從金融角度 觀察個資保護法

從金融角度 觀察個資保護法
【經濟日報╱李智仁】2010.07.13 03:23 am

今年5月26日總統公布個人資料保護法的修正條文（施行日期由行政院定之）後，各方關切度日益增溫。探究個人資料保護法之立法目的，主要求取「避免人格權侵害」與「促進個人資料合理利用」二端點間的平衡。

就前者而言，已有多號司法院大法官會議解釋架構出脈絡，如第585號與第603號解釋認定隱私權應屬憲法第22條所保障基本權利，同時楬櫫資訊隱私權的意涵，乃人民得以決定是否揭露其個人資料、及在何種範圍內、於何時、以何種方式、向何人揭露的決定權，並保障人民對其個人資料的使用，有知悉與控制權及資料記載錯誤的更正權。

不過，憲法對於資訊隱私權的保障並非絕對，國家得於符合憲法第23條規定意旨範圍內，以法律明確規定對其加以適當限制。

修訂後的新法，除不再以經電腦處理之個人資料為保護界限而更名為「個人資料保護法」外，內容也有調整。要點如下：（一）擴大保護客體；（二）普遍適用主體；（三）增修行為規範；（四）強化行政監督；（五）促進民眾參與；（六）調整責任內涵以及（七）配合增修條文。

修訂後的新法將非公務機關與公務機關進行二元化區別，只要不屬公務機關的自然人、法人或其他團體，均屬非公務機關，而金融業與金融周邊單位均在其列。就所保障之客體即「個人資料」而言，經擴增為自然人的姓名、出生年月日、身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。

其中「醫療、基因、性生活、健康檢查、犯罪前科」屬於特殊性或敏感性資料，除符合（一）法律明文規定、（二）公務機關執行法定職務或非公務機關履行法定義務所必要，且有適當安全維護措施、（三）當事人自行公開或其他已合法公開的個人資料或（四）公務機關或學術研究機構基於醫療、衛生或犯罪預防的目的，為統計或學術研究而有必要，且經一定程序所為蒐集、處理或利用的個人資料等條件外，原則上不得蒐集、處理或利用。

所規範的行為方面，除設有豁免規定排除單純個人或家庭活動的目的，而蒐集、處理或利用個人資料以及在公開場所或公開活動中所蒐集、處理或利用的未與其他個人資料結合之影音資料，成為本法適用範圍外，針對非公務機關的蒐集、處理、利用或國際傳輸行為，新法中均設有詳細規定，值得金融業者重視。

此次修正，乃在調整個資天平上的砝碼，由於砝碼比重的變動，自然會衍生一些尚待磨合的問題。

例如員工健康檢查資料是否得以拒絕繳交？公司內部資訊安全工程必須做到何種程度，於發生個資侵害時方足以免責？所謂的書面是否包含直接於網路上點選之契約型式？補行告知的方式有無替代方式以撙節成本？……凡此種種均屬未來必須正視的議題，以確保勞資雙方得以在人格權受到尊重的基礎下，促成資訊合理化運用。
（作者是台灣金融研訓院金融研究所副所長，熟悉金融市場與監理法制）
【2010/07/13 經濟日報】