HOME 回資訊服務處首頁 Login
2013年第5期
簡訊
【維護公告】本院網路及計算中心資訊服務暫停公告
【院內座談】4月25日召開「本院第16次資訊業務協調會議」暨「資訊室主管及管理者經驗交流第19次座談會」
【障礙說明】總辦事處區域網路故障說明
【資安通報】近期資安通報
【教育訓練】計算中心4、5月「教育訓練」課程預告
【影音服務】「影音服務」新增影片
『院外活動』Building Flowing Books:「文本型EPUB電子書」建造技術專題
資訊安全
個人資料保護面面觀
 
資訊安全 >
上一篇 | 返回電子報
 
個人資料保護面面觀
 
計算中心:曾士熊
 個人資料保護法(個資法)係「為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用」而特別制定的(個資法第1條)[註1]。去(101)年10月1日行政院公布施行個資法之後(但該法第6條及第54條暫不施行),所有公務機關(政府機關、軍警單位、公立學校、行政法人等)與非公務機關(個人、公司行號、私立學校、民間組織等)進行個人資料(個資)的蒐集、處理及利用,都必須遵守個資法、個資法施行細則及相關行政命令的規定。本院大多數行政工作和部分學術研究難免涉及個資,同仁因此有必要了解個資保護的相關法規,以避免執行行政工作或進行研究時違反個資法令。此外,做為個資的當事人,了解個資保護相關法規也有助於保護自身權益。

 雖然個資法令及於公務與非公務機關,但因本院屬公務機關,本文以公務機關所涉及的個資法令為主,簡要介紹本院各項業務可能涉及的個資保護法令。

一、個資初步
 公務機關基於執行法定職務須利用個資,因而有必要蒐集個資,並加以處理,這整個個資蒐集→處理→利用的過程都必須遵循個資法令的規定。要了解個資法令,首先要知道什麼是個資(與個資檔案),以及何謂個資的蒐集、處理和利用。
個資法第2條定義了個資、個資檔案,以及個資的蒐集、處理和利用:

  1. 個資(第1款):指自然人的姓名、出生年月日、身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他可直接或間接識別該個人之資料。個資法第6條雖未施行,但條文中嚴格限制部分個資項目,除非符合法律明文規定、執行法定職務所必要且加以安全維護、已合法公開等要件,否則不得蒐集、處理及利用,這些個資項目可歸類為特種個資。特種個資包括病歷[註2]、醫療、基因、性生活、健康檢查及犯罪前科。其餘個資項目則可歸類為一般個資,只要符合特定目的即可蒐集、處理及利用(個資法第15條)。
  2. 個資檔案(第2款):指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料的集合。依據此定義,不論是以Microsoft Word製作的個資文書檔、以Microsoft Excel製作的個資表單檔、以Acrobat產生的個資pdf檔等電子檔案,或是內含個資的行政工作軟體系統、資料庫等都屬於個資檔案。另依個資法施行細則第5條的規定,個資檔案還包括前述個資電子檔案或資料庫的備份檔案。單純看個資法第2條及其施行細則第5條,個資檔案似乎是指個資的電子型式(soft copy),至於將電子型式的個資列印成書面型式(hard copy)之後是否屬於個資檔案,則有待釐清[註3]。
  3. 個資蒐集(第3款):指以任何方式取得個資,包括向當事人直接取得個資,或是以其他方式間接取得個資。間接蒐集個資的實例包括透過Google、Facebook等網路工具搜尋個資、查詢相關資料庫、利用惡意程式竊取個資等。
  4. 個資處理(第4款):指為建立或利用個資檔案所進行的處理,包括個資的記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。換言之,個資處理涵蓋以電腦處理個資的所有人工建檔、編輯作業,以及電腦程式所執行的資料處理功能。
  5. 個資利用(第5款):指將蒐集之個資為處理以外的使用。這個排除式的定義真讓人無言,不過參考個資法第15條「公務機關對個人資料之蒐集或處理,除第6條第1項所規定資料外,應有特定目的…」,可以理解為機關之所以要蒐集和處理個資,就是為了將個資利用於特定目的。「特定目的」既曰特定,當然必須以個資法主管機關所公告者為準,法務部因此於101年10月1日修訂公布了「個人資料保護法之特定目的及個人資料之類別」。換言之,個資利用應僅限於該行政命令所條列的「修訂特定目的項目」(共計182個特定目的)。

