个人资料保护法规范之下之企业冲击及风险课件.ppt

1、個人資料保護法規範之 下之企業衝擊及風險主講人：東海大學法律學院研究所 李成教授 目錄n壹、案例說明n貳、何謂隱私權n参、個人資料保護法介紹n肆、個資法大解密n伍、企業因應策略 壹、案例說明案例說明不當使用個資不當使用個資 3 3公司遭罰公司遭罰n（中央社記者吳靜君台北8日電）金管會今天表示，遠雄人壽從第一保經、萬榮保經取得未經當事人同意的個資，進行電話行銷，共處3家公司或公司負責人新台幣130萬元罰鍰，且遠雄人壽停止電銷1個月。n行政院金融監督管理委員會表示，民眾接到遠雄人壽的電話行銷時，發現從來沒與遠雄人壽往來，不知為何會被行銷，因此向金管會檢舉。n經金管會調查，是民眾與第一保險經紀人公司

2、買過保單，第一保經與萬榮保經是關係企業，所以萬榮公司輕易取得第一保經個資。同時，萬榮公司又與遠雄人壽有業務合作關係，遠雄人壽才取得第一保經、萬榮保經的客戶個資。n金管會表示，根據統計，受害的個資共有225筆。n金管會表示，根據電腦處理個人資料保護法、保險法及保險經紀人管理規則規定，各處第一保經、萬榮保經60萬元罰鍰、遠雄人壽負責人10萬元、並且遠雄人壽停止電話行銷業務1個月。中央社2012年3月8日 下午8:09 案例說明n調查：調查：26%26%被裁員工會竊取公司資料被裁員工會竊取公司資料 Cyber-Ark認為這是因為企業保護資料的觀念落後，有近6成的受訪者表示要取走公司機密資料非難事，最

3、常見的媒介是行動儲存裝置，居次的是郵件，實體文件名列第三。 狀況1：26%受訪者表示，如果明天就被炒魷魚，他們會把公司的資訊帶走。 狀況2：24%的員工表示，若聽到工作可能不保的傳聞，他們會下載公司或競爭對手的機密資訊。 狀況3：52%表示，他們只會在這些資料對未來有幫助時才會進行下載。 狀況4：28%表示會利用這些資料來交?一個新職位，並有28%表示會把相關資料作為新工作的工具。 案例說明 資料來源：Cyber-Ark全球經濟衰退對工作倫理的影響研究報告 公布日期：2009年11月23日 貳、何謂隱私權貳、何謂隱私n麼是隱私權？麼是隱私權？民法中人格權所保障的一種1965年，美國邦最高法院才

4、第一次將隱私權納入憲法之保障中隱私權的概念實在非常廣泛，於不同的情況下會有不同之意義。貳、何謂隱私n隱私權隱私權個人資訊之取得及揭人身遷徙及居住之自由人對於自身財產事務之控制指個人之自我決定權利，如婦墮胎之自我決定權被歸為憲法上所保障之隱私權。隱私權包括個人資訊、身體、財產或是自我決定等部分，簡單的說，就是個人資訊的自我決定權。貳、何謂隱私n個人資訊隱私權個人資訊隱私權個人資訊隱私權之保護，係指政府、私人機構或是個人，取得或是散布該自然人個人資訊之管理與限制。個人資訊係指依據某特定資訊，可辨出該個人或是該個人之私人活動。個人資訊被認為係隱私權之一部分，係因將個人資料蒐集之後，可以知悉該個人之活

5、動及該個人之喜好。 參、個人資料保護法介紹n第 1 條為規範個人資料之蒐集、處理及利用，以避免人格權受侵害，並促進個人 資料之合理利用，特制定本法。 個人資料保護法 參、個人資料保護法介紹n 個人資料保護法規範對象包括了公務機關、自然人、法人和其他團體。其中只有部分條文與企業有關，我們從這些條文中彙整出14項企業必知的個資法重點，這些都是企業因應個資法時必須了解的法條內容。參、個人資料保護法介紹n規範行為蒐集、處理及利用個資。n個資定義包括個人的姓名、出生年月日、身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、絡方式、財務情況、社會活

