金融业与信用资讯业从业人员对个资法应有之认识演...

89.12.21「金融業與信用資訊業從業人員對個資法應有之認識」演講會紀錄法務部法律事務司陳美伶司長主講壹、前言在今日科技發達之新時代中，資料經電腦處理，成為有形之資料，往往被大量、快速的蒐集、處理、儲存及利用。以往向居於被動地位之資訊隱私權，為確保其完善之保護，一方面須賦與資料所有人相關自主參與之權利，並須兼顧充分利用資料之附加價值，以達資訊共享之目的，因此訂定一合理的遊戲規則（即「電腦處理個人資料保護法」），使其能合理流通及利用，實為刻不容緩之課題。當時並有為因應亞太金融營運中心產生之立法背景，故於八十四年八月十一日總統公布，同年月十三日正式施行。一、「電腦處理個人資料保護法」法律名稱解讀（一）以電腦處理之資料為限，不包括人工處理資料。即使原始資料是人工手寫的，只要一旦經電腦鍵入之程序，而成為有形紀錄，即屬本法規範之範圍。（二）以自然人之電腦資料為限，不包括法人資料。為保護隱私權，防止個人資料曝光而使人產生恐懼感；至於法人資料之保護，例如公司、獨資商號、診所等因是法人或商業主體，請參照營業秘密法之規定，另於公司法中亦有許多關於應主動公開資料之規定。（三）以生存之自然人為限，不包括死亡者之資料。（死亡者之資料已為歷史，故除有刑法誹謗之適用外，非本法規範範圍）（四）本法第三條第二款規定足資識別個人之資料，如已經過統計分析或以代號出現者，因不能辨識資料誰屬，故不在本法規範之內。（只要經過統計、彙整，無法由外觀上辨別究屬何人者）二、個人資料的定義「指自然人之姓名、出生年月日、身分證統一編號、特徵、指紋、婚姻、家庭、教育、職業、健康、病歷、財務狀況、社會活動、及其他足資辨別該個人之資料。」（本法第三條第一款）另於立法當時，未列入電話號碼、傳真號碼之故，乃因其非獨一無二跟隨個人不變者；此款前段為列舉規定，至於「其他足資辨別該個人資料」，則為概括規定。貳、本法之主要內容一、由於我國之個資法部分參考國際公約：經濟合作暨發展組織（OECD）一九八○年九月通過「管理保護個人隱私及跨國界流通個人資料綱領」，以下針對參考（OECD）八大立法原則敘述如下：1.限制蒐集原則（本法第七條、第十八條）即蒐集資料時，須符合目的及本法要件。2.目的明確化原則（本法規定之特定目的）須兼顧本法特定目的（註一）及個人資料類別（註二），不可偏廢。3.資料內容完整正確原則（本法第四條、第十三條）此為當事人得隨時要求補充、更正，甚至請求刪除之規定。4.限制利用原則（本法第八條、第二十三條）此處之利用為對外關係，內部僅限於蒐集及處理，至於利用之情形，則應嚴格限制其要件。常見的例子為行庫不可將客戶提供之個人資料，任意於內部部門間流通（例：客戶為辦理活期儲蓄存款於印鑑卡填寫之個人連絡方式，不可提供給信用卡部門以寄發信用卡相關廣告文件之用）5.個人參加原則（本法第七條第二款、第八條第九款、第十八條第一款、第二十三條第四款經當市人書面同意之規定屬之）即個人有所謂的資訊自主權，可參與資料做成之流程；但若取得個人之書面同意，則視為同意放棄隱私權，而准許他人蒐集、利用。6.公開原則（本法第十條、第二十一條）在公務或非公務機關均擁有個人資料，但並未完全公開，例如法務部保有前科資料、全國律師的個人資料等，依個資法之規定，應公開之。而待行政程序法正式施行後，程序複雜者居多。將來可考慮予以簡化。7.安全保護原則（本法第十七條）主要為防止個人資料被不當利用、篡改或滅失。例如資料庫應加上密碼等防偽措施。8.責任之原則（本法第四章、第五章有關損害賠償及罰則之規定）有民事、刑事及行政責任的規定。二、本法適用之基本原則：1.本法為個人資料保護之普通法，其他法律另有規定者，依其規定。（本法第二條）既為普通法（對所有個人資料之保護做一基本性之規範），則不排除其他特別法對個人資料做更特別、更高的保護。例如：性侵害防治法、通訊監察保障法、銀行法等對於個人資料之保護皆有更嚴格之限制。2.尊重當事人之權益，依誠實信用方法為之，不得逾越特定目的之必要範圍。