 舉例來說,新進同仁報到、取得單一簽入(SSO)帳號及通行碼後,登入本院人事系統填寫個人資料即為(直接)「個資蒐集」,該人事系統可視為「個資檔案」,而人事系統的所有功能即屬「個資處理」,隨後本院為同仁辦理公(勞)保、健保﹝特定目的001:人身保險﹞,甚至按月發給薪資﹝特定目的002:人事管理﹞則是「個資利用」。

二、依法應公開的個資事項
 本院同仁除須依法蒐集、處理與利用個資之外,依據個資法第17條的規定,本院應將下列個資事項公開於本院網站:

  1. 本院保有的個資檔案名稱:個資檔案如為個別電子檔(文書檔、電子表單等),可直接使用檔案名稱,例如員工名錄;若為行政工作(或學術研究)軟體系統或資料庫裡的1或多個個資檔案,可直接使用該軟體系統或資料庫的名稱(例如人事資料庫),無須特別標示個別個資檔案的系統檔名。
  2. 個資檔案的保有依據:如係因執行法定職務而保有個資檔案,須條列該法定職務的法源。就本院而言,法定職務可參照本院組織法第2條、第22條、第24至第26條,以及本院處務規程第9至第14條,加上本院各種要點、作業規定與原則。例如,本院各研究所(處)中心辦理的各項學術研討會,以及總辦事處秘書組辦理的知識饗宴都可視為本院法定職務,其依據為本院組織法第2條第2款「指導、聯絡及獎勵學術研究」。
  3. 個資類別:應參照法務部於101年10月1日修訂公布的「個人資料保護法之特定目的及個人資料之類別」中條列的「識別類」(共計74種類別),就這些類別項目選擇適用者,將其代號填入本院的「個資檔案公開項目彙整表」。
  4. 個資檔案保有之特定目的:應參照法務部於101年10月1日修訂公布的「個人資料保護法之特定目的及個人資料之類別」中條列的「修訂特定目的項目」(共計182項特定目的),就這些特定目的項目選擇適用者,將其代號填入本院的「個資檔案公開項目彙整表」。
  5. 本院名稱及聯絡方式:聯絡方式可提供地址,以及電話或電子郵箱。

 上述(1)至(3)項應公開個資事項的表示方式可參考「法務部保有個人資料檔案公開項目彙整表」,該表的部分內容如表1所示:

表1「個資檔案公開項目彙整表」範例
項目
編號
個人資料檔案名稱 保有依據 個人資料類別 保有單位
1 記者採訪證申請表 法務部組織法第2條 識別類
(C001識別個人者、C003政府資料中之辨識者)
綜合規劃司
2 立法院立法委員助理名冊 法務部組織法第2條 識別類
(C001識別個人者)
綜合規劃司
3 立法委員通訊錄 法務部組織法第2條 識別類
(C001識別個人者)
綜合規劃司
4 行政院人權保障推動小組委員名單 法務部組織法第2條
法務部處務規程第7條
識別類(C001識別個人者、C003政府資料中之識別者)、
特徵類(C011個人描述)、
社會狀況(C038職業)、教育、技術或其他專業(C054職業專長)
法制司
 上述(4)、(5)項應公開個資事項的表示方式可參考「法務部保有個人資料檔案公開項目彙整表」的附表,如表2所示:
表2「個資檔案保有之特定目的及聯絡方式」範例
法務部保有個人資料檔案之特定目的 人身保險業務(001)、人事行政管理(002)、公共衛生(005)、公共關係(006)、公職人員財產申報業務(010)、立法或立法諮詢(011)、犯罪預防、刑事偵查、執行、矯正、保護處分或更生保護事務(014)、刑案資料管理(019)、兵役行政(026)、社會服務或社會工作(028)、法律服務(032)、信託業務管理(041)、教育或訓練行政(053)、採購與供應管理(058)、統計調查與分析(060)、會計與相關服務(063)、資訊與資料庫管理(065)、發照與登記(070)、僱用服務管理(077)、輔助性與後勤支援(078)、學術研究(081)、其他中央政府(093)、其他公共部門(094)、其他司法行政業務(095)、其他諮詢與顧問服務(101)。
法務部之聯絡方式 第一辦公室
地址:臺北市中正區重慶南路1段130號
電話:02-23146871
綜合規劃司、法制司、法律事務司、檢察司、秘書處、人事處、會計處
第二辦公室
地址:臺北市中正區貴陽街1段235號
電話:02-23167000
國際及兩岸法律司、保護司、資訊處、統計處

