個資法細則出爐,告知與書面同意2大限制放寬
新版個資法施行細則草案日前出爐,從10月27日到11月9日期間,進行14天的草案預告。法務部法律事務司副司長鍾瑞蘭表示,預告期是為了蒐集各界對於細則草案的看法,回覆意見若不需召開專家會議,將如期將個資法施行細則送交行政院審查。
新版個資法於2010年5月26日由總統修正公布後,法務部為了草擬施行細則,已召開多次公聽會及專家會議。由於新版個資法適用所有行業,不論是電子或者是紙本個資也都在該法的適用範圍之內,再加上2億元的高額罰鍰,以及一般公司負責人需負連帶罰責,都讓臺灣企業莫不戰戰兢兢、審慎面對新版個資法帶來的衝擊。
由於新版個資法對個資的蒐集、處理、利用等,都有相當嚴謹的條文規範,許多企業期望施行細能讓實務上窒礙難行之處,有鬆綁的空間。其中,最為企業關注的就是告知義務與書面同意的執行方式。
根據目前出爐的新版個資法施行細則草案版本,可以看出細則中,對於告知義務的方式採用寬鬆的認定標準。至於書面同意可以採用電子文件表示時,原本企業擔心必須要採行數位簽章或憑證,而經濟部商業司也已回覆法務部,根據電子簽章法的精神,企業取得書面同意時,能以電子文件的形式表示,除特定情況需要數位簽章外,其餘的電子文件形式,只要企業自負舉證責任即可採用。
告知義務的作法放寬,一對一告知才是重點
新版個資法第54條規定,非公務機關對於先前間接收集、未告知當事人的個資利用,在新版個資法修正施行之日起,必須在1年內完成告知義務;如果逾期未告知當事人便加以利用個資時,將按次處新臺幣2萬元以上、20萬元以下罰鍰。
由於罰則是按次計算,讓許多企業都不敢掉以輕心。至於何種告知方式可以符合法規規定,又不至對企業在營運上,造成太大衝擊,法務部的施行細則草案版本,對於企業應盡的告知義務,採取較為寬鬆的認定。新版個資法施行細則第13條便明訂,「告知之方式,得以書面、電話、傳真、電子文件或其他適當方式為之。」
由於科技越來越進步,鍾瑞蘭認為,企業只要能夠做到「一對一」的告知,不應該限制告知的方式或型態,包括網站的契約規範、電子郵件、簡訊、MSN,甚至使用手機App軟體告知,例如WhatsApp等,這些都可以滿足一對一告知當事人的規定。
不論採何種告知方式,企業需自負舉證責任
鍾瑞蘭也提醒,雖然施行細則所規範的告知方式相當寬鬆,企業採用何種告知方式,還是必須要自負舉證責任。也就是說,企業在進行各種對當事人的告知義務時,都必須留存所有的軌跡記錄,證明企業的確已經盡到告知之責。
先前曾有企業提議透過「公告」的方式來進行告知,但在此次預告的施行細則草案中,並未納入公告的方式。鍾瑞蘭認為,公告的風險很高,目前沒有一個共通的平臺可以提供企業公告之用,企業想要利用間接蒐集的個資,以公告方式進行告知時,也可能揭露當事人不願被公開與該企業互動關係的訊息。為了做到避免人格權被侵害,並促進個人資料合理利用,鍾瑞蘭表示,這種事後追溯的告知方式,還是必須要能夠做到一對一的告知。
曾經擔任檢察官的電子商務業者飛翔駱駝執行長葉奇鑫表示,拿掉企業原本期待的「公告」方式,主要還是因為母法強調要個別通知當事人,在子法不得逾越母法的前提下,企業的期待勢必落空。
蒐集者與當事人同意,可用電子文件表示書面同意
由於新版個資法嚴格規範書面同意的意涵,必須符合當事人經蒐集者告知新版個資法所定的應告知事項,或者是經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,所做的書面意思表示,才符合該法所規範的書面同意。嚴格的書面同意規範,讓許多企業擔心,取得當事人書面同意的方式,將增加企業營運的成本。
許多企業則寄望這樣新版個資法規範的書面同意,可以改採成本較為節省的電子文件方式呈現;但這種電子文件的呈現,卻又面臨電子簽章法的規範,必須符合憑證或數位簽章的規定。
便有電子商務業者直言,一旦這種書面同意採電子文件方式表示,必須要有數位簽章或憑證才能符合法律規範,對於企業的實務運作,有高度的窒礙難行之處。他說,若以有800多萬用戶的集保公司為例,倘若書面同意不能採用電子文件方式的話,該公司光是取得當事人書面同意的成本,至少要花3億元以上。
為了解答多數企業的疑惑,鍾瑞蘭表示,施行細則在第11條明白規定,書面意思的表示方式,只要內容可完整呈現,且可以供日後查驗,經蒐集者與當事人同意後,可以採用電子文件的方式。
由於經濟部商業司是電子簽章法的主管機關,面對新版個資法施行細則對於書面同意的電子文件表現方式,經濟部商業司7科也於10月27日發公文給法務部,提供主管機關對於法規解釋的內涵供法務部參考。
