個資保護2.0
作  者╱
財團法人資訊策進會科技法律研究所
出版社別╱
書泉
出版日期╱
2023/05/17   (2版 3刷)
  
即日起五南舊官網僅提供書籍查詢,如欲購書,請至五南新官網 https://www.wunan.com.tw/
I  S  B  N ╱
978-986-451-174-7
書  號╱
490G
頁  數╱
256
開  數╱
25K
定  價╱
380 (特價 300)



必知!一定要懂的個資法,讓您面對個資不觸法!

◎藉由Q&A清楚明白組織和個人在個資法中扮演的角色!
◎透過淺顯易懂的說明,搞懂個資法輕而易舉!

我國「個人資料保護法」係以「人格隱私權」概念中之「個人資料保障」為出發點,規範個人資料之蒐集、處理、合理利用、告知義務等程序事項;以及個人資料之當事人權利維護等實體事項。本書以我國「個人資料保護法」之整體架構為脈絡,因應「個人資料保護法」最新修正條文,更新《個資保護1.0》相關法規內容說明,並新增個資保護國際概況掃描以及臺灣個人資料保護與管理制度(TPIPAS)章節,透過深入淺出的內容說明個人資料保護與管理,搭配相關函釋及案例說明,使國內個人資料保護工作者更快速、清楚認識如何維護權益及遵循法律。
※推薦文
思索不同國家或地區個人資料保護法制形成之時空背景,大多因自動化資訊科技發達,個人資料經蒐集而處理後,可迅速進行各種利用,甚至易於搜尋比對,方便提供予第三方,包含傳輸至第三國或地區,所以在兼顧個資保護與合理流通兩大目的下,國際間陸續形成相關個人資料保護之指南、公約及各國法制。
我國亦不自外於國際趨勢,參酌外國立法例,於1995年8月11日制定施行第一部綜合性個人資料保護法制—電腦處理個人資料保護法,但對個人自主控制個人資料之資訊隱私權內涵論述,至2005年9月28日司法院釋字第603號解釋文公布後,始一窺堂奧,這印證了我國繼受外國個人資料保護概念與本土法治社會結合過程,需要時間逐漸適應,始能將國際間常見之個資保護架構與原則運用,內化成我們生活的一部分。
然科技發展一日千里,更多個資保護議題層出不窮,嗣後上開法律更名為個人資料保護法,歷經2012年及2015年之修正,持續繼受最新外國法制之精華,形成更多專業術語及概念,更需要用淺顯之論述方式,讓國內各界人士能掌握瞭解個人資料保護法之理論與實務。
張瑞星所長是我多年認識的前輩,欣聞其領導之財團法人資訊工業策進會科技法律研究所,撰述「個資保護2.0」專書,以問答之方式,串接個人資料保護法之適用體系及重要議題,並介紹個資保護國際概況及臺灣個人資料保護與管理制度(TPIPAS),提供讀者快速認識國內外個人資料保護法制之全貌。研究觀點或許見仁見智,但鼓勵專業研究團體朝此方向努力,值得讚許,故為序以表支持。
國家發展委員會法制協調中心參事  李世德

在資訊全球化、產業科技化的趨勢浪潮下,我國產業須積極面對的個資保護風險不僅止於國內法令要求,國際法遵規範的衝擊影響,亦難置身事外。去(2018)年5月25日正式施行的歐盟一般資料保護規則(General Data Protection Regulation, GDPR),歐盟各成員國之隱私執法機關大刀闊斧展開執法,近年來受理近28萬餘件當事人申訴與個資外洩事件,並作成眾多指標裁罰案件,如:Google因未有效取得當事人同意、違反透明原則(transparency principle)及告知義務等,遭法國主管機關CNIL裁罰五千萬歐元、Facebook劍橋分析個資外洩案、跨國酒店集團萬豪(Marriott International)三億餘位客戶個資外洩案等,均屬是例。
我國個人資料保護法自民國101年10月1日施行以來,迭經修正,迄已七年餘。綜觀公務機關與部分非公務機關,對於如何透過個人資料管理制度(PIMS)之建置、維運及內稽控制,俾使業務流程中之各行為符合法令要求,雖已漸具相當觀念;惟就如何確保個人資料蒐集、處理及利用等個資全生命週期流程適法性,以及安全維護措施之具體落實與缺失的矯正、改善和預防等,則仍有待精進與強化。
財團法人資訊工業策進會科技法律研究所肩負科技與產業政策法制智庫、產業共通性制度推手的重要任務。本所自創立以來,始終秉持法律專業,奠基精深研究基礎,進而結合實務需求,提供各界法遵與管理最佳解決方案。本書非常適合個資、隱私保護研究領域人士與實務工作者參考,其內容除提綱挈領,透過重點問題意識的方式呈現,更輔以法令主管機關重要函釋與經典實務案例,對於一窺我國個資法全貌,可收事半功倍之效!非常感謝各界對於初版時的支持與斧正,另值此再版之際,特併予向歷年採用本書為法律相關課程教科書之全國大專校院老師,致上由衷謝忱!也希冀能蒙各界先進不棄,繼續給予支持與賜正。
財團法人資訊工業策進會科技法律研究所所長 張瑞星