6、動，以及其他可以直接或間接別出個人的資料，不論紙本或數位形式，都屬於個資法的保護範圍。 n個人權利個人可向企業請求查詢、閱覽、提供複製副本、更正或補充、停止蒐集、停止處理或利用、請求刪除。個人請求後，企業需於時限內回覆。n規範對象 公務機關、自然人、企業法人、其他團體（三人以上即可視為團體）。代理蒐集機關則視同委託者。參、個人資料保護法介紹n告知責任 蒐集個資時應向當事人告知企業名稱、蒐集目的、資料別、當事人權利、利用時間、地區、對象與方式、不告知的影響等。使用目的改變時，企業應告知當事人。 非向當事人蒐集的現有顧客資料庫，必須在法案施行1年內告知。個資異動後，應告知提供過個資的對象。發生個資

7、外洩情事後，應告知當事人。 告知形式不拘，有記錄可供事後舉證即可。參、個人資料保護法介紹n免告知情況法律明文規定依法執行公務。告知將妨礙第三人重大利益。當事人明知這些應告知內容。當事人自行公開或其他合法公開內容。無法告知當事人或法定代理人。 學術研究之必要，且無法別之個資。大眾傳播業為公共利益而蒐集。 參、個人資料保護法介紹n可蒐集或處理的條件 必要條件： 應有特定目的，且只能在該目的範圍內利用。 不得蒐集醫療、基因、性生活與犯罪前科的個資。 多擇一條件：法律明文規定。與當事人有契約關係，契約形式不限，可用電子契約。當事人自行公開或其他合法公開，企業需確認合法性。當事人書面同意。取自一般可得來

8、源（如搜尋引擎）。 公共利益相關。 學術研究之必要，且無法別之個資。參、個人資料保護法介紹n書面同意意指紙本同意書，不能透過電子文件或電子簽章取得同意。n不適用個資法狀況 無法別該個人的個資。個人為了個人或家庭活動的蒐集、處理或利用。 公開場所或公開活動中的影片、圖像與聲音資料（未與其他個資結合）。參、個人資料保護法介紹n損害賠償當事人可向違反個資法的企業求償，每人每次5百元2萬元，相同原因合計最高求償金額2億元。n罰則 違法蒐集、處理或利用個資而產生損害時，處2年以下有期徒刑、拘役或併科20萬元以下罰金。違法蒐集、處理或利用個資，意圖營利者處5年以下有期徒刑、拘役或併科100萬元以下罰金。參

9、、個人資料保護法介紹n行政罰鍰違反蒐集、處理與利用相關法規，限期未改善，每次可罰550萬元。違反告知義務、維護義務、個人請求相關法規，限期未改善，每次可罰220萬元。拒絕主管機關檢查者，每次可罰220萬元。企業代表人未盡力防止發生上述違反事項，處相同額度之罰款。參、個人資料保護法介紹n企業現有個資（顧客與員工）處理原則企業非直接向當事人蒐集的個人資料，必須在法案實施後一年內告知當事人，未告知前不能處理或利用。現有行銷資料庫可視為非首次行銷的個資，不用提供拒絕行銷的管道。 參、個人資料保護法介紹肆、個資法大解密肆、個資法大解密nQ1 個資法麼時候實施？ 立法院於4月27日三讀通過個資法後，法務部

10、會先用68個月完成施行細則，再呈報給行政院審核，審核時間約12個月。法務部預估在總統公布後1年內，完成施行細則的作業流程，再由行政院決定正式實施時間。nQ2 個資法管轄哪些行為？ 個資法管轄個人資料的蒐集、處理和利用行為。nQ3 個資法保護哪些個人資料？ 新版個資法規範了企業必須保護的個人資料型，包括了個人的姓名、出生年月日、身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、絡方式、財務情況、社會活動，以及其他可以直接或間接別出個人的資料都屬於個資法的保護範圍。肆、個資法大解密nQ4 是不是只有5千筆以上的個資才會適用個資法？ 不是，只

11、要有1筆個資就會受到個資法規範。5千筆限制只是法案討論過程中，參考日本個資法的說法，後來未採納。nQ5 個資法是不是不管紙本上的個人資料？ 不是，不論是電腦中的數位資料，或者是寫在紙張上的個人資料，全都適用個資法。肆、個資法大解密nQ6 網路暱稱或Email屬於個資法規範的個人資料嗎？ 由於網路暱稱不易別出其代表的個人，所以，不會受到個資法規範。至於Email則有可能別出個人，法務部會請主管機關NCC提供認定標準nQ7 如果個人資料中部分內容模糊，例如身分證號 中有4個數字模糊，是否還會受到個資法規範？ 這部分模糊的個人資料，由於一般人無法輕易別，等同失去別力，因此，這資料就不適用個資法。但若

