去(104)年12月30日立法院修正通過的《個人資料保護法》,經行政院公告自今(105)年3月15日開始施行。提醒民眾要特别注意「敏感個資」,包括病歷、醫療、基因、性生活、健康檢查及犯罪前科等,自今(15)日起,除少數例外情形外,不可以蒐集、處理或利用。
什麽是「個人資料」?其實,「個人資料」的範圍非常廣泛,舉凡姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動,以及其他得以直接或間接方式,識別該個人的資料,皆屬之。
《個資法》究竟規範的行為態樣有那些?其實,《個資法》不僅限於使用或利用「個人資料」,也包括「蒐集」及「處理」個人資料。也就是說,以任何方式取得個資均屬「蒐集」;而一切為建立或利用個資檔案所為的記錄、輸入、儲存、複製、檢索等行為都屬於「處理」;至於「利用」是指將蒐集的個資為處理以外使用。因此,所有與取得個資相關的行為,均在《個資法》規範範疇內。
舉例來說,發放問卷、要求民眾填寫基本資料,或申辦證件時拍攝大頭照等,皆屬於「蒐集」個人資料的行為。而依《個資法》規定,蒐集者在蒐集時,應明確告知個資所有人下列事項:
1.機關之名稱:蒐集者的姓名或其所屬的單位名稱。
2.蒐集之目的:將供作某銀行開戶使用、市場調查研究使用...等。
3.個資之類別:所蒐集的資料屬何種類。例如職業、教育背景、財務狀況、社會活動等。
4.利用之期間、地區、對象及式:例如於某期間內在某銀行,供作業人員作資料建檔之用。
5.個資所有人得行使之權利及方式:包括查詢或請求閱覽、請求給予複製本、請求補充或更正、請求停止搜集、處理或利用、請求刪除相關個人資料之權利等。
6.個資所有人如選擇不提供時,其權益所受之影響:例如若不提供資料聯絡信箱,遇特定狀況將無法收到通知。
至於「處理」或「利用」就更廣泛了。像是輸入問卷資料、將資料用作統計分析等。若其資料來源非由當事人提供,應於處理或利用前,向該個資所有人告知其「資料來源」及前述應告知事項。
個人資料的「蒐集」或「處理」,原則上應有特定目的,而個人資料之「利用」,原則上也應於蒐集之特定目的必要範圍內為之。例如若以申辦信用卡為目的蒐集聯絡資料,即不可作為促銷之用。若要作為特定目的外使用時,則應取得當事人之「同意」。
為有利《個資法》於實務上的執行,今天正式生效的《個人資料保護法》,針對「同意」方式已有所放寬。關於上述特定目的外使用的「同意」,由原本規定的「書面同意」,改為不限於書面同意的一般同意即可。不過日後若有爭議,蒐集者應就同意事實,負舉證責任。
至於,病歷、醫療、基因、性生活、健康檢查及犯罪前科等「敏感個資」,雖於99年修法時,已規定原則上不得蒐集、處理或利用,但因行政院認有執行困難的顧慮,遲遲未訂定施行日期。對此,去年修法已明定「敏感個資」得於當事人「書面同意」後蒐集、處理或利用,3月15日起規定已正式生效。
提醒大家,違反《個資法》的結果,不限於主管機關的行政罰,也可能有民事賠償及刑事責任,民眾不可不慎!
作者介紹:李貴敏,曾任第八屆立法委員,現任金典法律事務所所長,兼任交通大學科法所副教授、東吳大學EMBA副教授。熱情活力十足的她,專注於公共事務的立法正義,現更與卡優新聞網合作,將其理念、思維與情感,透過文章與國人溝通、分享。
《本專欄固定每週二刊出》
【2016-03-15 卡優新聞網】https://www.cardu.com.tw