跳至主要內容

[筆記]關於個人資料保護法的小記

跨海大橋上的落日
愈來愈少在這裡寫這種偏硬的文章,主要原因是在於自己不是讀法律的,寫這種東西很容易出錯,或意思的表達不正確,所以,我在這裡分享的是昨天上課的筆記。
昨天去集思會議中心參加B2C電子商務研討會,原本打算下午離開去參加品牌行銷的課,但早上的議程讓我覺得留下來會很值得,於是就繼續留在那椅子很難坐的蘇格拉底廳裡上課。
在詐騙愈來愈嚴重的情況下,大家才開始重視所謂的隱私問題,原本,我們有一個在民國84年8月公布的電腦處理個人資料保護法,但是,它只限於電腦處理的資料,並不包括人工手寫的紙本資料,所以「電腦處理個人資料保護法」只規範了電腦裡的資料。
在年初吧!我記得也參加過類似的課程,對於「電腦處理個人資料保護法」之後的修正草案,早在2005年改為「個人資料保護法」並已送立法院,但至昨天早上,都還在協商階段,主要在於賠償總額的上限是五千萬還是拾億?民代是否有免責條款?這兩個問題一直沒有取得共識,一直到下午我所聽到的訊息是個資法的草案已通過一讀了,有望在今年年底通過三讀。
對每個民眾而言,個資法將要通過會是一個好消息,就我所看到的內容而言,還有台上專業的法律人所分享,個資法對民眾來說是有很完善的保護,但對廠商來說,絕對是非常麻煩。
  • 在「電腦處理個人資料保護法」中所定義的個人資料包括了:自然人之姓名、出生年月日、身分證統一編號、特徵、 指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社會活動及其足以識別該個人之資料都被稱為個人資料;在在「個人資料保護法」中,個人的醫療資訊、性生活、健康檢查及犯罪前科等五種資料是特別保護的特種資料。
  • 在「電腦處理個人資料保護法」的時代裡,只限定了:醫院、學校、電信業、金融業、證券業、保險業、徵信業、大眾傳播業等八大行業,在「個人資料保護法」中,任何行業、團體及個人都納入其範疇,但如果是單純的個人或家庭活動目的就不在於此限。當廠商要蒐集個人資料時,要有明確且單獨的同意書,但像是家族出遊如果要買保險,需要蒐集家族成員的個人身分證字號、姓名、地址等個人資訊是不限制的。如果家裡有未成年的小朋友在學校裡,老師要求小朋友寫通訊錄提供個資,除了要同意書外,因為小朋友未成年,所以要家長同意書。
  • 個資法的規範已不限於電腦而已,還包括了紙本手寫的資料,
  • 當資料被竊取或外洩時,資料持有者要以適當方式通知當事人。
  • 不得任意蒐集個人資料,廠商一定要先向主管機關申請取得許可後才能蒐集資料。昨天聽到會由法務部公告相關的主管機關,所以,網路商店等會由經濟部擔任其主管機關;而其他相關的主管機關會再由法務部公告。
  • 在個資法通過後,只要是符合一定要件的財團法人或公益社團法人就可以代替當事人提起團體訴訟。
  • 民事責任:在同一原因事實行為,賠償總額提高(但目前未確認是五千萬還是拾億)。
  • 刑事責任:非意圖營利違反個資法行為者,科處兩年以下有期徒刑,屬於告訴乃論;意圖營利者的處罰則提高為五年以下有期徒刑,屬於非告訴乃論。
  • 行政責任;除了上述的處罪外,也要連帶處罰該公司(民間團體、行業)負責人之監督責任,處以壹百萬元以下的罰鍰。
  • 非金務機關首次行銷時應免費提供當事人表示拒絕的方式;當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。
重點是,只要我們覺得因個人資料被竊取或被外洩發生損失而索賠時,是不須負舉證責任,非公務機關要證明「無故意或過失責任」才能免責;公務機關則須負「無過失責任」。
還有很多的內容,要看草案才會清楚,但光是上面列的這些,就夠讓商家頭痛了,站在商家的立場來說,資安問題可以說是一個錢坑,就是不斷的砸錢買設備和軟體→測試→更新軟體的砸錢循環,儘管該買的該裝的都裝了,只要電腦連上網路你還是無法避免有哪個員工的電腦被植入木馬開了後門,甚至也很難避免員工把公司的重要資料帶出,就算沒有網路也沒有提供儲存設備,但也別低估人腦的能力
在研討會結束時,還有一點資訊,整理如下:
  • 在個資法通過後,向主管機關申請許可時還是會有空窗期,在這段期間,商家可以先寄送同意書讓現有的會員進行同意的動作,但同意書的內容一定要明確且單獨。像是一些銀行在辦卡時都會在契約書裡註明會將個人資料提供給事業相關單位或夥伴使用,這是絕對不行的哦!
  • 在蒐集個人資料時,只收集email,email address不是個人資料,但如果像是姓名(XXXXX@gmail.com),可以識別出我個人的話,這就是個人資料,當公務或非公務機關要收集這樣的資料時,就要先告知資料蒐集後的用途,我同意後才能使用,且只能使用在這個用途裡。同樣的,電話號碼因為是數字,無法辨識,所以也不算是個人資料。
令人氣餒的一個消息是,據說,那個處罰垃圾信的法案要通過還要好久好久,可能不會通過了,只能每週看某個很惹人厭的黃XX繼續寄他的垃圾信,可惡。

