當事人同意即蒐集個人資料、未妥善保護資料、或資料外洩未通知當事人),可被處以新台幣2萬元以上、20萬元以下的罰鍰。
  • 限期改正及重複罰鍰:主管機關可要求企業在限期內改正違規行為,若企業未在期限內改正,則可再處以每次2萬元以上、20萬元以下的罰鍰,直至完成改正。
  • 業務停止或限制:若違規情節嚴重,主管機關有權命令企業停止業務、限制其處理個人資料的權限或其他相關業務行為。

2. 民事責任

  • 損害賠償:根據《個人資料保護法》第29條,若當事人因企業違反個資法而受到損害,當事人可以向企業請求賠償。賠償範圍包括:
    • 實際財務損失:如資料外洩導致的金融損失。
    • 精神損害:若當事人因資料外洩而受到心理或名譽損害,可請求精神損害賠償。
    • 懲罰性賠償:在情節嚴重的情況下,法院可裁定更高的懲罰性賠償,以警示和懲戒違規行為。

3. 刑事責任(在特定情形下)

  • 非法處理特種個資:若企業未經當事人同意非法蒐集、處理或利用敏感性個資(如醫療、基因、性生活、犯罪記錄等),可處五年以下有期徒刑,或併科新台幣50萬元以下的罰金。
  • 洩露職務所知的個資:若企業內部人員因業務職務而知悉的個資被洩露,且造成當事人損害,可處三年以下有期徒刑,或併科新台幣30萬元以下的罰金。

4. 商譽損害及商業影響

  • 聲譽與信任損害:個資外洩或違規使用個資可能嚴重損害企業聲譽,削弱客戶信任,進而影響市場形象。
  • 客戶流失與商業損失:違反個資法可能導致客戶流失、合作夥伴關係受損,甚至引發集體訴訟,造成長期商業損失。

5. 主管機關的調查和督導

  • 違規企業可能會被列入重點監控對象,主管機關可加強對該企業的稽核或調查,並要求持續改進個資保護措施。

為避免上述責任,企業應積極遵守《個人資料保護法》要求,制定和執行嚴格的個資保護政策和措施。

公司可否蒐集員工的個人資料?

公司可以蒐集員工的個人資料,但須符合台灣《個人資料保護法》的相關規定,並在合理範圍內進行蒐集、處理和利用。具體而言,公司在蒐集員工個人資料時需符合以下原則:

  1. 合法目的與必要性

    • 公司必須基於合法且正當的目的來蒐集員工個資,例如招聘、勞資管理、薪資發放、福利提供等。
    • 蒐集的資料應限於達成目的所需的最低範圍,避免不必要的資料蒐集。
  2. 告知義務

    • 公司在蒐集員工個資時,應告知員工蒐集的目的、資料類別、利用的範圍、使用對象及員工的權利,讓員工充分了解公司為何以及如何使用其資料。
  3. 取得同意

    • 若蒐集的資料非法律明定的必須項目,公司通常需取得員工的同意,尤其是敏感性個資,如健康紀錄或犯罪記錄等。
    • 公司的「同意」需是自願且明確的,避免以強制或變相方式取得。
  4. 資料安全措施

    • 公司應採取適當的安全措施來保護員工的個資,防止資料洩漏、濫用或未經授權的存取。
    • 資料的存取權限應限於必需的員工或部門,並定期檢視和強化安全管理措施。
  5. 員工的權利

    • 員工有權查詢、更正、刪除或停止公司對其個資的蒐集和使用,特別是當資料的使用已無必要時。
    • 公司應建立機制,方便員工行使其資料權利,並依法律規定妥善處理相關請求。
  6. 法律或契約上的義務

    • 若蒐集員工個資屬於法律或契約上必要的行為(例如履行稅務申報、保險申請等),公司可依相關規定蒐集而不需特別同意。

因此,公司在蒐集員工個人資料時應謹慎遵守《個人資料保護法》規定,確保蒐集目的合理、範圍適當,並保障員工對其資料的知情權和控制權。

沒有留言:

張貼留言