個人資料保護法於101年施行，由於實務適用上迭有爭議，加以科技發展而使個資保護再度成為國際間熱門議題，是我國政府即欲逐步推動修法。去(104)年12月15日由立法院通過修正版本(以下稱為新個資法)，並於12月30日公布，再由行政院於今(105)年2月25日公告將在105年3月15日正式施行。以下將介紹本次修法重點以及對修正之短評。

【介紹與短評】

1.特種個資的規範修正

1-1將 「病歷」加入第6條「特種個資」作為規範客體。

【短評】

考量「病歷」本為「醫療」資料內涵之一，均為對當事人高度敏感與隱私之個人資料，是本次修法於第6條「特種個資」加入「病歷」作為規範客體，殊值肯定。

 

1-2修正第6條第1項但書第2款
舊：「公務機關執行法定職務或非公務機關履行法定義務所必要，且有適當安全維護措施。」
新：「公務機關執行法定職務或非公務機關履行法定義務必要範圍內，且事前或事後有適當安全維護措施。」

【短評】

由於依個資法第18條及第27條第1項規定，公務機關及非公務機關本即有採取安全維護措施之義務，但舊個資法將該義務列為機關蒐集、處理或利用特種個資的前提要件，勢將使尚未採取安全維護措施，但卻須執行法定職務或履行法定義務的公務機關與非公務機關陷於「法律要求蒐集、處理、利用特種個資」與「違法蒐集、處理、利用特種個資」之矛盾。

因此本款修正強調基於執行法定職務或履行法定義務而須蒐集、處理或利用特種個資之機關，其適當安全維護措施不限於「事前」即須採行而可於「事後」導入，係對機關放寬合法要件。

然而，安全維護措施是否適當，須針對不同機關的具體情況依比例原則判斷，將此一不確定法律概念作為合法蒐集、處理、利用特種個資的要件，在司法實務的判斷上恐面臨一定難度。更有甚者，此概念作為個資法刑事責任的構成要件，是否與「構成要件明確性」的刑法原則有違，亦有賴實務操作的積累，值得觀察。

 

1-3 修正第6條第1項但書第4款
舊：「公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且經一定程序所為蒐集、處理或利用之個人資料。」
新：「公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。」
刪除：原第6條第2項「前項第四款個人資料蒐集、處理或利用之範圍、程序及其他應遵行事項之辦法，由中央目的事業主管機關會同法務部定之。」

【短評】

本款修正係為因應統計或學術研究之需求，而規範「去識別化」之特種個資可予以蒐集、處理或利用之例外。

然而，一來「去識別化」之標準於我國尚無定論（目前實務上已有經濟部標準檢驗局之CNS29191標準，但尚未普及），將「無從識別特定之當事人」作為合法要件，違反者甚可能將面臨刑事責任，似有未當；二來如依法務部之見（例如103年11月17日法律字第 10303513040 號函），去識別化之個資將不再是個人資料，不適用個資法，則在個資法個別條文中又加以規範(第6條、第16條、第19條、第20條)，將造成法律解釋的紊亂，蓋如依法條文義解釋，應僅有公務機關及學術研究機構可主張合法利用去識別化之特種個資，或於蒐集目的外利用去識別化之一般個資，因此將來實務上如何操作「個人資料去識別化」，應仍是熱門話題。

 

1-4 新增第6條第1項但書第5款：「為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內，且事前或事後有適當安全維護措施。」

【短評】

本款新增所針對之情境令人費解，若為協助公務機關執行法定職務或非公務機關履行法定義務而提供(利用)特種個資，以「委託關係」處理雙方權利義務，更能建立可歸責性；如雙方非委託關係，則以「法律明文規定」或新增「為增進公共利益所必要」作為要件始符合主管機關法務部歷來之見(該見解是否允當仍有討論空間)。然今新增本款以「協助」作為合法要件，似將放寬機關蒐集、處理、利用特種個資之條件，與「高敏感個資應限制其蒐集、處理及利用」之原則有違。

 