經濟部商業司7科科員杜水龍表示,根據電子簽章法第4條的精神,只要這些代表書面同意的電子文件內容可以完整呈現,並可於日後取出供查驗者,經相對人同意,都可以採用電子文件的方式作為書面同意所需。他說,只有根據電子簽章法第9條規定,依法令規定應簽名或蓋章者,經相對人同意,才需要提供電子簽章。
杜水龍舉例表示,如果企業要獲得當事人對個資特定目的外利用的書面同意,只要當事人同意採用電子郵件的方式,企業便可以透過電子郵件方式,詢問當事人的意願。他說,此時,企業只需要能夠證明該封徵詢當事人同意的電子郵件,有具體收發對象、時間、主旨和內容,並能做到完整存檔和呈現,也可供日後取出查驗外,當事人的書面同意就可以採用這類電子郵件的電子方式表示。
書面同意必須明顯獨立標示,避免混淆不清
許多人在填寫各式各樣的同意書時,對於授權企業如何處理個資的選項,往往混雜在密密麻麻的字海中。鍾瑞蘭表示,新版個資法施行細則第12條便明訂,單獨所為的書面意思表示方式,如果和其他意思表示的內容,都載明在同一書面者,企業應於適當位置,使當事人得以知悉其內容後並確認同意。
她指出,為了保障當事人的合理授與企業運用其個資的權利,企業在提供各種定型化契約時,針對當事人所進行的各種個資蒐集、處理或利用,都必須要是單獨的意思表示。
也就是說,企業在提供當事書面人同意個資處理的方式時,必須是使用不同的紙張,或者是將當事人同意的區塊特別獨立標示出來,讓當事人一眼就清楚看到同意或不同意授與企業處理個資的意思表示區塊。鍾瑞蘭說,以往的定型化契約會將同意的欄位,混雜在繁雜文字的形式中,藉此混淆視聽,但這樣的作法,都不符合施行細則確保當事人個資使用權利的精神。
《詳細內文請見iThome電腦報528期(www.ithome.com.tw),天瓏、誠品、何嘉仁、搜主義、敦煌、法雅客、Page one書店均有銷售》
528期其他精采內容:
.封面故事:筆電平臺的大革命──Ultrabook
.新聞:泰國水災硬碟大缺貨,企業級產品影響不大
.新聞:元富證券以中介平臺進行跨系統整合,新系統明年上線
.CIO TALK:群益金鼎證券的IT人化身業務員 用軟實力為公司創造驚人業績
.IT人甘苦談:堅持自由與分享的FreeBSD信徒
.產品報導:NAS:威聯通TS-EC1279U-RP與TS-EC879U-RP
新版個資法於2010年5月26日由總統修正公布後,法務部為了草擬施行細則,已召開多次公聽會及專家會議。由於新版個資法適用所有行業,不論是電子或者是紙本個資也都在該法的適用範圍之內,再加上2億元的高額罰鍰,以及一般公司負責人需負連帶罰責,都讓臺灣企業莫不戰戰兢兢、審慎面對新版個資法帶來的衝擊。
由於新版個資法對個資的蒐集、處理、利用等,都有相當嚴謹的條文規範,許多企業期望施行細能讓實務上窒礙難行之處,有鬆綁的空間。其中,最為企業關注的就是告知義務與書面同意的執行方式。
根據目前出爐的新版個資法施行細則草案版本,可以看出細則中,對於告知義務的方式採用寬鬆的認定標準。至於書面同意可以採用電子文件表示時,原本企業擔心必須要採行數位簽章或憑證,而經濟部商業司也已回覆法務部,根據電子簽章法的精神,企業取得書面同意時,能以電子文件的形式表示,除特定情況需要數位簽章外,其餘的電子文件形式,只要企業自負舉證責任即可採用。
告知義務的作法放寬,一對一告知才是重點
新版個資法第54條規定,非公務機關對於先前間接收集、未告知當事人的個資利用,在新版個資法修正施行之日起,必須在1年內完成告知義務;如果逾期未告知當事人便加以利用個資時,將按次處新臺幣2萬元以上、20萬元以下罰鍰。
由於罰則是按次計算,讓許多企業都不敢掉以輕心。至於何種告知方式可以符合法規規定,又不至對企業在營運上,造成太大衝擊,法務部的施行細則草案版本,對於企業應盡的告知義務,採取較為寬鬆的認定。新版個資法施行細則第13條便明訂,「告知之方式,得以書面、電話、傳真、電子文件或其他適當方式為之。」
由於科技越來越進步,鍾瑞蘭認為,企業只要能夠做到「一對一」的告知,不應該限制告知的方式或型態,包括網站的契約規範、電子郵件、簡訊、MSN,甚至使用手機App軟體告知,例如WhatsApp等,這些都可以滿足一對一告知當事人的規定。
不論採何種告知方式,企業需自負舉證責任
鍾瑞蘭也提醒,雖然施行細則所規範的告知方式相當寬鬆,企業採用何種告知方式,還是必須要自負舉證責任。也就是說,企業在進行各種對當事人的告知義務時,都必須留存所有的軌跡記錄,證明企業的確已經盡到告知之責。