 本院組織法第22條(總辦事處法源)、第24條(人事室法源)、第25條(政風室法源)及第26條(主計室法源)規定了各種行政工作的辦理單位,參照這些條文,本院基於行政工作相關特定目的而保有的個資檔案,宜由總辦事處各組室中心各就其業務盤點、彙整,報經院方核定後公開,並一體適用於本院各研究所(處)中心。換言之,各研究所(處)中心可直接適用上述本院所保有行政工作相關個資檔案的彙整表,無須就行政工作另行公開個資檔案及相關事項。

 本院依學術發展需要而設立各種研究所(本院組織法第13條)及各種研究中心(本院組織法第17條),當各研究所(處)中心因特定學術研究計畫而須保有個資時,宜由個別研究所(處)中心依法公開其保有的個資檔案及相關事項。

三、蒐集、處理及利用個資須注意事項
 個資法第8及第9條中針對公務機關部分的規定,都是以該法第15條為基礎,亦即特種個資的蒐集、處理或利用都不得適用個資法第8、第9和第15條,本文因而將個資區分為一般個資與特種個資。本院絕大多數行政工作不涉及特種個資[註4],加上學術研究所涉及的特種個資蒐集、處理及利用尚無法令可規範,本文因此以介紹一般個資相關法規為主。
個資法第15條規定公務機關(例如本院)對一般個資(該條文排除第2條第1項所規定的特種個資)之蒐集或處理,應有特定目的並符合下列3種情形之一:

  1. 執行法定職務必要範圍內;
  2. 經當事人同意
  3. 對當事人權益無侵害。

 個資法第8條第1項規定機關向當事人蒐集一般個資時(直接蒐集)應明確告知的事項,但該條文第2項規定了5種得免告知的除外情形:

  1. 依法律規定得免告知;
  2. 公務機關執行法定職務所必要;
  3. 告知將妨害公務機關執行法定職務;
  4. 告知將妨害第三人之重大利益;
  5. 當事人明知應告知之內容。

 個資法第9條規定機關蒐集非由當事人提供之一般個資(間接蒐集),於處理或利用前應明確告知的事項,以及得免告知的除外情形。第9條規定得免告知的情形除上述第8條的5種之外,還多了4種情形:

  1. 已公開個資;
  2. 不能告知;
  3. 統計或學術研究所須且去識別化;
  4. 新聞報導之公益目的。

 綜合這些法條,本院人事室、政風室與主計室因執行行政工作而須蒐集一般個資,係屬個資法第8條第2項第1款的「依法律規定得免告知」,各研究所(處)中心兼辦人事、會計者亦然。總辦事處其他組室中心依據本院處務規程第9至第14條執行行政工作而須蒐集一般個資,係屬個資法第8條第2項第2款的「公務機關執行法定職務所必要」,因而得免於告知,各研究所(處)中心兼辦採購、出納、資訊系統管理等業務者亦然。

 除上述依法律規定得免告知、執行法定職務所必要之外的個資蒐集、處理及利用,最好能告知並取得當事人同意,以免滋生不必要的困擾與法律糾紛。不過個資蒐集即使是依法律規定得免告知或執行法定職務所必要,仍須注意個資法第15條所規定的「應有特定目的」與「執行法定職務必要範圍內」。所謂「應有特定目的」,意指蒐集個資必須是基於「個人資料保護法之特定目的及個人資料之類別」所條列的182項特定目的之一。此外,應遵循「最小蒐集原則」,以確保符合「執行法定職務必要範圍內」的規定。換言之,個資法第2條第1款所規定的個資項目,非執行行政工作或進行研究計畫所必要者就不要蒐集。

