個人資料保護

安全輔導、業務輔導、內控輔導

個資法規資訊

當事人就其個人資料享有什麼樣的權限?

依循司法院釋字第603號解釋對於當事人自主控制個人資料之資訊隱私權概念,個人資料保護法第3條明確賦予當事人就其個人資料特殊權利,其規定如下:「當事人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約限制之:

  1. 詢或請求閱覽。
  2. 請求製給複製本。 
  3. 請求補充或更正。 
  4. 請求停止蒐集、處理或利用。
  5. 請求刪除。
」前述查詢、請求閱覽、製給複本,可說是回應大法官第603號解釋文所述之「保障人民對其個人資料之使用有知悉與控制權」,若是當事人無法知悉其個人資料被蒐集、處理、利用的狀況,即無法據以實現其就個人資料自主決定或控制的權利。不過,依本法第10條規定,若是有「妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益」、「妨害公務機關執行法定職務」、「妨害該蒐集機關或第三人之重大利益」,公務機關或非公務機關得拒絕前開權利的行使。

至於請求補充或更正,則是為避免個人資料的不完全或錯誤,致使當事人的權益受到影響,過去最常見的就是銀行對於其客戶往來的資訊,未即時更正錯誤或補充最新資訊(例如:貸款如曾有逾期未繳,但事後已處理完畢者;或是信用卡違約、剪卡記錄等),因這些資訊同時由財團法人金融聯合徵信中心所掌握,當然人很可能是在申請房貸、小額信貸或信用卡被其他銀行拒絕時,才發現個人資料銀行並未即時更正或補充,故除於第3條規範更正或補充之權利,在第11條第5項特別規定,「因可歸責於公務機關或非公務機關之事由,未為更正或補充之個人資料,應於更正或補充後,通知曾提供利用之對象。」不但應該更新機關或企業內部的個人資料檔案,也必須連動地更正或補充至其他曾取得個人資料的對象。

當事人請求停止蒐集、處理、利用、刪除,大概是最令各機關或企業困擾的權利。對於當事人而言,決定是否揭露其個人資料、及在何種範圍內、於何時、以何種方式、向何人揭露之決定權,正是透過請求停止蒐集、處理、利用、刪除的方式展現,由於個人資料一次性蒐集(例如:企業進行街訪問卷調查)或是長期累積的蒐集(例如:網站對於會員使用狀態的蒐集)皆為常態,當事人在長期持續蒐集的情形,自然可以請求停止繼續蒐集,對於已蒐集之個人資料,可以要求停止處理或利用,甚至可以進一步要求完全刪除,以防止機關或企業在當事人不同意的情形下進行蒐集、處理或利用。

然而,對於蒐集或利用的主體而言,若當事人請求停止繼續蒐集,但網站無法針對特定使用者暫停該等自動蒐集資訊之功能,或是當事人請求刪除個人資料,但服務仍在繼續提供?事實上,立法時亦有考量因應此項權利行使之困難,第11條第3項規定,「個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者,不在此限。」前開但書所稱「執行職務或業務」,即可含括當事人若持續有使用該等服務或進行該等業務之需求,可以拒絕停止蒐集、利用或刪除。回應到企業具體的因應方式,即可考慮在接獲當事人行使前開權利時,告知當事人若停止蒐集、處理及利用,或是刪除個人資料將導致服務無法提供或業務無法進行,拒絕當事人之請求或須待當事人主動終止服務合約後一定期間,始能依其請求處理,甚至可以規劃更為周詳,事前取得當事人書面同意,以降低此項權利行使之困擾。

事實上,施行細則第21條對於前開執行職務或業務所必須的範圍為促進個人資料的合理利用,再予擴大如下:「有下列各款情形之一者,屬於本法第十一條第三項但書所定因執行職務或業務所必須:一、有法令規定或契約約定之保存期限。二、有理由足認刪除將侵害當事人值得保護之利益。三、其他不能刪除之正當事由。」這使得很多網站或無法以書面取得當事人同意的個人資料蒐集主體,可以用線上同意的方式,約定個人資料的保存期限,以降低當事人行使個人資料權利執行的困難。

整體而言,因應當事人依本法第3條就其個人資料所享有之權利,本法第8條規定,當事人就其個人資料的權利,應於蒐集時告知其得行使權利及行使權利之方式,且應依第11條規定,「主動」或「依當事人請求」回應該等個人資料的權利。若是違反前開規定,當事人除得依本法第3條透過民事訴訟請求回應或執行該等請求之外(即對於個人資料准予查詢或閱覽、提供複本、進行更正或補充、停止蒐集、處理或利用、刪除個人資料等),亦將構成本法第28條、第29條「違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利」,而須負民事損害賠償責任。因此,機關或企業在因應個人資料保護法施行時,務必設有當事人行使個人資料權利之機制,以避免發生違法責任。

原文出處「個人資料保護法專書」