先前曾有企業提議透過「公告」的方式來進行告知,但在此次預告的施行細則草案中,並未納入公告的方式。鍾瑞蘭認為,公告的風險很高,目前沒有一個共通的平臺可以提供企業公告之用,企業想要利用間接蒐集的個資,以公告方式進行告知時,也可能揭露當事人不願被公開與該企業互動關係的訊息。為了做到避免人格權被侵害,並促進個人資料合理利用,鍾瑞蘭表示,這種事後追溯的告知方式,還是必須要能夠做到一對一的告知。
曾經擔任檢察官的電子商務業者飛翔駱駝執行長葉奇鑫表示,拿掉企業原本期待的「公告」方式,主要還是因為母法強調要個別通知當事人,在子法不得逾越母法的前提下,企業的期待勢必落空。
蒐集者與當事人同意,可用電子文件表示書面同意
由於新版個資法嚴格規範書面同意的意涵,必須符合當事人經蒐集者告知新版個資法所定的應告知事項,或者是經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,所做的書面意思表示,才符合該法所規範的書面同意。嚴格的書面同意規範,讓許多企業擔心,取得當事人書面同意的方式,將增加企業營運的成本。
許多企業則寄望這樣新版個資法規範的書面同意,可以改採成本較為節省的電子文件方式呈現;但這種電子文件的呈現,卻又面臨電子簽章法的規範,必須符合憑證或數位簽章的規定。
便有電子商務業者直言,一旦這種書面同意採電子文件方式表示,必須要有數位簽章或憑證才能符合法律規範,對於企業的實務運作,有高度的窒礙難行之處。他說,若以有800多萬用戶的集保公司為例,倘若書面同意不能採用電子文件方式的話,該公司光是取得當事人書面同意的成本,至少要花3億元以上。
為了解答多數企業的疑惑,鍾瑞蘭表示,施行細則在第11條明白規定,書面意思的表示方式,只要內容可完整呈現,且可以供日後查驗,經蒐集者與當事人同意後,可以採用電子文件的方式。
由於經濟部商業司是電子簽章法的主管機關,面對新版個資法施行細則對於書面同意的電子文件表現方式,經濟部商業司7科也於10月27日發公文給法務部,提供主管機關對於法規解釋的內涵供法務部參考。
經濟部商業司7科科員杜水龍表示,根據電子簽章法第4條的精神,只要這些代表書面同意的電子文件內容可以完整呈現,並可於日後取出供查驗者,經相對人同意,都可以採用電子文件的方式作為書面同意所需。他說,只有根據電子簽章法第9條規定,依法令規定應簽名或蓋章者,經相對人同意,才需要提供電子簽章。
杜水龍舉例表示,如果企業要獲得當事人對個資特定目的外利用的書面同意,只要當事人同意採用電子郵件的方式,企業便可以透過電子郵件方式,詢問當事人的意願。他說,此時,企業只需要能夠證明該封徵詢當事人同意的電子郵件,有具體收發對象、時間、主旨和內容,並能做到完整存檔和呈現,也可供日後取出查驗外,當事人的書面同意就可以採用這類電子郵件的電子方式表示。
書面同意必須明顯獨立標示,避免混淆不清
許多人在填寫各式各樣的同意書時,對於授權企業如何處理個資的選項,往往混雜在密密麻麻的字海中。鍾瑞蘭表示,新版個資法施行細則第12條便明訂,單獨所為的書面意思表示方式,如果和其他意思表示的內容,都載明在同一書面者,企業應於適當位置,使當事人得以知悉其內容後並確認同意。
她指出,為了保障當事人的合理授與企業運用其個資的權利,企業在提供各種定型化契約時,針對當事人所進行的各種個資蒐集、處理或利用,都必須要是單獨的意思表示。
也就是說,企業在提供當事書面人同意個資處理的方式時,必須是使用不同的紙張,或者是將當事人同意的區塊特別獨立標示出來,讓當事人一眼就清楚看到同意或不同意授與企業處理個資的意思表示區塊。鍾瑞蘭說,以往的定型化契約會將同意的欄位,混雜在繁雜文字的形式中,藉此混淆視聽,但這樣的作法,都不符合施行細則確保當事人個資使用權利的精神。
《詳細內文請見iThome電腦報528期(www.ithome.com.tw),天瓏、誠品、何嘉仁、搜主義、敦煌、法雅客、Page one書店均有銷售》
528期其他精采內容:
.封面故事:筆電平臺的大革命──Ultrabook
.新聞:泰國水災硬碟大缺貨,企業級產品影響不大
.新聞:元富證券以中介平臺進行跨系統整合,新系統明年上線
.CIO TALK:群益金鼎證券的IT人化身業務員 用軟實力為公司創造驚人業績
.IT人甘苦談:堅持自由與分享的FreeBSD信徒
.產品報導:NAS:威聯通TS-EC1279U-RP與TS-EC879U-RP