12、和其他個資搭配後具有別力，仍舊需要受到個資法規範。肆、個資法大解密nQ8 是不是只有企業才需要遵守個資法？ 不是，不論是自然人（也就是一般人），法人（企業）或其他團體都需要遵守個資法的規範。nQ9 其他團體如何定義？ 任何3個人以上所組成的團體，或者團體可以有一位代表人或主席，就是一個團體。不論哪一種團體都要遵守個資法。換句話說，你和三五好友組成一個球隊，球隊所蒐集的個人保險資料、通訊資料，都要遵守個資法的規範。肆、個資法大解密nQ10 在國外蒐集個資是否要遵守個資法？ 不論在國內外，只要對中華民國的國民蒐集、處理或利用個資，都適用個資法。nQ11 個資法保障了哪些個人的個資權利？ 每一個人對

13、於他的個人資料可以請求閱覽或查詢、請求提供複製本、請求更正或補充、請求停止蒐集、停止處理或利用，最後還可以請求刪除。肆、個資法大解密nQ12企業是否可以拒絕個人提出的個資處理請求？ 只有在三種情況下，企業可拒絕個人的請求，包括妨害國家重大利益、妨害公務機關執行法定職務、妨害蒐集機關或第三人重大利益時等。nQ13企業必須多快回應個人提出的個資處理請求？ 對於個人要求查詢、瀏覽或複製的請求，企業必須在15天內決定是否同意，若要拒絕得書面說明理由，最多可再延長15天。若是請求補充或更正，則可在30天內答覆，最多再延長30天。肆、個資法大解密nQ14 若個人要求企業刪除個人資料，但另有法律 規定要求企

14、業保存，企業該如何處理？ 若有其他法律規定，就可以拒絕個人的刪除請求。個資法規定，企業可依其他法律的規定或法定義務來蒐集、處理和利用個資。nQ15 個資法的主管機關為何？ 每個行業的目的事業主管機關就是個資法主管機關，或者說，企業向哪個機關登記註冊，該機關就是個資法主管機關。若牽涉到多個主管機關或者主管機關不清楚時，則透過公務機關的協調繫機制決定如何共同執行或由誰主管監督，若無法決定則交由行政院決定。肆、個資法大解密nQ16企業可以任意自定蒐集或處理資料的目的嗎？ 不行，法務部將會和各事業目的主管機關訂定新的特定目的項目，企業必須從中選擇其中一項或多項作為資料蒐集目的，就像是現行電腦處理個人資

15、料保護法所訂定的101項特定目的。企業蒐集個資時不能踰越所選定的特定目的範圍，才能算是合法蒐集。nQ17 若有當事人投訴企業侵犯個資時，企業是否需要舉證，證明自己確實遵守個資法的規範？ 是的，在個資法中規定由企業負擔舉證的責任，若有當事人投訴企業侵犯個資，企業必須證明自己盡到保護個人資料的義務，才能免責。肆、個資法大解密nQ18 當事人合法公開在網路上的資料是否可以蒐集？ 凡是當事人合法公開，或者是其他合法管道公開的資料，企業就能蒐集利用，但是企業必須確認這些資料來源的合法性。nQ19 個資法要求企業直接對當事人蒐集個資前，要先告知當事人，企業可以透過哪些方式告知？ 告知形式不拘，電話通知、簡

16、訊、電子郵件、書面通知等都可以，最重要的是，企業得保留記錄，事後才可以舉證已經盡到告知義務，通知方式則沒有限制。肆、個資法大解密nQ20 直接對當事人蒐集個資時，有哪些情況不用告知？ 對當事人蒐集個資時，下列情況就免告知，包括依法規定免告知、執行法定職務或法定義務時、告知時將妨礙公務、妨礙第三人重大利益，或者是當事人明確知道這些應告知的內容。最後一項例如當事人提供個資給仲介業者時，當事人已經知道房仲業者會將這些資料拿來建檔，作為提供房屋資訊的繫之用，此時房仲業者就不用再告知。肆、個資法大解密nQ21 如果企業不是直接向當事人蒐集個資，仍舊需要告知當事人嗎？ 即便不是向當事人蒐集個人資料，企業仍