（本法第六條）依誠實信用方法為之（希望所有個人隱私皆能於此範疇內為保障），乃因誠信原則是普通法之最高指導原則。；至於不得逾越特定目的之必要範圍，則乃比例原則之表現。三、本法規範之對象（適用之機關及行業別）（一）公務機關：行使公權力之中央及地方機關（本法第三條第六款）1.包括國民大會、總統府、五院、各部、會、行、處、局、署及省、縣（市）、直轄市政府及鄉鎮公所。基本上包括所有機關皆適用，唯不包括國營企業。2.所謂「行使公權力」之意義，目前實務上採取廣義說，係指公務員居於國家機關之地位，行使統治權作用之行為而言。包括運用命令及強制等手段干預人民自由及權利之行為，以及提供給付、服務、救濟、照顧等方法，增進公共及社會成員之利益，以達成國家任務之行為。（最高法院八十年度台上字第五二五號判決）（二）非公務機關：（本法第三條第七款）本來之立法意旨為只要涉及蒐集個人資料之行業，理論上皆應適用本法，但施行之初為避免衝擊過大，故採漸進式立法模式，即先行列舉以下八種最常使用到個人資料之行業，之後藉由第三款「經由法務部會同中央目的事業主管機關指定之」而將其他行業漸次納入本法規範範圍。1.徵信業及以蒐集電腦處理個人資料為主要業務之團體或個人本款之行業（如中華徵信所等，與市面上常見之徵信社不同，）因以處理個人資料為主要項目，而與其他以蒐集電腦處理個人資料之行業不同，故採取高標準之管理方式。需公司執照及經過目的事業主管機關核准者（即許可證）才可從事此類營業項目。又因為此款事業過去並無目的事業主管機關，特別因應本法指定經濟部為之。2.醫院、學校、電信業、金融業、證券業、保險業、大眾傳播業本中心即屬此款之金融業，與證券業、保險業之目的事業主管機關同為財政部，因其性質屬財團法人，且其時代背景為財政部未知會法務部之情況下，在「金融業申請電腦處理個人資料登記程序許可要件及收費標準」之金融業定義中，將經過目的事業主管機關核准或許可設立之法人及團體納入。另本款之事業因蒐集電腦處理個人資料均非其主要業務，而另有其主要業務，故只須踐行登記程序取得執照，即可對個人資料加以蒐集、處理，可說較上款之徵信業標準寬鬆許多。3.其他經由法務部會同中央目的事業主管機關指定之事業、團體或個人例如於86.7.18通過之期貨業（註三），及後來之台北市產物人壽保險商業同業工會（註四），皆因有龐大資料處理之需要而被納入本法規範之範圍內。（三）受公務機關或非公務機關委託處理資料之團體或個人，視同委託機關之人（本法第五條）本款為特殊規定，例如受本中心委託處理資料之資訊業者，在處理該部分之資料時，亦擬制適用本法之規範。四、公務機關關於本法之資料蒐集、處理及利用之要件及相關規定例如法務部為調查貪瀆案件，要求某機關提供近一年之人事資料，在過去是由被蒐集機關考量是否合法，現本法則設計由蒐集機關表示該蒐集是否合法。而此部分之規定，於蒐集、處理及利用之情形時，則為割裂適用（分別適用不同之標準）。即蒐集、處理之規定較利用之情形寬鬆；至於利用時（例如提供給他人），須符合於法令規定職掌範圍內及符合蒐集目的二個要件，若超出特定目的之外，則需尋找目的外利用之合法依據方能為之。如中央健康保險局就是否提供個人資料（包括健康、財務狀況），訂立何種情況始能提供及提供至何種程度的內部規範來約束，使其同仁於作業時不致無所適從。（一）蒐集及電腦處理之要件（本法第七條）符合特定目的（法務部會同中央目的事業主管機關發布之一○一項特定目的參照），並有下列三種情形之一時，始得為之，此乃併存要件。所謂符合蒐集之特定目的，如財政部欲蒐集銀行存戶之資料時，須符合特定目的（例如：財政規劃之需要）。而下列三要件是為併存要件，所謂併存要件之意義為：須同時符合下列三要件，缺一不可。A.法令規定職掌必要範圍內須法令規定其職掌有蒐集之權利，方可蒐集之。「法令」之範圍較寬，因許多組織法是以行政命令、組織規則之形式來處理。故若組織規則中規定其職掌，亦符合此款要件。例1.法務部組織法第八條第八款規定，檢察司掌理律師之管理、監督事項。