財團法人資訊工業策進會
科技法律研究所
為明日科技鋪軌 替未來趨勢導航
科技的奔馳,需要優質法制環境之營造。
1989年,資訊工業策進會在資訊市場情報中心之下,正式編制「資訊法律研究小組」,協助資訊產業掌握全球脈動,追求卓越的國際競爭力。1996年,在經濟部科技專案支持之下,研究團隊轉型成為獨立編制的「科技法律中心」(Science & Technology Law Center),並於2011年起更名為「科技法律研究所」(Science & Technology Law Institute),以承先啟後開拓創新之精神在瞬息萬變的科技洪流中,引領科技產業走向另一波高峰。

承諾與執著
自誕生之日起,科技法律研究所即肩負科技及產業政策法制智庫、產業共通性法律制度推手的重責大任。面對資訊化、科技化及全球化的強勢挑戰,本所堅持以精深的法律專業提供務實的解決方案,除了提供本會所需之法律事務服務外,多年來更是持續協助政府打造優質的科技與新興產業發展法制環境,引領我國接軌國際、布局全球。
為將法制策略能力轉化為影響世界版圖的嶄新行動,未來本所規劃延伸專業觸角,擴大國際交流與合作的範圍,承諾讓本所不僅成為科技與法律的匯集點,更要成為促進臺灣與世界連結的標竿型研究重鎮。

願景與目標
科技法律研究所的成長,一如我國科技與新興產業法制環境建構的軌跡,從無到有、備極艱辛。然而,在奠定架構的過程中,本所的優質團隊始終秉持著創新、關懷、實踐的信念,在時空推移間,用心關注與擘畫科技與新興產業法制的每一步進程。
一路走來,紮實的耕耘促使本所研究範圍簇集於科技與產業發展、科技研發體系、技術移轉、智慧財產權、資通訊、資訊安全、電子商務、永續能源、新興科技、文化創意等核心議題,並擴及至國際經貿與競爭秩序等外延領域。本所不僅洞見全球法制變動趨勢,並掌握產業脈動,引領臺灣科技走向全世界。
展望未來,本所將持續致力深化及拓展團隊整體的研究能量與專業能力,並且積極尋求與國際重要法制同步接軌。
成為大中華區最頂尖的科技法律政策與制度推動者,是我們堅定不移的目標。

推薦序
前言

第一章 認識個資法
Q1 「隱私」與「個人資料」是不是相同的概念?
Q2 個資法會不會溯及既往?
Q3 個資法修正歷程重點為何?

第二章 何謂個人資料
壹、個人資料基本概念
Q1 何謂個人資料?
Q2 哪些人的資料是個人資料?
Q3 哪些資訊可以被認為是個人資料?
Q4 「就業服務法」第5條所謂隱私資料是否受個資法所保護?
Q5 有無不適用個資法之個人資料?
Q6 已經去識別化的資料是否仍有個資法之適用?
Q7 何謂個人資料檔案?
貳、特種個人資料
Q1 何謂特種個人資料?
Q2 特種個人資料之六類資料分別規定為何?

第三章 誰該遵守個資法
壹、個資法適用對象
Q1 個資法跟我有關係嗎?我需要遵守個資法嗎?
Q2 個資法規範下,公務機關與非公務機關有何差別?
貳、區分公務機關與非公務機關
Q1 學校是「公務機關」還是「非公務機關」?
Q2 醫院是「公務機關」還是「非公務機關」?
Q3 國營事業是「公務機關」還是「非公務機關」?
參、我國個資法的地域效力
Q1 在國外蒐集、處理、利用之機關是否適用於個資法?
Q2 我國人民於外國電子商務網站上購物消費,使該外國公司有蒐集、處理及傳輸我國人民個人資料事實時,我國個資法規範應如何適用?
Q3 中國最大的叫車平台「DiDi—滴滴出行」,曾於2018年進入臺灣市場,一般民眾需要安裝及註冊後始得使用該APP。請問:對於非屬於我國企業蒐集我國人民之個人資料,並由境外的香港伺服器儲存乘客及司機資料,應注意及遵守我國個資法哪些規範?

