跳到主要內容

[筆記]關於個人資料保護法的小記

跨海大橋上的落日
愈來愈少在這裡寫這種偏硬的文章,主要原因是在於自己不是讀法律的,寫這種東西很容易出錯,或意思的表達不正確,所以,我在這裡分享的是昨天上課的筆記。
昨天去集思會議中心參加B2C電子商務研討會,原本打算下午離開去參加品牌行銷的課,但早上的議程讓我覺得留下來會很值得,於是就繼續留在那椅子很難坐的蘇格拉底廳裡上課。
在詐騙愈來愈嚴重的情況下,大家才開始重視所謂的隱私問題,原本,我們有一個在民國84年8月公布的電腦處理個人資料保護法,但是,它只限於電腦處理的資料,並不包括人工手寫的紙本資料,所以「電腦處理個人資料保護法」只規範了電腦裡的資料。
在年初吧!我記得也參加過類似的課程,對於「電腦處理個人資料保護法」之後的修正草案,早在2005年改為「個人資料保護法」並已送立法院,但至昨天早上,都還在協商階段,主要在於賠償總額的上限是五千萬還是拾億?民代是否有免責條款?這兩個問題一直沒有取得共識,一直到下午我所聽到的訊息是個資法的草案已通過一讀了,有望在今年年底通過三讀。
對每個民眾而言,個資法將要通過會是一個好消息,就我所看到的內容而言,還有台上專業的法律人所分享,個資法對民眾來說是有很完善的保護,但對廠商來說,絕對是非常麻煩。
  • 在「電腦處理個人資料保護法」中所定義的個人資料包括了:自然人之姓名、出生年月日、身分證統一編號、特徵、 指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社會活動及其足以識別該個人之資料都被稱為個人資料;在在「個人資料保護法」中,個人的醫療資訊、性生活、健康檢查及犯罪前科等五種資料是特別保護的特種資料。
  • 在「電腦處理個人資料保護法」的時代裡,只限定了:醫院、學校、電信業、金融業、證券業、保險業、徵信業、大眾傳播業等八大行業,在「個人資料保護法」中,任何行業、團體及個人都納入其範疇,但如果是單純的個人或家庭活動目的就不在於此限。當廠商要蒐集個人資料時,要有明確且單獨的同意書,但像是家族出遊如果要買保險,需要蒐集家族成員的個人身分證字號、姓名、地址等個人資訊是不限制的。如果家裡有未成年的小朋友在學校裡,老師要求小朋友寫通訊錄提供個資,除了要同意書外,因為小朋友未成年,所以要家長同意書。
  • 個資法的規範已不限於電腦而已,還包括了紙本手寫的資料,
  • 當資料被竊取或外洩時,資料持有者要以適當方式通知當事人。
  • 不得任意蒐集個人資料,廠商一定要先向主管機關申請取得許可後才能蒐集資料。昨天聽到會由法務部公告相關的主管機關,所以,網路商店等會由經濟部擔任其主管機關;而其他相關的主管機關會再由法務部公告。
  • 在個資法通過後,只要是符合一定要件的財團法人或公益社團法人就可以代替當事人提起團體訴訟。
  • 民事責任:在同一原因事實行為,賠償總額提高(但目前未確認是五千萬還是拾億)。
  • 刑事責任:非意圖營利違反個資法行為者,科處兩年以下有期徒刑,屬於告訴乃論;意圖營利者的處罰則提高為五年以下有期徒刑,屬於非告訴乃論。
  • 行政責任;除了上述的處罪外,也要連帶處罰該公司(民間團體、行業)負責人之監督責任,處以壹百萬元以下的罰鍰。
  • 非金務機關首次行銷時應免費提供當事人表示拒絕的方式;當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。
重點是,只要我們覺得因個人資料被竊取或被外洩發生損失而索賠時,是不須負舉證責任,非公務機關要證明「無故意或過失責任」才能免責;公務機關則須負「無過失責任」。
還有很多的內容,要看草案才會清楚,但光是上面列的這些,就夠讓商家頭痛了,站在商家的立場來說,資安問題可以說是一個錢坑,就是不斷的砸錢買設備和軟體→測試→更新軟體的砸錢循環,儘管該買的該裝的都裝了,只要電腦連上網路你還是無法避免有哪個員工的電腦被植入木馬開了後門,甚至也很難避免員工把公司的重要資料帶出,就算沒有網路也沒有提供儲存設備,但也別低估人腦的能力
在研討會結束時,還有一點資訊,整理如下:
  • 在個資法通過後,向主管機關申請許可時還是會有空窗期,在這段期間,商家可以先寄送同意書讓現有的會員進行同意的動作,但同意書的內容一定要明確且單獨。像是一些銀行在辦卡時都會在契約書裡註明會將個人資料提供給事業相關單位或夥伴使用,這是絕對不行的哦!
  • 在蒐集個人資料時,只收集email,email address不是個人資料,但如果像是姓名(XXXXX@gmail.com),可以識別出我個人的話,這就是個人資料,當公務或非公務機關要收集這樣的資料時,就要先告知資料蒐集後的用途,我同意後才能使用,且只能使用在這個用途裡。同樣的,電話號碼因為是數字,無法辨識,所以也不算是個人資料。
令人氣餒的一個消息是,據說,那個處罰垃圾信的法案要通過還要好久好久,可能不會通過了,只能每週看某個很惹人厭的黃XX繼續寄他的垃圾信,可惡。