留言

此網誌的熱門文章

各國政府在談資料跨境傳輸時,台灣需要什麼?

保護個人資料可能是各行各業的一個重要議題,不止增加了企業的資安相關成本也增加了法遵成本。尤其是需要跨國傳輸(個人)資料的企業,除了要配合各國的資料保護法(規範、規則)外,也要擔心資料外洩事件後續的成本,還有許多額外的行政手續。許多國家已經感受到資料流動的重要性,也紛紛的透過數位經濟協議、各種雙邊或多邊協議,來減輕企業跨境傳輸資料時的相關成本,以促進(數位)經濟發展,例如2018年時,美國、墨西哥、加拿大已簽署「美國-墨西哥-加拿大協定」(United States, Mexico, and Canada Agreement),讓這三個國家的企業可以在北美境內自由傳輸資料。 2019年由日本前首安倍晉三在世界經濟論壇和2019年的G20大阪峰會中提出提出「Data Free Flow with Trust」(簡稱DFFT),其核心概念是「基於信任的資料流通」。這樣的概念主要是建立彼此信任的跨境資料傳輸,促進資料自由流動,同時確保對隱私、安全和智慧財產權之信任。 在2019年G20大阪峰會時就已談出了DFFT的發展概念,2021年時已擬定發展的藍圖。當時也討論了所謂的資料在地化、資料主權等議題,並且也有著「資料的連結與使用是可提升生產力的重要因素,限制跨境資料流動,會是國際貿易體系的沉重成本之一,且資料在地化的要求可能會提高企業的生產與法遵成本」之共識。 到了2023年,因當時聯合國網路治理論壇(UN IGF)在日本京都舉辦、及G7日本廣島峰會的緣故,DFFT的概念再次被提出,且被熱烈討論著。G7廣島峰會裡則是建立了夥伴關係機制 (Institutional Arrangement for Partnership,IAP),並由OECD擔任協調的單位,來建立所謂的IAP;日本的JICA(Japan International Cooperation Agency)也在UN IGF 中提出執行 DFFT 之相關倡議。 如果有興趣進一步了解DFFT,可以閱讀: Digital Agency, Data Free Flow with Trust (DFFT) , World Economist Forum, Data Free Flow with Trust (DFFT): Paths towards Free and Trusted Data Flows 網路上的資料很多,

關於我所了解的數位錢包 (Digital Wallet)