第四章 個資法的核心行為規範
壹、蒐集、處理與利用
Q1 個資法上的蒐集係指何種行為?
Q2 個資法上的處理與利用應如何區分?
Q3 公務機關如何合法地蒐集、處理與利用個人資料?
Q4 非公務機關如何合法蒐集、處理與利用個人資料?
貳、對當事人告知
Q1 個資法上的告知義務規範為何?
Q2 什麼情況下可以免除告知義務?
參、同意
Q1 個資法上的「同意」內涵為何?
Q2 書面同意之相關規定為何?
肆、目的外利用
Q1 個人資料可否於蒐集的特定目的以外為利用?
Q2 使用個人資料行銷時應注意哪些事項?
伍、對特種個人資料的蒐集、處理與利用
Q1 個資法對特種個人資料的蒐集、處理與利用上有何特殊限制?
Q2 將含有特種個人資料之法院判決張貼於公開地點是否違反個資法?
Q3 販賣殘留個人基因的物品有無違反個資法?

第五章 個人資料委外
Q1 個資法第4條中受託者「視同」委託機關應如何解釋?
Q2 委託機關對於受託者的監督義務該包含什麼事項?
Q3 受託者的義務為何?

第六章 國際傳輸
壹、我國規範
Q1 個人資料國際傳輸的定義為何?我國個資法對此有何規定與限制?
Q2 我國企業應如何進行國際傳輸?
貳、國際重要相關立法
Q1 國際上對於個人資料的國際傳輸採取什麼樣的態度呢?
Q2 目前其他國家對於國際傳輸的管制,大概採取什麼樣的作法呢?

第七章 當事人權利維護
Q1 個資法提供了什麼權利給個人資料當事人?
Q2 當事人權利可否由他人代為行使?
Q3 當事人權利行使的對象是誰?
Q4 當事人行使權利時,公務機關或非公務機關應注意哪些事項?
Q5 個人資料之查詢、閱覽、製給複製本有哪些重點?
Q6 何謂個人資料正確性?誰負擔資料正確之義務?如何才能維護資料之正確性?
Q7 個人資料之補充、更正有哪些重點?
Q8 個人資料停止蒐集、處理、利用或刪除有哪些重點?
Q9 應以何種方式刪除個人資料?

第八章 個人資料安全管理法定事項
Q1 完整的個人資料安全維護架構為何?又應該要做到什麼標準才算合法?
Q2 如何界定個人資料的範圍?
Q3 如何進行個人資料之風險評估及設計對應之管理機制?
Q4 如何將個人資料管理程序落實於日常業務中?
Q5 不幸發生個人資料事故時,應如何處理?
Q6 如何進行認知宣導或教育訓練?
Q7 為何要保存使用紀錄、軌跡資料及證據?
Q8 實務上常見事故態樣有哪些?有無預防事故之方法?

第九章 個資法上各種違法責任
壹、民事責任、行政責任、刑事責任之差別
貳、行政檢查與行政罰
Q1 非公務機關違反個資法,會受到行政裁罰嗎?
Q2 非公務機關違反個資法,代表人、管理人也會受到行政裁罰嗎?
Q3 除了行政罰鍰,非公務機關違反個資法,還可能被裁處其他行政處分嗎?
Q4 前述罰鍰、處分的裁罰機關是法務部嗎?我國個資法的主管機關是法務部嗎?
Q5 什麼是行政檢查?誰可以執行行政檢查?可以拒絕行政檢查嗎?
Q6 行政檢查發動的要件與內容為何?
Q7 行政檢查時會發生什麼事?有什麼救濟管道?
參、民事責任與團體訴訟
Q1 公務機關違反個資法會有民事責任嗎?
Q2 非公務機關違反個資法會有民事責任嗎?
Q3 若自己的權利被侵害,能請求什麼賠償嗎?請求賠償需要證明實際損失嗎?
Q4 若無法自己提告,還能請求賠償嗎?
Q5 由財團法人或公益社團法人代為訴訟,會影響賠償金額嗎?
肆、刑事責任
Q1 誰會因為違反個資法而有刑事責任?事由為何?責任多重?
Q2 被害者該如何主張權利?

