個人資料保護

安全輔導、業務輔導、內控輔導

個資法規資訊

個人資料保護法立法目的

個人資料保護法修正施行後,許多企業有關個資相關訊息的來源,除了主管機關所進行的宣導活動外,多半也是透過資安業者或管理顧問公司所舉辦的研討會或教育訓練,然而管理顧問公司所給予的通盤建議或許確有降低個資法遵循風險的功能,但單純的把資訊安全的工作做好,是否即已盡到對個人資料保護的責任?

事實上,個人資料固然可能因為企業資安工作沒有做好而導致有不當利用、外洩或遭竊等情事,但絕不代表將機關或企業的資訊安全做好,即代表企業已遵守個人資料保護法的規範。舉例而言,如某企業擬徵求夜班工作人員,由於該等工作人員的上班時間公司內人煙稀少,因此要求前來應徵的人員提供其無犯罪記錄之資料,這樣的行為已經涉及「個人資料」(甚至是敏感性個人資料)的蒐集,必須遵守個人資料保護法各項程序性規定,但卻與資訊安全毫無關係。所以,不管採購再多、再好的資安產品,也無法完全解決個人資料保護法遵循的問題。因為個人資料保護法主要是透過各項「程序性」的規範,藉由要求各項程序要求,達到保護個人資料資訊隱私權的目的,而非在於要求企業強化個資的資訊安全而已。

與個人資料保護最密切相關的大法官解釋為司法院釋字第603號解釋,解釋文提到:「維護人性尊嚴與尊重人格自由發展,乃自由民主憲政秩序之核心價值。隱私權雖非憲法明文列舉之權利,惟基於人性尊嚴與個人主體性之維護及人格發展之完整,並為保障個人生活私密領域免於他人侵擾及個人資料之自主控制,隱私權乃為不可或缺之基本權利,而受憲法第二十二條所保障 (本院釋字第五八五號解釋參照) 。其中就個人自主控制個人資料之資訊隱私權而言,乃保障人民決定是否揭露其個人資料、及在何種範圍內、於何時、以何種方式、向何人揭露之決定權,並保障人民對其個人資料之使用有知悉與控制權及資料記載錯誤之更正權。」

由與個人資料隱私關係最密切的釋字第603號大法官解釋文可以觀察到,對於當事人決定是否揭露其個人資料、在何種範圍內、於何時、以何種方式、向何人揭露之決定權,及對於其個人資料之使用有知悉與控制權及資料記載錯誤之更正權,乃是在「隱私權」概念下發展出來的「資訊隱私權」。因此,我們可以理解在我國法律發展的脈絡下,個人資料的保護比較傾向於對於隱私權的保護,而不是純粹對於政府或企業強化資訊安全的特殊規範。

回到個資法本身的規定,本法第1條:「為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。」參酌前述大法官解釋文對於「資訊隱私權」的形塑,其實個人資料保護法在承認當事人對於個人資料的「人格權」之外,更著重於如何政府機關與企業「合法」蒐集、處理、利用個人資料,這也是回應無論虛擬或實體的世界裡,個人資料蒐集與利用已難完全禁絕,甚至應該說大量蒐集、利用個人資料已屬常態的現實。

事實上,我國於1995年通過「電腦處理個人資料保護法」,其立法背景即係鑑於濫用電腦處理個人資料而侵害當事人權益之情形日益普遍、嚴重,已對個人隱私等基本人權造成重大危害;而隨資訊產業發展個人資料之蒐集與國際經濟文化交流皆存在交換個人資料的需求而進行立法。因此,我們可以了解到,「資訊隱私權的保護」與「個人資料之合理利用」,乃是個人資料保護法需要相互平衡的二大立法目的,政府機關或民間企業其實無須對於個資法過度「排斥」,多數正常需求的個人資料蒐集、處理及利用之行為,皆可透過合法的程序完成。

理解個人資料保護法之立法目的後,我們可以更正確地面對業者所提出的各種解決方案或資訊而進行決策或判斷。比如藉由管理顧問公司的個資健檢找出公司內各項可能有違法疑慮的所在,利用資安公司先進的工具,不僅偵測各項資訊系統漏洞,亦可於各項外洩可能發生時發揮偵測及阻擋的功能,甚或是藉由同時具備資安、法律及管理專業能力的團隊同時就法律面提出適法性建議、就管理面制訂公司各項作業標準流程、就資安面建立堅實且有效的防護系統。

一部法律的立法目的,扮演引領民眾正確認識、適用法規的重要角色,若是讀者對於個人資料保護法的因應或是廠商提出的各種說明有任何疑義的話,前述說明的立法目的正是因應個人資料保護法施行的最佳指南,多加反覆思考相信必有所得。

原文出處「個人資料保護法專書」