壹、【前言】:
台灣原稱「電腦處理個人資料保護法」,自西元1995年即已經公布施行。然因近年來個人資料外洩案例層出不窮,法務部自西元2003年即將所研擬的「電腦處理個人資料保護法草案」(三讀通過條文名稱改為「個人資料保護法」(Personal Information Protection Act))(以下簡稱「個資法」),呈報行政院核轉立法院審議。歷經立法院多年多屆的審議,終於在西元2010年的4月27日三讀通過,並於同年的5月26日由總統公布,惟其施行日期截至目前為止仍未決定。
新法除了強化針對個人資料揭示、查詢及更正的控制外,亦將「亞太經濟合作會議隱私保護綱領」(APEC Privacy Framework)所揭示的預防損害、告知、資料蒐集限制等多項原則納入規範,以期能夠建制更為安全的資訊生活環境。而與台灣航運業者(包括海、空運業者)有關的範圍,不外:人資部門所掌握的員工(包括船員、機師等海/陸/空勤人員)個人資料 、醫療部門所掌握的員工病歷/醫療/健康檢查等個人資料、風險管理部門所掌握的員工團保資料、營業或訂位部門所掌握的乘客資料,暨股務部門所掌握的股東個人資料等。本文擬從修法的重點與影響切入,並進一步探討航運業者的因應對策,最後擬針對航運業者所可能面對的疑問,預先提出釋疑,以期未來各家航運業者在「個資法」正式施行後,即能迅速步入軌道。
貳、【重要修法介紹及其影響】:
一、擴大適用主體及保護客體:
原「電腦處理個人資料保護法」的適用主體,主要僅限於公務機關,及徵信業、醫院、學校、電信業、金融業、證券業、保險業與大眾傳播業等八大行業。而在保護客體方面,亦僅及於經電腦或自動化機器處理的個人資料,對個人隱私的保護尚嫌不足。因此,本次修法打破前開限制,將所有涉及個人資料蒐集、處理,及利用的個人、機關或企業,均納入「個資法」的規範,並同時取消原先需事前取得執照與登記等規定;而保護客體亦擴及所有可以直接或間接識別個人的資料。
二、禁止敏感性資料的蒐集、處理與利用:
有關醫療、基因、性生活、健康檢查,及犯罪前科等個人資料,因較其他種類的個人資料更接近「隱私權」核心,故「個資法」特別明定除有法定特殊事由外 ,一律禁止對該種「敏感性資料」(sensitive categories of data)的蒐集、處理,及利用,以強化對於個人隱私的保護。
(請洽kelly0720@gmail.com 購買全文閱讀點數)
參、【建議因應之道】:
一、制定個人資料保護內規:
「個資法」由於詳細規範個人資料蒐集、處理及利用的相關程序,並要求企業應該採行「適當安全措施」,防止個人資料被竊取、竄改、毀損、滅失或洩露,因此,企業宜依「個資法」的架構及隱私權保護的觀點,制定個人資料保護「內規」,以確立機關或企業內部對於個人資料管理、保護,及利用的原則 。
(請洽kelly0720@gmail.com 購買全文閱讀點數)
肆、【問題之提出與擬答】:
一、「個資法」正式施行後,現有員工是否需要補簽「書面同意書」?
(請洽kelly0720@gmail.com 購買全文閱讀點數)
伍、【結語】:
「個資法」雖然已經公布,但仍有待訂定施行日期。在施行前尚有該法授權的諸多法規命令與行政規則亟待補充,例如個人資料檔案安全維護計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之(個資法第27條第3項)。特定目的及個人資料類別,由法務部會同中央目的事業主管機關指定之(個資法第53條)等,在「個資法」施行前,均必須先予處理。此外,於必須書面同意方式為之者,法務部的法律事務司呂丁旺副司長認為亦宜訂定定型化書面,藉供人民遵循,以去除「個資法」施行的障礙 。
另,攸關「敏感性資料」的這個部分,我們發現在歐盟的「個資法」第8條禁止個人敏感資訊蒐集、處理或利用等行為規範的例外情形中,尚包括「對於法律未禁止的合法行為過程中,機構內部以及相關人員所為合乎目的的利用行為」 ,而在台灣本次的修法中並沒有相對應的規範,筆者認為有討論的空間 ,尤其在求職的情況下,若在符合其職務屬性的情況下,往往必須作背景查核而需要瞭解某些個人的敏感資訊(譬如說航空器內所配置的保全人員)。因此,本文建議應將歐盟個人資料保護法中所規定「法律未禁止的合法行為過程中,機構內部以及相關人員所為合乎目的的利用行為」的例外規定,列入台灣「個資法」第6條有關個人敏感資料保護原則的但書範圍內(全文完)。
沒有留言:
張貼留言