Image by Gerd Altmann from Pixabay 「電子身分證」(eID)和「數位身分證」(Digital Identity)的議題在台灣始終一直具有爭論,但出發點都是好的,希望透過電子化或數位化的方式,讓人民不需要隨時隨地為實體卡的期限、有效性而擔心,但隨之而來的是容易被追蹤、把所有功能都整合在一張卡片時,若卡片遺失,就需要負擔的手續及風險。 更換身分證也涉及許多政治議題的操作,例如在 2019年 ,時任內政部長脫口而出「不換新身分證無罰則 恐無法投票」使全民嘩然。更早的時候,還有聽聞過因為其他國家都更換為多卡合一的晶片或電子身分證,所以台灣也應跟著換,以加速實現智慧台灣的願景。2020年時,我自己 再整理相關的內容 ,相關部門在推動晶片身分證(New ID)的方式則是以民眾比較容易參與的卡面設計開始,但後續的資安問題、資料外洩事件,及新冠大流行,延宕整件事的進度。 2019年時台灣沒有數位發展部(以下簡稱數位部)、沒有獨立的個人資料保護機關、個人資料保護法的主管機關「暫時」是國發會,沒有法源依據卻同時也被拿來作認證身分用途的健保卡、有法源也有主管機關的「自然人憑證」並不是每個人都有。許多公共服務上仍以實際臨櫃服務優先考量,雖然當時已有許多文件可以自網站下載或線上申請,但多數服務只能將實際流程網路化,而不是利用網路優化服務流程,反而增加挫折感。 當COVID-19肆虐後,改變許多服務,也實際的數位化,而許多卡片雖然在緊急情況下被拿來作為認證身分的用途,但從報稅、領口罩、全民普發現金,台灣政府和人民也一起改變使用行為。 目前已知的幾個數位身分證、數位錢包應用 先列一下自己已知道的幾個在進行的案例,不會說太多,因為有許多研究報告可以參考,也可以參考各國在數位身分證上的政策頁面。  1. 歐盟數位身分錢包 2021年注意到歐盟執委會公布數位身分證相關法案的修正案,後來通過許多歐洲社群使用者持續反對的「歐盟數位身分錢包」( European Digital Identity Wallets )相關立法框架,並推動 4 個大型示範計畫。熟悉歐盟這10年來的電子化、數位化或數位市場法、數位服務法的人會理解,這是一整個將公共行政數位化的過程,從立法、試驗、修法,其實都很完善。台灣也有相關的研究,有興趣的人再自己找找看。 關於「歐盟數位身分錢包」,我所理解的

從開放式電子紙閱讀器的需求來談資料可攜與互通性

這個炎熱的周末,我沒有外出,而是在家中閱讀。「閱讀」在日常生活中很重要,不管是讀社群媒體的文字或是書籍裡的文字,我是一個貪讀的人。然而就像個體經濟學裡的公式,欲望無窮,卻受限於(Subject to)空間大小,我不得不縮減藏書的空間,曾一度堅持只有商管書籍才買電子書,才能擁有更多擺放文學或小說書籍的空間。但在通勤、旅途中,還是希望有一本可以滋潤心靈、滿足想像空間的書籍可以度過極度乏味,且蜷縮在經濟艙無法伸展的四肢,或躺在醫院蒼白充斥著苦難人生氣味的病榻上,能因為作者的文字而使思緒不受現實限制而飛舞在另一個世界中,不是被吞沒在黑暗狹窄的機艙座位或藥水味的病房,又或是日復一日無起伏的日常生活中。小小的電子閱讀器裡的書櫃是心靈的另一個寄託,於是我在電子出版平台上買了吳爾芙的《論自我與寫作》、《自己的房間》,去年在病床上讀了《「我反對!」不恐龍大法官RBG第一手珍貴訪談錄 》引起護理師們的好奇,問我為什麼不滑手機而是一直在讀電子書。 我的第一台電子閱讀器是 Amazon Kindle,是當時的上司送給工作單位每個員工的禮物。那陣子我準備出發去柏林,我收到了閱讀器實在開心不已。當時已在考慮採購電子閱讀器,但在各家閱讀器間糾結,受限於各家閱讀平台與閱讀器及預算限制,我必須精打細算。由於自己已經有平板,所以覺得平板電腦暫時就夠了,所以一直沒有動手採購,直到上司把閱讀器放到我手中,才知道使用電子閱讀器實在太愉快,沒有被干擾、就是專心的閱讀,享受作者的文字。第二台是 Readmoo的第一代MookInk,Kindle當時只能閱讀英文書籍,我還是習慣讀中文,閱讀中文的速度比較快,也更容易產出心得,所以我還是購買中文電子閱讀器。我常在登機坐定可以開啟電子產品後,就開起閱讀器閱讀,它成了我的行動書櫃。近期也買了Kobo的彩色電子閱讀器,主要的原因在於,我可以在Kobo的平台上買到我需要的外文書籍,我不需要把中英文書籍分兩個閱讀器,而Kobo的軟體介面整合的不差,例如有些文章可以暫存到Pocket裡,我可以在通勤時閱讀短文。 電子書還是有電子書的限制,因為不同不台的閱讀器並不互相支援,所以我在 Google Playbook 購買的電子書,無法輸出至 MooInk、Kindle、Kobo 的電子閱讀器中,我在博客來、Google Playbook購買的電子書,也只能使用平板閱讀。在電子書還沒