跳到主要內容

[筆記]關於個人資料保護法的小記

跨海大橋上的落日
愈來愈少在這裡寫這種偏硬的文章,主要原因是在於自己不是讀法律的,寫這種東西很容易出錯,或意思的表達不正確,所以,我在這裡分享的是昨天上課的筆記。
昨天去集思會議中心參加B2C電子商務研討會,原本打算下午離開去參加品牌行銷的課,但早上的議程讓我覺得留下來會很值得,於是就繼續留在那椅子很難坐的蘇格拉底廳裡上課。
在詐騙愈來愈嚴重的情況下,大家才開始重視所謂的隱私問題,原本,我們有一個在民國84年8月公布的電腦處理個人資料保護法,但是,它只限於電腦處理的資料,並不包括人工手寫的紙本資料,所以「電腦處理個人資料保護法」只規範了電腦裡的資料。
在年初吧!我記得也參加過類似的課程,對於「電腦處理個人資料保護法」之後的修正草案,早在2005年改為「個人資料保護法」並已送立法院,但至昨天早上,都還在協商階段,主要在於賠償總額的上限是五千萬還是拾億?民代是否有免責條款?這兩個問題一直沒有取得共識,一直到下午我所聽到的訊息是個資法的草案已通過一讀了,有望在今年年底通過三讀。
對每個民眾而言,個資法將要通過會是一個好消息,就我所看到的內容而言,還有台上專業的法律人所分享,個資法對民眾來說是有很完善的保護,但對廠商來說,絕對是非常麻煩。
  • 在「電腦處理個人資料保護法」中所定義的個人資料包括了:自然人之姓名、出生年月日、身分證統一編號、特徵、 指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社會活動及其足以識別該個人之資料都被稱為個人資料;在在「個人資料保護法」中,個人的醫療資訊、性生活、健康檢查及犯罪前科等五種資料是特別保護的特種資料。
  • 在「電腦處理個人資料保護法」的時代裡,只限定了:醫院、學校、電信業、金融業、證券業、保險業、徵信業、大眾傳播業等八大行業,在「個人資料保護法」中,任何行業、團體及個人都納入其範疇,但如果是單純的個人或家庭活動目的就不在於此限。當廠商要蒐集個人資料時,要有明確且單獨的同意書,但像是家族出遊如果要買保險,需要蒐集家族成員的個人身分證字號、姓名、地址等個人資訊是不限制的。如果家裡有未成年的小朋友在學校裡,老師要求小朋友寫通訊錄提供個資,除了要同意書外,因為小朋友未成年,所以要家長同意書。
  • 個資法的規範已不限於電腦而已,還包括了紙本手寫的資料,
  • 當資料被竊取或外洩時,資料持有者要以適當方式通知當事人。
  • 不得任意蒐集個人資料,廠商一定要先向主管機關申請取得許可後才能蒐集資料。昨天聽到會由法務部公告相關的主管機關,所以,網路商店等會由經濟部擔任其主管機關;而其他相關的主管機關會再由法務部公告。
  • 在個資法通過後,只要是符合一定要件的財團法人或公益社團法人就可以代替當事人提起團體訴訟。
  • 民事責任:在同一原因事實行為,賠償總額提高(但目前未確認是五千萬還是拾億)。
  • 刑事責任:非意圖營利違反個資法行為者,科處兩年以下有期徒刑,屬於告訴乃論;意圖營利者的處罰則提高為五年以下有期徒刑,屬於非告訴乃論。
  • 行政責任;除了上述的處罪外,也要連帶處罰該公司(民間團體、行業)負責人之監督責任,處以壹百萬元以下的罰鍰。
  • 非金務機關首次行銷時應免費提供當事人表示拒絕的方式;當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。
重點是,只要我們覺得因個人資料被竊取或被外洩發生損失而索賠時,是不須負舉證責任,非公務機關要證明「無故意或過失責任」才能免責;公務機關則須負「無過失責任」。
還有很多的內容,要看草案才會清楚,但光是上面列的這些,就夠讓商家頭痛了,站在商家的立場來說,資安問題可以說是一個錢坑,就是不斷的砸錢買設備和軟體→測試→更新軟體的砸錢循環,儘管該買的該裝的都裝了,只要電腦連上網路你還是無法避免有哪個員工的電腦被植入木馬開了後門,甚至也很難避免員工把公司的重要資料帶出,就算沒有網路也沒有提供儲存設備,但也別低估人腦的能力
在研討會結束時,還有一點資訊,整理如下:
  • 在個資法通過後,向主管機關申請許可時還是會有空窗期,在這段期間,商家可以先寄送同意書讓現有的會員進行同意的動作,但同意書的內容一定要明確且單獨。像是一些銀行在辦卡時都會在契約書裡註明會將個人資料提供給事業相關單位或夥伴使用,這是絕對不行的哦!
  • 在蒐集個人資料時,只收集email,email address不是個人資料,但如果像是姓名(XXXXX@gmail.com),可以識別出我個人的話,這就是個人資料,當公務或非公務機關要收集這樣的資料時,就要先告知資料蒐集後的用途,我同意後才能使用,且只能使用在這個用途裡。同樣的,電話號碼因為是數字,無法辨識,所以也不算是個人資料。
令人氣餒的一個消息是,據說,那個處罰垃圾信的法案要通過還要好久好久,可能不會通過了,只能每週看某個很惹人厭的黃XX繼續寄他的垃圾信,可惡。