第十章 個人資料保護國際概況掃描
壹、澳大利亞(澳洲)
Q1 澳洲的個人資料保護/隱私規範的發展與特色為何?
Q2 澳洲「聯邦隱私法」所規範之義務與權利為何?
貳、日本
Q1 日本為我國國人經常旅遊之地,請問日本關於個人資料保護,其法律的制度為何?
Q2 設置於歐盟境內設有據點之日本企業,蒐集歐盟人民的個資欲跨境傳輸回日本總公司處理時,應適用歐盟GDPR,抑或適用日本個資法為妥?
參、馬來西亞
Q1 新南向政策下,我國與東協(ASEAN)諸國來往日益密切,馬來西亞為東協大國,占主導地位,其個人資料保護法制發展、架構與重點規範為何?
Q2 馬來西亞個資法所規範之義務與權利為何?
肆、新加坡
Q1 新加坡為東協成員,又是亞洲四小龍之一,作為都市國家的典範,其法制常作為我國借鏡,其個資保護法制之發展架構為何?
Q2 新加坡個人資料保護法制與我國相比有何特色?
伍、美國
Q1 美國晚近較為重要的立法即為加州「消費者隱私法」,其內容為何?
Q2 美國隱私立法以州層級為主,但聯邦卻少見地針對兒童隱私保護議題制定相關法律,其規範特色有何值得我國參考之處?

第十一章 臺灣個人資料保護與管理制度(TPIPAS)
Q1 何謂臺灣個人資料保護與管理制度(TPIPAS)?
Q2 TPIPAS是否一定要全機關、全範圍驗證?
Q3 通過TPIPAS驗證或特定範圍檢視對機關有什麼助益?

附錄
一 個人資料保護法
二 個人資料保護法施行細則
三 個人資料保護法非公務機關之中央目的事業主管機關列表
四 各中央目的事業主管機關發布之「個人資料檔案安全維護計畫或業務終止後個人資料處理方法」等相關事項之辦法一覽表(依發布機關分類)
五 公開資源與其他資訊

論語情:為你搭
起《論語》與日
常生活的橋梁
認識妥瑞症:找
出誘發因素,遠
離抽動症狀 (
限中國大陸以外
地區銷售)
論語腦:為你開
啟《論語》與腦
科學的新世界
季氏八極拳(含
示範影片)
把善良留給善良
:一位駐外人員
的心路歷程
信任「放在」錯
誤的對象:揭開
詐騙集團真實手





Q2 哪些人的資料是個人資料?
「個人資料」是與人有關的一切資料,凡可以直接或間接連結到特定人的資料,都是個資法所定義的個人資料。但是,究竟什麼樣的人才是個資法中所指的「人」?
在個資法中,只有「自然人」的個人資料是受到保護的。所謂「自然人」即是法律賦予權利以及負擔義務之個人。依據個資法施行細則第2條規定,所謂的自然人就是現生存的個人。「民法」第6條規定人之權利「始於出生,終於死亡」。因此,死亡之後的人不是法律上所稱之人。換句話說,個資法之立法目的之一即在保護屬於人格權之隱私權,而僅就有生命之自然人才會因為隱私權受侵害因而感到恐懼(法務部94年5月17日法律字第0940017828號函釋參照)。因此已死亡之個人,其個人資料不受個資法所保護。例如:一般人想瞭解特定歷史人物的生平事蹟,無可避免地會蒐集到該人物的個人資料,但因該歷史人物非生存之自然人,其個人資料即不受個資法保護。
個資法小法典
個資法施行細則第2條
本法所稱個人,指現生存之自然人。
另外,法律上所說的人除自然人外,還包括法人。法人是指法律上具有人格的組織,如公司或財團法人,它們就像自然人一樣享有法律上的權利與義務,換言之,法人就是自然人以外,具有權利能力的社會組織。簡單來說,法人並非「人」,而是一個「團體」的代稱。在法律上,將法人當作是人,讓它可以和自然人一樣,從事買賣或是其他相關法律行為,負擔一定的責任,享受一定的權利。然而,由於個資法是以個人人格、隱私等專屬於自然人之權利為出發點,因此法人的資料在個資法中並不受到保護。舉例來說,財團法人資訊工業策進會,所在地是台北市大安區××路××號,這些資料的內容並不受到個資法所保護。不過,法人所擁有的資料,例如經營資訊相關的廠商名冊等,其權利仍可能可以透過其他法律,例如「營業秘密法」加以保障。
至於法人負責人或董監事姓名,由於係依「公司法」第393條必須向經濟部登記的資料,且可於經濟部網站上查閱,非屬不公開資訊,因此亦不屬於個資法所保障的個人資料(臺灣桃園地方法院108年度訴字第188號刑事判決參照)。