 本院所持有的個資可就當事人身分區分為3類:員工、關係人及民眾。員工包括本院組織法中列舉的正副院長、院士、評議員、研究人員、行政技術人員等,以及技工、工友、約聘僱人員、合聘研究人員、國際研究生院學生等。關係人泛指受本院法定職務影響或影響本院執行法定職務的非本院人員,包括採購案的投標廠商、得標廠商、評選委員等、支領本院出席費、演講費等的應邀人員,以及總統府、主計總處、國庫署、審計部、人事行政總處、考試院、法務部等相關政府機關的相關人員、立法委員等。民眾則主要包括報名參與本院學術研討會、知識饗宴、入住本院學術活動中心者,以及向本院檢舉、陳情的院外人士等。

 員工個資的蒐集、處理及利用皆有法律依據或屬執行法定職務所必要,因此依法無須告知,但不能過度蒐集(例如非必要地蒐集員工親屬的個資)。關係人個資的蒐集、處理及利用也都有法律依據或屬執行法定職務所需,若僅蒐集必要個資(例如姓名、職稱、負責職務、聯絡方式等),同樣依法無須告。至於民眾個資的蒐集、處理及利用,只要是執行法定職務(接受學術研討會、知識饗宴等活動的報名),僅蒐集必要個資(姓名、聯絡方式,需填報公務人員學習時數者再加身分證號碼)且僅限單次利用(亦即活動過後即刪除該個資),也是依法無須告知。

五、個資法的罰則
 同仁們務必謹記在心:個資法是有罰則的,尤其是公務機關人員一旦觸犯個資法第41、或第42條,是有可能被判處有期徒刑、拘役或科或併科罰金的。

 個資法第41條第1項規定:違法蒐集、處理或利用個資而致當事人受損害者,處2年以下有期徒刑、拘役或科或併科新臺幣20萬元以下罰金。該條文第2項規定:意圖營利犯第1項之罪者,處5年以下有期徒刑,得併科新臺幣100萬元以下罰金。就公務機關人員而言,上述違法情況包括:

  1. 非法蒐集、處理或利用特種個資(違反第6條第1項);
  2. 蒐集或處理一般個資卻無特定目的、非法定職務必要範圍、未經同意且侵害當事人權益(違反第15條);
  3. 利用一般個資卻非法定職務必要範圍、不符合蒐集之特定目的且無第16所規定的除外情形(違反第16條)。

 個資法第42條規定:意圖為自己或第三人不法之利益或損害他人之利益,而對於個資檔案為非法變更、刪除或以其他非法方法,致妨害個資檔案之正確而足生損害於他人者,處5年以下有期徒刑、拘役或科或併科新臺幣100萬元以下罰金。

 本院同仁不論正編或約聘僱都是刑法所定義的公務員,所以要特別注意個資法第44條規定:公務員假借職務上之權力、機會或方法,犯本章之罪者,加重其刑至二分之一。

 除了個人觸法須負刑責之外,機關也會因員工違法而須承擔民事損害賠償責任,個資法第28條規定:公務機關違反本法規定,致個資遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任…。每人每件賠償金額500元以上2萬元以下,一旦造成多數人權益受侵害,可能要賠償多達2億元。

 雖然個資法訂有民刑事罰則,但本院同仁無須擔憂,只要同仁們本於依法行政的立場執行各項法定職務,因違反個資法而涉訟的可能性其實無乎其微的。

  • 註1:本文係以「夾敘夾議」的方式引用個資法令,文中引用法令時並非原文照錄,而是維持其原有意旨但改以方便讀者了解的方式撰寫。
  • 註2:雖然「病歷」尚未列入個資法第6條,但因其與「醫療」關係密切難以分割,可預期未來將修法納入。
  • 註3:釐清方式包括由主管機關解釋或個資訴訟案的法院判例。
  • 註4:本院醫護室蒐集同仁病例、醫療等特殊個資的行為,因屬總辦事處總務組法定職務(本院處務規程第11條第5款),只要醫務室將這些特殊個資上鎖保存並僅限醫療人員用於診療,即可符合個資法第6條第1項第2款的規定。



上一篇 | 返回電子報
 
 本電子報所有文字、圖片版權為中央研究院所有 。 電子報出版系統由中央研究院資訊服務處開發。