1-5 新增第6條第1項但書第6款：「經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用，或其同意違反其意願者，不在此限。」

【短評】

本款新增目的在於尊重當事人的個資主體地位，由當事人自行決定是否讓機關蒐集、處理或利用其特種個資。然而條文中「同意違反其意願者」之描述恐無必要。蓋「同意」之意本即以「依當事人意願」為其內涵，違反當事人意願之意思表示根本不符合「同意之品質」，並非有效的同意行為。因此，於個資法總則中(例如第7條)增加規範當事人同意之內涵始為根本之計。

 

1-6新增第6條第2項：「依前項規定蒐集、處理或利用個人資料，準用第八條、第九條規定；其中前項第六款之書面同意，準用第七條第一項、第二項及第四項規定，並以書面為之。」

【短評】

本項新增係為避免機關誤會蒐集特種個資無須踐行告知義務，並規範「書面同意」機關蒐集、處理或利用特種個資之內涵，且排除新法的「推定同意」，應予肯定。

 

2.「當事人同意」規範調整

2-1刪除本法原規定「蒐集、處理個資」要件之一「當事人書面同意」之「書面」要式性(第15條第2款及第19條第1項第5款)；刪除本法原規定「蒐集目的外利用個資」要件之一「當事人書面同意」之「書面」要式性(第16條但書第7款、第20條第1項但書第6款)。

2-2新增第7條第3項：「公務機關或非公務機關明確告知當事人第八條第一項各款應告知事項時，當事人如未表示拒絕，並已提供其個人資料者，推定當事人已依第十五條第二款、第十九條第一項第五款之規定表示同意。」之「推定同意」。

2-3 新增第7條第4項：「蒐集者就本法所稱經當事人同意之事實，應負舉證責任。」

【短評】

為因應虛擬世界的網路科技發展以及適用電子簽章法的不便，本次修法刪除「蒐集、處理個資」與「蒐集目的外利用個資」要件之一「當事人書面同意」的書面要式性，將來當事人之同意不限以任何方式為之，但須由資料蒐集機關就當事人同意之事實負舉證責任。

值得注意的是，本次修法新增一般個資的「推定同意」，將來只要蒐集機關明確向當事人告知法定事項，而當事人未表示拒絕且提供個資者，即推定當事人同意機關於特定目的內蒐集、處理、利用其個人資料。可以想見，對非公務機關(如企業、財團法人、社團法人、基金會)而言，既然「告知法定事項」本即為其義務，將來恐因此款「推定同意」而無須適用新個資法的「與當事人有契約或類似契約之關係，且已採取適當之安全措施」之要件，使該款要件成為具文。

 

3.增修蒐集者免告知義務的例外事由

3-1修正第8條第2項第4款
舊：「告知將妨害第三人之重大利益。」
新：「告知將妨害公共利益。」

【短評】

本款修正刪除原以「第三人之重大利益」作為告知義務例外的不確定法律概念，卻以另一個不確定法律概念「公共利益」代替，在實務上將如何適用值得觀察。

 

3-2新增第8條第2項第6款：「個人資料之蒐集非基於營利之目的，且對當事人顯無不利之影響。」

【短評】

本款修正係為減輕蒐集機關之告知義務負擔，然而，當事人基於個資主體之地位，有權事先知悉蒐集機關取得哪些個資及其對應之目的與利用方式等資訊，以此掌握其個人資料之控制權或知情權，此為憲法上保障之「資訊自主權」。此權利與蒐集機關是否基於「營利」目的而取得當事人個資無關，亦不應因「對當事人有利不利」而受影響，本款新增實已忽視「告知義務」之規範目的，仍有斟酌之餘地。

 

4.補充個資正確性爭議之規範

修正第11條第2項：
舊：「個人資料正確性有爭議者，應主動或依當事人之請求停止處理或利用。但因執行職務或業務所必須並註明其爭議或經當事人書面同意者，不在此限。」
新：「個人資料正確性有爭議者，應主動或依當事人之請求停止處理或利用。但因執行職務或業務所必須，或經當事人書面同意，並經註明其爭議者，不在此限。」

