搞定個資法不難,重點在「安管措施」!
2012.9.11
陳明堂(法務部次長)講了,今年10月1日個人資料保護法正式施行,除了要對全部政府機關及民間組織一體適用之外,同時還不給任何的寬限期,因為這已經是二年多前通過的法律;通過之後遲遲不施行,已經等同有寬限期了。
話這樣講是沒錯,但我們的客戶可就一個比一個緊張了:「到底我們該做什麼」?其中有國際連鎖健身業者,保管在系統裡的個資(包括現在有效的會員,以及舊會員)近百萬筆;也有大型的連鎖健保藥局,個資幾十萬筆不說,個資的內容還包括客戶的病歷與藥歷!
新法施行,總為企業帶來一堆新限制,也催生了新商機。有很多IT業者見獵心喜,忍不住就結合了搞ISO 27001(這是國際標準化組織在2005年所公布之ISMS – 資訊安全管理系統 – 的標準)、BS10012:2009 PIMS之類認證的顧問公司,加上一堆軟硬體弄系統整合、幫企業打造客製化的解決方案,東整西整,隨便開價就得花幾百萬。
我沒罵這些人沒良心想發國難財、我也沒說這些全是唬攏企業的噱頭。然而,作為深耕內控十餘年的商務律師(本所從1999年就開始研究內部控制制度和法令遵循計畫,目前在這個領域所發表論文之數量在兩岸律師界排名第一),我不禁懷疑,個資法對於企業經營者而言,其核心義務也不過就是訂定並執行「適當的安全維護措施」(第6條、第27條、第48條),哪需要像這些業者講得這麼複雜?
我們預計,政府很快就會開始要求各民間組織包括營利及非營利事業在內,針對其所保管之個人資料,訂定安全維護計畫。如果不訂,會被限期改善,還會被連續科處$20,000到$200,000的罰鍰。其實,就算沒有這樣的罰則,對企業而言,也還是非訂不可。原因很簡單:
個資法第29條第1項規定,如果企業「違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任」。賠多少?這兒才是真正嚇人的部分。關於個資侵權案件,每人都能就其個資呈請法官在$500到$20,000的範圍內核定損害額。單一個案,最高還能判賠到兩億!再加上,個資法還允許,受害的個人,可以在嗜血又暗抽高額後酬的協會或基金會組織的號召下,對企業打團體訴訟,這種團體訴訟在法院的戰力,絕不輸給一般的中小企業,處理起來的確格外棘手。
近年來,不論是電視購物、網路商店、線上賣家…洩露個資的意外始終層出不窮,有的公司還不只發生一次。如果依這樣的新法處理,有多少家公司捱得起上面這種賠償金?
而萬幸的是,個資法也作了例外規定,如果能證明對於個資的外流或盜用,自己並無故意或過失的話,就「可以免賠」(第29條第1項但書);也就是說,倘若公司有對所保管的個資作好安全維護措施的話,就能在訴訟上,對法官主張「我真的已經盡力了…恭請恩准免死…」。
由此可見,萬一遲遲不為公司裡的個資(可千萬別以為個資只有搞網路的公司才有。所有公司裡的人事資料、薪資報表、員工通訊錄…全是個資,沒有一家公司跑得掉)設計並執行一套適當的安全維護措施,還真有可能陷於萬劫不復。本文先點出個資法之核心重點,下次將繼續說明,到底該怎樣設計執行,才能過得了政府這一關,並且在遇到事情時拿出來當成免死金牌。
行政院決議個資法10月1日上路
2012-09-07 iThome 記者 黃彥棻
新版個資法將於10月1日上路,「敏感性個資不得蒐集利用」、「間接取得的個資要在1年內完成告知」皆將暫緩實施
行政院院長陳冲於8月30日終於拍板敲定,宣布新版個資法定於10月1日施行,不過,行政院也通過有疑義條款的修正草案,擬修正第6條和第54條,以及刪除第41條與第45條的部份條款。修正案將列入立法院9月會期的優先修法對象。若來不及完成修法,行政院將暫緩實施第6條和54條,其餘條款則如期於10月1日全數施行。
新版個資法公布2年多,因諸多疑義迄今尚未施行,終於,行政院院長陳冲在8月30日行政院會中表示,對於多數沒有爭議的個資法條文,將從今年10月1日開始施行,如上述有爭議的條文,則由行政院提出修正草案,送交立法院進行修法。
敏感性個資先比照一般個資規範
法務部常務次長陳明堂表示,按照行政院院會的決議,新版個資法將如期在10月1日實施時,若來不及完成修法,會優先保留第6條和第54條條文的規定。
陳明堂解釋,行政院預計修法內容,除了將「病歷」納入敏感性個資,原本法條要求禁止使用這類敏感性個資,現在放寬使用限制,新增「為維護公共利益所必要」及「經當事人書面同意」,就可以利用敏感性個資的例外條款。
若來不及在實施前完成修法,陳明堂表示,行政院將優先保留第6條暫緩實施,所以,敏感性個資可視為一般性個資來對待。
間接取得的個資,只需在利用前告知
另一個行政院將暫緩實施的第54條,是金融、電信業者最擔心的非直接蒐集個資需1年內告知的義務。因為這些企業擁有的個資量往往多達上百萬或千萬筆,很難在施行後1年內完成告知。所以,行政院已通過修正草案要將該條款改為間接取得的個資,只要在利用或處理前告知當事人即可,不用在施行後1年內完成當事人告知。
非意圖營利而違法使用個資者不再有刑責
另外還有兩項修正草案,第一個是關於新版個資法第41條對個資非意圖營利使用的罰則包括了「2年以下有期徒刑、拘役或科或併科新臺幣20萬元以下罰金」。陳明堂表示,對違反者處以民事損害賠償、行政罰等就已經足夠,若再課以刑責並不符合比例原則,未來將刪除刑責部分的條文內容。
第41條非意圖營利條文刪除後,陳明堂表示,未來非意圖營利者因不需要負擔刑責,只需承擔行政罰則,所以第45條原本規定「個資使用的非意圖營利者,將視為告訴乃論」的條文,也將予以刪除。但陳明堂強調,雖然不對個資非意圖營利者課以刑責,但對所有個資意圖營利者的相關刑責都還在。違反個資法且沒有營利企圖者,在個資法上將不再有刑事責任,而只有民事責任,而意圖營利且違法者則仍需負擔刑事和民事責任。
新版個資法主要是參考歐盟1995年個人資料保護指令,但隨著各種新興科技、自動化處理和網際網路的發展、歐美等國最新個人資料保護修法趨勢及各界意見,陳冲則指示,法務部在個資法施行1年後,應重新檢視並檢討新版個資法的相關執行狀況。
陳明堂則說,等到行政院正式公布新版個資法的施行日期後,法務部將陸續發布個資法施行細則,並將函知各產業目的事業主管機關所管轄的產業範圍。他表示,新版個資法施行細則將與新版個資法同步施行。