法務部處務規程第七條第五款第三目規定，律師登錄及執業管理事項。依此規定得蒐集律師之個人資料。例2.行政院人事行政局組織條例第七條第二款規定，該局資訊室職掌之一為關於行政院所屬各機關人事資料之蒐集，彙整及運用事項。例3.中央健康保險局組織條例第四條第四款規定該局承保處之職掌為承保資料之查核事項，故得蒐集被保險人承保資料。B.經當事人書面同意所謂「當事人書面同意」，應指依書面之記載，足認當事人已有同意之表示即可，不必另為特定之書面同意。C.對當事人權益無侵害之虞者例如某公務機關擬覓一高層主管，向人事行政主管機關蒐集所有適任資格者之個人資料，其蒐集對當事人權益應無侵害之虞。惟此一要件較為抽象，無法一概而論，須視具體個案分別加以認定。（二）利用之要件（本法第八條）所謂「利用」係指提供個人資料於他人（包括機關、法人、團體、公司或個人等）原則：應於法令職掌必要範圍內為之，且符合蒐集之目的例外：為促進個人資料之合理利用，得為特定目的外之利用（公務機關有九大事由，非公務機關只有五大事由），惟須具備以下要件之一時，始得為之：1.法令明文規定除經常性業務之外，很少有規定應主動利用（提供）之法令；但若僅為蒐集之情形，則有多種法令規定之，例如刑事訴訟法有相關業務檢查之規定。例1.稅捐稽徵法第三十三條第一項規定，稅捐稽徵人員對於納稅義務人之財產、所得、營業及納稅等資料、除對左列人員及機關外，應絕對保守秘密。例2.中央銀行管理票據交換業務辦法第四十五條第一項規定，票據交換所得依規定受理支存款戶退票資料之查詢。例3.法務部訂頒「法務部暨所屬各機關資訊作業安全機密維護實施要點」規定提供刑案電腦資料之情形。例4.中央健康保險局訂頒「中央健康保險局對外提供業務資料及宣導作業要點」規定提供對象與原則。2.有正當理由僅供內部使用者此款過去多有濫用之情形。正確係指各公務機關內部各單位間相互之使用或直屬機關間，例如法務部之資料得提供各地方法院檢察署之使用。但如屬平行或橫向機關相互間則不得援引本款為內部使用，此已有函令明文解釋之。3.維護國家安全者所謂「維護國家安全」乃抽象之概念，宜俟具體事實個案分別認定之，雖然看似易於套用，其實未必，因為當事人爭執時，可能產生責任承擔之問題。4.增進公共利益者所謂「增進公共利益」乃抽象之概念，宜俟具體事實個案分別認定之。例如為防止具黑道背景之候選人參加黨內初選，得請保有前科資料之機關提供紀錄。5.為免除當事人之生命、身體、自由或財產上之急迫危險者此處之當事人指資料本人處於緊急狀況，有可能危害其生命、身體安全者，而例外允許他人利用其個人資料之情形。例如某人自殺獲救後，陷於昏迷，為免除其生命之急迫危險，得提供其個人資料俾找尋親友協助照顧。6.為防止他人權益之重大危害而有必要者例如保險公司為避免道德危險之產生，向公務機關查詢某一公務員之資料時，得提供之。又或如分發至學校擔任駐衛警之替代役男，應查詢其是否有妨害風化或其他前科紀錄。蓋此為保障其他人之規定。7.為學術研究而有必要且無害於當事人之重大利益者係指純粹為學術研究之目的而提供個人資料之情形，該研究之結果無害於當事人之重大利益。例如中央研究院進行有關人口相關問題之研究，其研究結果係提供政府擬訂人口政策之參考，則內政部提供戶籍相關個人資料，可援引本款規定為之。惟研究結果宜將所蒐集之個人資料加以整理分析，不宜直接公開個人資料，始得對當事人之利益無所侵害。因此款難以認定，故最好事先嚴格限制非以個人名義，而應以機關名義申請，及說明乃何種研究，及切結日後發表研究成果時，不得將個人資料曝光。8.有利於當事人之利益者係指對於資料當事人本人之權益有所增進，即毫無理由拒絕之情形而言。例如高職等職缺符合資格之個人資料之提供。又如政府擬就特定身分之人員減免稅捐，為瞭解該等人員之人數，作為估計預算所需之依據，得提供該特定身分之名冊予財政單位。9.當事人書面同意者在取得資料當事人書面同意後，係屬該當事人實際參與資料之提供，自可加以利用，但該書面同意書仍宜