留言

這個網誌中的熱門文章

國際合作不是只有聊天和簽署MOU

這是第三次參與台灣網路資訊中心(Taiwan Network Information Center,簡稱 TWNIC )所辦理的 IP 政策資源管理會議 ( IP Open Policy Meeting, 簡稱OPM,以下如果有再提到都會寫為 TWOPM )。第一次參加時覺得有點像研討會,第二次匆匆忙忙的在活動進行到一半就要趕往柏林參與 Freedom Online Coalition 年會,這是第三次參與會議,留下一點心得記錄。
因為自己接觸的領域也多在應用與末端消費者的使用研究或是政策治理,較少接觸到網路基礎建設端的「政策(Policy)」或是「治理(Governance)」。消費者應用端都常較容易理解,也容易獲得共鳴,以行銷與管理的角度來說,談應用端的投入成本不高,回收速度快,自然大家也都會一窩蜂往末端應用來談:網路行銷、應用⋯⋯簡而言之就是以最少成本行發大財之目的。

關於 2019 年的網路治理議題

註:原文寫於今年三月,刊登在 Medium ,不過再兩個星期就是 TWIGF 了,所以把這篇文章搬回來,也邀請各位讀者們一同參與今年的 TWIGF。如果在現場遇到的話,歡迎一起交流,以下是會議資訊:
TWIGF 2019 年度論壇時間:2019 年7月5~6日(週五和週六)地點:中華電信總公司大樓 (臺北市中正區信義路一段21-3號)主題:建立開放、包容、信任、創新的數位社會TWIGF 網站及議程
在 2018 年時,全球的網路治理活動圍繞著:網路安全、個資保護議題、歐盟的 General Data Protection Regulation (GDPR)、Facebook (或其他企業)販售或不當使用使用者的資料,進行操弄使用者行為…等議題,並在這些議題下衍生出更多隱憂,例如區域合作、各國打造更嚴格的個人資料保護法…等。2018 年的聯合國網路治理論壇(以下簡稱 IGF)的主題是 “ The Internet of Trust” ,在於建立信任,而 2019 年的主題則以三個方向為主(英文頁面):
資料治理 Data Governance 數位包容 Digital Inclusion 安全與具有彈性的網路是數位經濟成長的先決條件和對整體數位環境有益。 Security, Safety, Stability and Resilience: Security and Safety are prerequisites to economic growth and a healthy digital environment beneficial to all.

問題不在於區塊鏈

這個星期在台灣,有一場盛大的「亞洲區塊鏈高峰會」,因為在準備 TWIGFAPrIGF 2019 的會議資料,就沒有報名。看了INSIDE 整理的逐字稿,不禁坐在電腦前抽動著嘴角。對於需要經過銀行或是第三方、第 N 方擔保的支付工具,都應屬於建立信任的數位支付工具,如果一個以加密貨幣為交換工具卻還要經過銀行,那都不是「區塊鏈應用」,或可說,它還在重建信任的過渡期。

自接觸區塊鏈應用以來,不斷的聽到網際網路的大老們、前輩們、經濟學者們都在極力反對區塊鏈技術,很多人權團體、媒體、各國央行、金融體系都對於區塊鏈的特性大加撻伐:
過度集中、非去中心化。整個網際網路是個過度中心化的系統,大概很少有人去想網際網路的架構和特性。ICO 是詐騙。老實說,這就是一個人要不要被騙一樣,你不能說投資失敗就是被騙,ICO 是一種賺錢手段,但是「投資」還是「投機」?每個人心中都有一把尺。加密貨幣(Cryptocurrency)的應用。加密貨幣是數位(電子)支付的一種,大家常常把加密貨幣作為數位支付的代名詞。台灣政府對於加密貨幣的態度較偏向視之為虛擬貨幣、商品,而不是正式的法幣 (Fiat Money)。無法移除不該保有的資料。有些人權團體表示會有人把婦女、孩童受虐的照片或裸露的影片上傳到區塊鏈上,且無法移除。把這個問題歸咎於區鏈技術實在很莫名其妙,畢竟暴力傷害人類、動物的行為就是非法行為,當影片或照片上網後,會迅速的傳播與擴散,有些是存在私人的硬碟裡。但該注意的重點在於:(1) 這些虐待、強迫裸露、拍攝這些影片與照片的犯罪行為根本就不該發生(犯罪預防)、(2) 這些存在私人硬碟裡的照片與影音檔根本就不該被擴散 (民眾教育)、(3) 基於前面兩點,政府應該加強自己的責任,而不應該強迫平台業者對使用者的內容進行審查,內容審查是侵犯言論自由權的。智財所有權的問題。例如用作品完成時的時間戳記 (Timestamp) 可以證明是自己的作品,但今天如果有人把這篇文章用他自己的帳號,把文字內容上傳到 IPFS (星際檔案系統,Inter Planetary File System),頂多就是在之後加註原始作者是誰,上傳者不是原作者這種尷尬的情況。所以日後若是使用自動化的分潤系統,要怎麼去證明作者是誰?如何分給哪些人?交易速度慢,無法因應全球金融、資料交換的大量工作。反觀,網際網路被大量應用的年代初期…