[筆記]關於個人資料保護法的小記

愈來愈少在這裡寫這種偏硬的文章，主要原因是在於自己不是讀法律的，寫這種東西很容易出錯，或意思的表達不正確，所以，我在這裡分享的是昨天上課的筆記。
昨天去集思會議中心參加B2C電子商務研討會，原本打算下午離開去參加品牌行銷的課，但早上的議程讓我覺得留下來會很值得，於是就繼續留在那椅子很難坐的蘇格拉底廳裡上課。
在詐騙愈來愈嚴重的情況下，大家才開始重視所謂的隱私問題，原本，我們有一個在民國84年8月公布的電腦處理個人資料保護法，但是，它只限於電腦處理的資料，並不包括人工手寫的紙本資料，所以「電腦處理個人資料保護法」只規範了電腦裡的資料。
在年初吧！我記得也參加過類似的課程，對於「電腦處理個人資料保護法」之後的修正草案，早在2005年改為「個人資料保護法」並已送立法院，但至昨天早上，都還在協商階段，主要在於賠償總額的上限是五千萬還是拾億？民代是否有免責條款？這兩個問題一直沒有取得共識，一直到下午我所聽到的訊息是個資法的草案已通過一讀了，有望在今年年底通過三讀。

對每個民眾而言，個資法將要通過會是一個好消息，就我所看到的內容而言，還有台上專業的法律人所分享，個資法對民眾來說是有很完善的保護，但對廠商來說，絕對是非常麻煩。

• 在「電腦處理個人資料保護法」中所定義的個人資料包括了：自然人之姓名、出生年月日、身分證統一編號、特徵、 指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社會活動及其足以識別該個人之資料都被稱為個人資料；在在「個人資料保護法」中，個人的醫療資訊、性生活、健康檢查及犯罪前科等五種資料是特別保護的特種資料。
• 在「電腦處理個人資料保護法」的時代裡，只限定了：醫院、學校、電信業、金融業、證券業、保險業、徵信業、大眾傳播業等八大行業，在「個人資料保護法」中，任何行業、團體及個人都納入其範疇，但如果是單純的個人或家庭活動目的就不在於此限。當廠商要蒐集個人資料時，要有明確且單獨的同意書，但像是家族出遊如果要買保險，需要蒐集家族成員的個人身分證字號、姓名、地址等個人資訊是不限制的。如果家裡有未成年的小朋友在學校裡，老師要求小朋友寫通訊錄提供個資，除了要同意書外，因為小朋友未成年，所以要家長同意書。
• 個資法的規範已不限於電腦而已，還包括了紙本手寫的資料，
• 當資料被竊取或外洩時，資料持有者要以適當方式通知當事人。
• 不得任意蒐集個人資料，廠商一定要先向主管機關申請取得許可後才能蒐集資料。昨天聽到會由法務部公告相關的主管機關，所以，網路商店等會由經濟部擔任其主管機關；而其他相關的主管機關會再由法務部公告。
• 在個資法通過後，只要是符合一定要件的財團法人或公益社團法人就可以代替當事人提起團體訴訟。
• 民事責任：在同一原因事實行為，賠償總額提高（但目前未確認是五千萬還是拾億）。
• 刑事責任：非意圖營利違反個資法行為者，科處兩年以下有期徒刑，屬於告訴乃論；意圖營利者的處罰則提高為五年以下有期徒刑，屬於非告訴乃論。
• 行政責任；除了上述的處罪外，也要連帶處罰該公司（民間團體、行業）負責人之監督責任，處以壹百萬元以下的罰鍰。
• 非金務機關首次行銷時應免費提供當事人表示拒絕的方式；當事人表示拒絕接受行銷時，應即停止利用其個人資料行銷。

重點是，只要我們覺得因個人資料被竊取或被外洩發生損失而索賠時，是不須負舉證責任，非公務機關要證明「無故意或過失責任」才能免責；公務機關則須負「無過失責任」。
還有很多的內容，要看草案才會清楚，但光是上面列的這些，就夠讓商家頭痛了，站在商家的立場來說，資安問題可以說是一個錢坑，就是不斷的砸錢買設備和軟體→測試→更新軟體的砸錢循環，儘管該買的該裝的都裝了，只要電腦連上網路你還是無法避免有哪個員工的電腦被植入木馬開了後門，甚至也很難避免員工把公司的重要資料帶出，就算沒有網路也沒有提供儲存設備，但也別低估人腦的能力
在研討會結束時，還有一點資訊，整理如下：

• 在個資法通過後，向主管機關申請許可時還是會有空窗期，在這段期間，商家可以先寄送同意書讓現有的會員進行同意的動作，但同意書的內容一定要明確且單獨。像是一些銀行在辦卡時都會在契約書裡註明會將個人資料提供給事業相關單位或夥伴使用，這是絕對不行的哦！
• 在蒐集個人資料時，只收集email，email address不是個人資料，但如果像是姓名(XXXXX@gmail.com)，可以識別出我個人的話，這就是個人資料，當公務或非公務機關要收集這樣的資料時，就要先告知資料蒐集後的用途，我同意後才能使用，且只能使用在這個用途裡。同樣的，電話號碼因為是數字，無法辨識，所以也不算是個人資料。

令人氣餒的一個消息是，據說，那個處罰垃圾信的法案要通過還要好久好久，可能不會通過了，只能每週看某個很惹人厭的黃XX繼續寄他的垃圾信，可惡。