【短評】

本條修正目的在於釐清「限制當事人行使權利」之要件，明文規範在當事人因個資正確性有爭議而請求停止處理或利用個資時，如「當事人書面同意並經(當事人)註明其爭議」者，則可繼續處理或利用其個人資料。

 

5.增修公務機關於目的外利用個資的例外事由

修正第16條但書第2款：
舊：「為維護國家安全或增進公共利益。」
新：「為維護國家安全或增進公共利益所必要。」

【短評】

本次修正將公務機關基於「增進公共利益」而在原蒐集個資之目的外合法利用個資之條件新增為「為增進公共利益所必要」，僅是將適用整部個資法的「必要原則」(第5條)予以重申並落實於法條之中，並非具有實質意義的修正。

 

6.增加與修正非公務機關於蒐集個資的要件

6-1修正第19條第1項第2款
舊：「與當事人有契約或類似契約之關係。」
新：「與當事人有契約或類似契約之關係，且已採取適當之安全措施。」

【短評】

雖然依個資法第27條第1項規定，非公務機關保有個人資料檔案者，本即應「採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏」，但本款修正將「已採取適當之安全措施」新增為非公務機關依(類似)契約關係而蒐集、處理個資的條件，則若該非公務機關在依(類似)契約關係而取得當事人之資料前，尚未採取一定之安全維護措施者，將構成違法蒐集、處理個資行為，此規範等於加重非公務機關責任。

但如同上述特種個資的要件般，安全措施是否適當須針對不同機關的具體情況分別判斷，此款修正將「適當安全措施」列為合法蒐集、處理個資之條件，未採取安全措施者甚至可能構成刑事責任，未來實務上如何認定將值得留意。

 

6-2 修正第19條第1項第6款
舊：「與公共利益有關」
新：「為增進公共利益所必要。」

【短評】

所謂「有關」一詞易讓人誤會是否僅考慮「關聯性」即可而無須斟酌「必要性」，將悖於個資法強調之「必要原則」。本次修正將「有關」二字刪除並重申「必要」原則，殊值肯定。

 

6-3新增第19條第1項第8款：「對當事人權益無侵害。」

【短評】

雖然新增本款之目的在於促進個人資料之合理使用，但對當事人權益有無侵害恐無一致標準，非公務機關是否將依本款而規避原應適用之其他條件(例如蒐集會員個資是否對會員之權益無侵害？如是，則原本企業應基於會員契約關係蒐集會員個資，且依新法尚須事先採取適當之安全維護始為合法蒐集行為，則企業將可主張本款之「對當事人權益無侵害」而規避「事先採取適當之安全維護」之要求)，或是非公務機關將因顧慮法律解釋風險而不願適用本款規定，徒使本款成為具文，皆值得觀察。

 

7.增修非公務機關於目的外利用個資的例外事由

7-1修正第20條第1項但書第2款
舊：「增進公共利益」
新：「為增進公共利益所必要」

7-2新增第20條第1項但書第7款：「有利於當事人權益」

【短評】

與公務機關相同，本次修正將非公務機關適用之「增進公共利益」而可合法於蒐集目的外利用個資之條件新增為「為增進公共利益所必要」，僅是將適用整部個資法的「必要原則」予以重申並落實於法條之中，並非具有實質意義的修正。

但新法增加「有利於當事人權益」作為非公務機關在原蒐集個資之目的外合法利用個資之條件，實有待商榷。與前述「對當事人權益無侵害」之理由相同，所謂「有利於當事人權益」是一不確定法律概念，是否有利或者有利於何種權益皆無法一概而論，單由利用個資之機關主觀判斷恐有風險。且條文僅規範需「有利於當事人權益」即可合法於目的外利用個資，卻未說明是否亦需「未有其他不利於當事人權益之情事」，或「對當事人之有利情況大於不利情況」等要件，恐為非公務機關大開方便之門而於目的外利用個資，又或非公務機關將因顧忌風險而使本款成為具文。

(未完待續)