17、然要告知當事人，只有部分情況下才免告知。nQ22 麼情況下企業取得個資時，不用告知當事人？ 不用告知的情況例如法律規定免告知、執行法定職務或法定義務、告知將妨害第三人重大利益、當事人明知應告知內容、當事人自行公開、來自其他合法公開的個資、不能向當事人或法定代理人告知、為了公共利益或學術研究而資料經過處理無法別個人時、或者是大眾傳播業者為了公共利益的蒐集時，這些情況就免告知當事人。肆、個資法大解密nQ23書面同意可以透過電子文件方式進行嗎？ 不行，法條中的書面同意是指必須取得當事人的紙本同意書，透過電子文件或者是透過電子簽章取得的同意書，則不符合個資法的書面同意。nQ24 企業現有個人資料是否需

18、要遵守個資法？ 企業在個資法施行前蒐集的個人資料庫，若非由當事人提供，就必須在個資法實施後1年內告知當事人，讓對方知道企業擁有他的個人資料。告知後才能繼續利用他的個人資料。肆、個資法大解密nQ25 企業對現有顧客行銷時，需要提供拒絕管道嗎？ 由於企業現有的行銷資料庫已經不是首次行銷，所以，不用提供拒絕接受行銷的方式。nQ26 若發生個資損害時，當事人求償的時效多久？ 當事人必須在事件發生5年內提出求償，或者當事人知道損害事件後，在2年內要提出，超過時間就不能再請求賠償。肆、個資法大解密nQ27 發生個資損害時，賠償金額有多少？ 若損害金額不易估算時，每人每一件可賠償50020,000元，最高2

19、億元賠償。涉及利益超過2億時，就按實際利益計算。nQ28 個資法會處罰企業老闆嗎？ 企業違反個資法第46、47和48條的行政罰鍰時，如果老闆無法證明自己努力盡到防止義務，就會被處以相同額度的罰鍰。行政罰鍰從2萬50萬元不等。肆、個資法大解密nQ29 企業違反個資法時，老闆會被判刑嗎？ 若企業違反個資法而導致顧客損失時，企業主必須面對最高2年以下的有期徒刑。若老闆為了營利而違反個資法時，刑期還會加重到最高5年以下有期徒刑。 肆、個資法大解密 伍、企業因應策略n企業怎麼做？ 伍、企業因應策略Top management政策擬定Team established團隊建立（HR,Leagal,IT,CS

20、,Fin,BU rep.）Personal Data review個資盤點Risk analysis風險分析&對策Process & policy established制定各項流程&必要事項（管理手冊）Execution執行Adjustment制度調整Apply certificate申請驗證Maintenance維持 伍、企業因應策略n個資建議盤點表格（資策會提供）作業流個人資料檔案名稱資料種直接/間接蒐集蒐集之特定目的保管部門是否有委託關係訂定會員契約會員基本資料名單姓名電話住址電子郵件直接會員管理行銷行銷部客服部系統管理部無人員聘用員工履歷表姓名電話住址電子郵件學歷 經歷直接/間接僱用

21、服務管理人事行政管理人力資源部各部門主管無n我們怎麼做？企業內部訓練n員工對個人資料有正確認知及能力n個資相關權責人員之必要專業能力與教育訓練需求n了解個資法與企業面臨的風險n因應新法的調整個人資料盤點n別目前所擁有個人資料n判定是否在個資法適用的範圍內n建立清冊 伍、企業因應策略 伍、企業因應策略n盤點範例I-人資部門作業流個人資料檔案名稱資料種直接/間接蒐集蒐集之特定目的使用部門人員招募104履歷表姓名性別 生日照片學歷經歷地址電話信箱自傳間接招募徵選人資面試個人資料表Review直接招募徵選人資官網履歷系統姓名 性別 年齡 電話 信箱 學歷 經歷直接招募徵選人資新人聘用Confirmat