留言

這個網誌中的熱門文章

新加坡 Smart Nation 初探

在陸續的聽了一些關於新加坡 Smart Nation 相關計畫的介紹(研討會、網路新聞)及資料收集後,看看台灣目前的作法,寫下一點點心得。

先自一些線上調查來看,聯合國2014年對193個成員國所做的的電子化政府評比中,新加坡的電子化政務(EGDI)是在前三名,電子參與(EPI)也是前十名;世界經濟論壇今年初所完成的全球資訊科技報告(Global Information Technology 2015)中也提到新加坡的網路就緒指數(Network Readiness Index)在所調查的143個經濟體中排名第一。這些評比成果都顯示新加坡在電子政務上、基礎建設上都相當完善。

新加坡的 Smart Nation 很明確的定義出 Smart Nation 是要解決問題,對象是「人」。他們找出了要解決的問題:人口老化、教育、交通、資源的問題,針對這些問題擬定了要解決的作法,例如為了解決日後人口老化所衍生的健康照護問題,他們建造智慧住宅,對住戶的生活習慣收集資訊、分析日常行為,如果有一些行為是反常的,可能就會進一步的通知或實地查訪。對於某些人來說可能會覺得隱私被侵犯,但這是最有可能解決獨居老人發生意外而無人及時救援的方案之一。

觀察創業中朋友們的10個特質

在台灣有不少創業聯誼社群,除了台灣本地官方、民間的各種社群外,也有來自其他國家的創業聯誼社群。在這裡所談的創業聯誼社群,可能是一群有興趣自己開創事業或是正在開創事業的人,透過實際面對面接觸或是利用方便的網路交流機制的團體。活動的型式可能是藉由一個或多個創業者站在台上分享自己的創業經驗,或是透過團體之間的實際互動,會後再透過社群的分享,以延續成員之間的熱度

上星期第一次參與了創業者的聯誼活動,生活裡有些朋友經歷創業的前段,或是已是市場先行者,所以站在局外人的角度來分享我自這些創業中的朋友們所學習到的事,又或說是我所觀察到他們的共同特質:

從「Privacy 是人權議題,由政府來立法保護,Security是 Nice to have」所引發的聯想

昨天下午參加了iThome所舉辦的2017台灣資安大會,其中一場講座的講者講了這麼一句話:
Privacy 是人權議題,由政府來立法保護,Security是 Nice to have 雖然在各個領域裡不斷強調要教育廠商、工程師、使用者(消費者)在產品與服務開發過程、使用過程中都要有資訊安全的概念,但說真的很不容易,以目前台灣的使用情境而言不是每個人都有保護自己、他人的隱私的觀念。

案例一:有次在超商購物,聽到在咖啡座上,有個客人的電話應答:「XXX小姐您好,…您的出生年月日是XX年X月X日,身份證字號是0000000000,地址是…」我訝異的轉頭望向他,這位先生知道他已經在公共場合洩露他人的個資了嗎?案例二:中國的通訊軟體微信,一直以來都有使用者訊息被監控的情形出現。當我建議周遭的朋友們不要使用這款軟體時,他們會回應我:「我又不是什麼大人物,有什麼好擔心的。」案例三:總是會有因為使用者不當的操作或安裝了有安全疑慮的程式讓自己手機被入侵,使私密影片、照片,被公開社群網站上。更不用說四處打卡,連在家中也要打卡、拍攝自家內部裝潢給人看、讓人知道你的作息的人,只要有心人都能知道你家中什麼時間有沒有人在家。