聲威通訊

「個人資料保護法」解讀

問題：

王先生接到○○建設公司寄給他之ㄧ封房屋銷售廣告函，該○○建設公司有無違反「個人資料保護法」？

解析：

一、       個人資料保護法於101年10月1日正式施行，雖然只有短短56條條文，但違反者不但會被處行政罰款，也須負損害賠償責任；如對個人資料之蒐集或處理沒有特定目的，而取得之資料也非當事人自行公開或取自於一般可得之來源等，也有可能會被判處5年以下有期徒刑之罪；大家千萬別掉以輕心。

二、       「個人資料」範圍很廣，包括：個人姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式（例如員工編號）識別該個人之資料。換言之，只要能用來特定某個人的資料，均是個資法所保護之範圍（個資法第2條）。但有關醫療、基因、性生活、健康檢查及犯罪前科等資料，依個資法第6條規定，任何人均不得蒐集或利用；但因該規定爭議過大，行政院決定暫緩施行。

三、       有可能違反個資法的主體，除了公家機關之外，還包括個人、公司或其他團體（例如某大樓管理委員會等）。

四、       本案例，王先生接到某建設公司房屋銷售廣告信，王先生可以要求建設公司說明其如何取得其個人資料，並得要求提供閱覽（個資法第10條）；建設公司應於15日內回復其決定，必要時得延長之（個資法第11條）；如建設公司未予置理，主管機關或縣市政府得限期令其改正；如公司屆期不改正，主管機關得按次處罰公司及負責人新台幣2萬元至20萬元以下罰鍰。

五、       公司蒐集個人資料，無論是當事人提供，或非當事人提供，均必須要有蒐集之特定目的，且須符合法律規定、或當事人書面同意、或當事人自行公開、或取自於一般可得之來源等條件（個資法第19條）；如有違反，得處罰公司及負責人5萬元至50萬元以下罰鍰（個資法第47條），並得判處行為人2年以下或5年以下有期徒刑（個資法第41條）。

六、       公司利用蒐集之個人資料，必須符合蒐集之特定目的（例外，如當事人書面同意，或法律另有規定，或為免除當事人生命、身體、自由、財產之危險，或為防止他人權益之重大損害等，則可以為特定目的外之利用）（個資法第20條）；如有違反，亦得處罰公司及負責人5萬元至50萬元以下罰鍰，並得判處行為人2年以下或5年以下有期徒刑（如意圖營利）。

七、       公司蒐集之個人資料，若是當事人主動提供給公司者，除須有特定之目的外（個資法第19條），還必須告知當事人蒐集資料之目的、及利用之期間、地區、對象及方式（個資法第8條）等（例外，如當事人已明知公司應告知之內容，或法律規定得免予告知者外）；至於告知方式，無論是言詞、書面、簡訊、電郵、傳真等均無不可。如有違反，經主管機關或縣市政府限期改正，若屆期未予改正，得按次處罰公司及負責人2萬元至20萬元間之罰鍰（個資法第48條）。

八、       公司蒐集之個人資料，若是非當事人主動提供者，除須有蒐集之特定目的外（個資法第19條）及履行個資法第8條之告知事項外（蒐集目的、及利用之期間、地區、對象及方式），還必須告知當事人取得個人資料之來源（個資法第9條）（例外，如當事人已明知公司應告知之內容，或法律規定，或當事人自行公開，或取自於一般可得之來源等得免予告知者外），如有違反，經主管機關或縣市政府限期改正，若屆期未予改正，得按次處罰公司及負責人2萬元至20萬元間之罰鍰（個資法第48條）。

九、       公司蒐集之個人資料，若是非當事人主動提供，且蒐集之時間是在101年10月1日之前發生者，依個資法第54條規定，公司應於102年9月30日前完成以上告知義務；但行政院認為該規定現階段還難予執行，因此決定暫緩施行。

十、       如果公司蒐集個人資料是基於行銷目的，一旦當事人表示拒絕行銷時，公司即應停止利用該個人資料行銷；如果是首次行銷，公司應提供當事人表示拒絕行銷之方式，並支付所需費用（個資法第20條）；違反以上規定，經主管機關限期改正而未予改正，即得按次處罰公司及負責人2萬元至20萬元間之罰鍰（個資法第48條）。

十一、公司違反本法規定，被主管機關科處行政罰鍰時，公司負責人除非能證明其已盡防止之義務者外，否則也應一併受罰（個資法第50條）。

十二、公司應採取安全措施（可參考法務部提供之「個人資料檔案安全維護計畫標準辦法草案範本」之要點），保管合法取得之個資，防止個資被竊取、竄改、毀損或洩漏（個資法第27條）；如因疏於保管，致造成個資被竊、或洩漏等情，被害人於知悉時，得於2年內提出損害賠償請求；如不能證明實際損害額時，其賠償金額得由法院依情節以每人每件於5百元至2萬元間計算之；如果被害人另受有名譽之損失，亦得請求賠償相當金額，並得請求回復名譽之適當方式，如登報道歉等（個資法第28條）。公司因個資被人竊取、竄改、毀損或洩漏，如欲免其賠償責任，則須證明其無故意或過失（個資法第29條）；倘公司未能證明其無故意或過失行為，法律即推定其有過失，而應對洩漏、被竊個資之結果，負賠償責任。

（本文已收錄於聲威網站）