Q3 哪些資訊可以被認為是個人資料?
個人資料的種類,在個資法第2條第1款明文列舉十九種,包含:姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
除此之外,個資法針對個人資料還有一個概括的定義,即「其他得以直接或間接方式識別」之個人資料,將個人資料的範圍擴大。由此可知,個資法儘可能將與「人」有關的資料通通納入規範。從姓名、國民身分證統一編號等直接可以與個人相連結之資料,乃至財務情況、社會活動等與人的作為相關聯之資料,甚或是其他得以直接或間接方式識別該個人之資料都包括在個人資料的範疇內。
所謂「得以直接識別」之個人資料,本身必定具有高度辨識性,可以直接指涉到個人,如上述所舉之姓名、國民身分證統一編號等等均屬之。由於這些個人資料具有直接識別的特性,一旦發生問題易使當事人之隱私或生命、身體、財產安全遭受侵犯,因此保護此種個人資料符合個資法之目的,所以「得以直接識別」之個人資料當然屬於個資法中應受保護之資料。
然而,因為社會態樣複雜,有些資料未必可以直接辨識為某個特定個人,但依據個資法施行細則第3條規定,只要依據蒐集者所持有之其他資料互相對照、組合後連結到某特定個人時,也有可能使當事人上述權利遭到侵犯,因此這種資料也會被認為是個資法當中所定義的個人資料。這種需要與其他資料對照組合,進而連結到特定當事人的個人資料,就是所謂的「得以間接識別」的個人資料。「得以間接識別」之個人資料,有什麼樣具體的例子可以想像呢?以特徵為例,某人在公車上、是男性(性別)、打有領帶(特徵)、戴有眼鏡(特徵)且坐在駕駛座上(特徵),以上各個資料獨立時並無法確認到底是誰,但將上述資料結合起來後,就可以確認到底所指稱的對象為何人。這些資料就是個資法所指之「得以間接識別」的個人資料。又例如電話或地址等資訊,如果結合姓名,也就是電話或住址的所有人時,此時,這些資料之結合可以連結到特定人,因此像是電話或是住址就是「得以間接識別」之個人資料。由於這種「得以間接識別」之個人資料一經揭露仍可以識別當事人是誰,對個人隱私會造成衝擊。所以,個資法也保護了「得以間接識別」之個人資料。
個資法小法典
個資法施行細則第3條
本法第二條第一款所稱得以間接方式識別,指保有該資料之公務或非公務機關僅以該資料不能直接識別,須與其他資料對照、組合、連結等,始能識別該特定之個人。
關於「其他得以直接或間接方式識別該個人之資料」實務上有哪一些情況呢?就以下面這些例子來作討論。
例如:線上遊戲是現在很多人的休閒活動,玩家通常會以ID註冊並使用暱稱在虛擬世界裡行動。ID與暱稱可代表玩家本人,那麼,線上遊戲的「暱稱」跟「ID」到底是不是個人資料?從個資法的角度加以觀察,所謂「得以間接方式識別」之個人資料是用來補強「得以直接方式識別」的不足。而當要判斷該個人資料是不是屬於個資法所保護之「得以間接方式識別」之個人資料,必須判斷這個個人資料是不是可藉由蒐集者所保有之其他資料互相對照、組合、連結然後指涉到某個特定的人。因此,線上遊戲的「暱稱」跟「ID」雖然可能無法直接識別出特定的人,但是透過其他的方式(例如:遊戲公司的資料庫內有ID或暱稱使用者的真實姓名),可把「暱稱」或「ID」的持有者加以結合得出特定個人時,該「暱稱」跟「ID」就會是個資法所稱的個人資料。
又例如:目前行車紀錄器也是大部分汽、機車駕駛會安裝於車上以確保發生行車事故或糾紛時,作為保留證據之工具,對於行車紀錄器所拍攝下之影像,有時會將車牌清晰紀錄,雖然單就車牌號碼可能無法識別特定當事人(得使用監理系統查對者不在此限),但如果網路上之鄉民透過人肉搜索,將車主的相關資料(如姓名、地址、照片等)一併公布於網路上,因資料的結合而得以辨識特定當事人,該「車牌」與「相關資料」也會是個資法之個人資料,而需受到法律規範。
小提醒
由於間接識別之資料需要透過連結方能識別,因此通常都需要透過與直接識別之資料(如姓名、身分證字號等)結合,所以直接識別之資料之保護相形之下更為重要。