個資法！一個劃時代的法案？

[企業必須自行舉證沒有違反個資法]

在新版個資法中，企業必須證明自己確實符合法規要求。當企業進行各項遵循個資法的行動時，不論是各種告知義務、爭取當事人同意或回應個人請求等行為，都必須記錄，以作為未來事後舉證之用。 黃荷婷表示：「個資法要求企業必須舉證說明自己沒有過失或故意違反法律。這可以讓企業更加重視隱私權和個人資料的保護。」 不過，在個資法大幅增加企業保護個資的義務以外，政府也同步規畫了協助企業的配套措施。針對個資法要求企業舉證的要求，經濟部商業司已經規畫了一個隱私權標章制度。 這套隱私權標章制度提供了一套驗證機制，可以用來檢驗企業是否符合個資法的隱私權要求，符合者發放合格標章，而且驗證機構還會定期複查企業是否持續執行。 驗證機構由各產業工會擔任，商業司則會另外訂定驗證機構的資格。黃荷婷說：「隱私權標章可以作為企業非故意或過失違反的舉證之一。」 新通過的個資法雖然只有56條，但是規範了所有人處理個人資料的方式，面對如此龐大的管轄範圍，黃荷婷坦言，個資法很難做到鉅細靡遺的要求，法務部會盡可能地透過施行細則完善各項個資規範。 若實行細則還有不足，黃荷婷說：「考慮在施行細則中，授與各主管機關可以透過行政命令補充規範的權限，一來主管機關最了解產業實況，另一方面也能讓法規快速因應各種新科技衍生的個資問題。」 未來，個資保護議題勢必成為企業必須長期關注的焦點，不但要了解個資法法條和施行細則，還需要隨時掌握主管機關對於個資保護的最新要求。 企業必知的個資法重點 個人資料保護法規範對象包括了公務機關、自然人、法人和其他團體。其中只有部分條文與企業有關，我們從這些條文中彙整出14項企業必知的個資法重點，這些都是企業因應個資法時必須了解的法條內容。 規範行為 ● 蒐集、處理及利用個資。 個資定義 ● 包括個人的姓名、出生年月日、身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方 式、財務情況、社會活動，以及其他可以直接或間接識別出個人的資料，不論紙本或數位形式，都屬於個資法的保護範圍。 個人權利 ● 個人可向企業請求查詢、閱覽、提供複製副本、更正或補充、停止蒐集、停止處理或利用、請求刪除。個人請求後，企業需於時限內回覆。 規範對象 ● 公務機關、自然人、企業法人、其他團體（三人以上即可視為團體）。代理蒐集機關則視同委託者。 主管機關 ● 由目的事業主管機關管轄，而非事件發生地主管機關。多個主管機關或管轄者不明則透過協調聯繫機制決定。 告知責任 ● 蒐集個資時應向當事人告知企業名稱、蒐集目的、資料類別、當事人權利、利用時間、地區、對象與方式、不告知的影響等。 ● 使用目的改變時，企業應告知當事人。 ● 非向當事人蒐集的現有顧客資料庫，必須在法案施行1年內告知。 ● 個資異動後，應告知提供過個資的對象。 ● 發生個資外洩情事後，應告知當事人。 ● 告知形式不拘，有記錄可供事後舉證即可 免告知情況 ● 法律明文規定／依法執行公務。 ● 告知將妨礙第三人重大利益。 ● 當事人明知這些應告知內容。 ● 當事人自行公開或其他合法公開內容。 ● 無法告知當事人或法定代理人。 ● 學術研究之必要，且無法識別之個資。 ● 大眾傳播業為公共利益而蒐集。 可蒐集或處理的條件 必要條件： ● 應有特定目的，且只能在該目的範圍內利用。 ● 不得蒐集醫療、基因、性生活與犯罪前科的個資。 多擇一條件： ● 法律明文規定。 ● 與當事人有契約關係，契約形式不限，可用電子契約。 ● 當事人自行公開或其他合法公開，企業需確認合法性。 ● 當事人書面同意。 ● 取自一般可得來源（如搜尋引擎）。 ● 公共利益相關。 ● 學術研究之必要，且無法識別之個資。 書面同意 ● 意指紙本同意書，不能透過電子文件或電子簽章取得同意。 不適用個資法狀況 ● 無法識別該個人的個資。 ● 個人為了個人或家庭活動的蒐集、處理或利用。 ● 公開場所或公開活動中的影片、圖像與聲音資料（未與其他個資結合）。 損害賠償 ● 當事人可向違反個資法的企業求償，每人每次5百元～2萬元，相同原因合計最高求償金額2億元。 罰則 ● 違法蒐集、處理或利用個資而產生損害時，處2年以下有期徒刑、拘役或併科20萬元以下罰金。 ● 違法蒐集、處理或利用個資，意圖營利者處5年以下有期徒刑、拘役或併科100萬元以下罰金。 行政罰鍰 ● 違反蒐集、處理與利用相關法規，限期未改善，每次可罰5～50萬元。 ● 違反告知義務、維護義務、個人請求相關法規，限期未改善，每次可罰2～20萬元。 ● 拒絕主管機關檢查者，每次可罰2～20萬元。 ● 企業代表人未盡力防止發生上述違反事項，處相同額度之罰款。 企業現有個資（顧客與員工）處理原則 ● 企業非直接向當事人蒐集的個人資料，必須在法案實施後一年內告知當事人，未告知前不能處理或利用。 ● 現有行銷資料庫可視為非首次行銷的個資，不用提供拒絕行銷的管道。