22、ion Sheet姓名 學歷 經歷 職業直接聘用行政人資體檢報告姓名生日身分證 年齡 性別 健康狀況間接聘用行政人資團體保險投保申請表姓名 親屬加保資料直接聘用行政人資身分證影本姓名性別生日身分證字號籍貫父母配偶兵役狀況直接聘用行政人資前一工作之離職證明姓名 職業紀錄直接聘用行政人資前一投保單位之健保轉出證明姓名 健保紀錄直接聘用行政人資勞保投保資料明細姓名 投保紀錄直接聘用行政人資最高學歷之畢業證書影本姓名 學歷直接聘用行政人資 伍、企業因應策略n盤點範例II-客服部門作業流個人資料檔案名稱資料種（請勾選）直接/間接取得蒐集之特定目的使用部門姓名電話手機email地址內部業務絡作業相關業務絡

23、人員直接處理客詢、客訴客服部/業務部消費者案件作業客服部Database直接處理客詢、客訴、產品設備報修客服部客服部系統報表直接處理客詢、客訴、產品設備報修客服部/業務部 伍、企業因應策略n盤點範例III-業務部門 作業流個人資料檔案名稱資料種直接/間接蒐集蒐集之特定目的使用部門資料擁有者存放地點人員招募員工履歷表姓名身分證字號電話住址電子郵件學歷經歷直接僱用服務管理人事行政管理業務部門人資職務需求名片管理客戶名片姓名電話住址電子郵件直接業務需求業務部門客戶資料Customer List廣告公司資料經銷商資料姓名電話住址電子郵件直接業務需求業務部門行銷促銷活動需求抽獎活動回函個人資料姓名電話住

24、址電子郵件直接業務&行銷需求業務部門產品保證卡產品保證卡姓名電話住址電子郵件直接/間接產品保固/行銷需求業務部門產品維護系統客戶個人資料姓名電話住址電子郵件直接產品維修業務部門n我們怎麼做？II書面文件整理n合約文字調整n表格調整n資安工作準備權限管理n軟硬體資源準備n適當之安全管理措施n紀錄製作及保存 伍、企業因應策略n抽獎問卷中的個人資料姓名：王小花性別：男女教育程度：1.國中以下2.高中（職）3.專科4.大學 5.研究所以上職業：1.軍公教 2.白領上班族3.藍領上班族4.自營事業5. 家管 6. 學生7. 專門自由業（律師、醫師等）8.一般自由業（記者、作家等）9.其他_婚姻： 未婚

25、已婚有小孩 已婚無小孩您有以下的症狀嗎？1.過敏2.糖尿病3.痛風4.皮膚方面（面皰、濕疹、異位性皮膚炎等）E-mail：a-.tw電話：（公司）04-12345678 （手機）0912-345678地址：台中市西屯區台中港路XX號 伍、企業因應策略 伍、企業因應策略n個資法第8條第1項第2,4&6款您於今日所留下的資料，本公司將會自本日起算兩年內在台灣地區，做以下目的的使用；若您選擇不留下資料，則無機會抽中本公司提供之禮品並無法收到以下產品相關資訊：本日研討會抽獎中獎者寄送獎品之用電子報之寄送新產品介紹-以email或郵寄方式寄送產品市場分析之用市場調查問卷之寄送-以email或郵寄方式寄送

26、產品促銷訊息寄送-以email或郵寄方式寄送n個資法第8條第1項第5款&第3條日後您可於本公司上班時間以本公司客服專線0800-111-222或於本公司官網以email方式對您今日留下的資料作以下請求：一、查詢或請求閱覽。二、請求製給複製本。三、請求補充或更正。四、請求停止蒐集、處理或利用。五、請求刪除。 伍、企業因應策略n我們怎麼做？III相關內部管理規則及流程制定相關規章以茲遵循個資調閱流程調整相關文件表格製作n管理監督定期audit定期召開會議review 伍、企業因應策略n個人資料生命週期 伍、企業因應策略蒐集蒐集 依法進行告知義務 取得書面同意處理處理 採取適當的保護措施，避免個人資料被竊取、竄改或毀損利用利用 應於蒐集之特定目的內使用 特定目的外之使用應另外取得書面同意傳遞傳遞 傳遞及交換分享中採取適當的保護措施，避免個人資料被竊取、竄改或毀損銷毀銷毀 特定目的消失 期限屆滿 當事人要求n法規面及個資生命週期保護需求技術面n防竊取 n防竄改 n防內文刪除 n防洩漏 n防檔案刪除 n檔案銷毀機制 n稽核 伍、企業因應策略The End謝謝指教