2012年1月31日 星期二

個資法條文~整理(五)「個人資料利用原則」

「個人資料利用原則」相關法條:

5 條 個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。

公務機關
16 條 公務機關對個人資料之利用,除第六條第一項(蒐集限制原則)所規定資料外,應於執行法定職務必要範圍內為之,並與蒐集之特定目的相符。但有下列情形之一者,得為特定目的外之利用:
一、法律明文規定。
二、為維護國家安全或增進公共利益。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。
六、有利於當事人權益。
七、經當事人書面同意。

非公務機關
20 條 非公務機關對個人資料之利用,除第六條第一項(蒐集限制原則)所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:(20-1)
一、法律明文規定。
二、為增進公共利益。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。
六、經當事人書面同意。

非公務機關依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。(20-2)

非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支付所需費用。(20-3)

2012年1月24日 星期二

個資法條文~整理(四)「蒐集限制原則」

「蒐集限制原則」相關法條:

6 條 有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:(6-1)
一、法律明文規定。
二、公務機關執行法定職務或非公務機關履行法定義務所必要,且有適當安全維護措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且經一定程序所為蒐集、處理或利用之個人資料。

前項第四款個人資料蒐集、處理或利用之範圍、程序及其他應遵行事項之辦法,由中央目的事業主管機關會同法務部定之。(6-2)

53 條 本法所定特定目的及個人資料類別,由法務部會同中央目的事業主管機關指定之。

公務機關
15 條 公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:
一、執行法定職務必要範圍內。
二、經當事人書面同意。
三、對當事人權益無侵害。

非公務機關
19 條 非公務機關對個人資料之蒐集或處理,除第六條第一項(蒐集限制原則)所規定資料外,應有特定目的,並符合下列情形之一者: (19-1)
一、法律明文規定。
二、與當事人有契約或類似契約之關係。
三、當事人自行公開或其他已合法公開之個人資料。
四、學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。
五、經當事人書面同意。
六、與公共利益有關。
七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。

蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。(19-2)

2012年1月17日 星期二

個資法條文~整理(三)「告知原則」

「告知原則」相關法條

7 條 第十五條第二款及第十九條第五款(蒐集限制原則)所稱書面同意,指當事人經蒐集者告知本法所定應告知事項後,所為允許之書面意思表示。 (7-1)

第十六條第七款、第二十條第一項第六款(個人資料利用原則)所稱書面同意,指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之書面意思表示。(7-2)

8 條 公務機關或非公務機關依第十五條或第十九條(蒐集限制原則)規定向當事人蒐集個人資料時,應明確告知當事人下列事項:(8-1)
一、公務機關或非公務機關名稱。
二、蒐集之目的。
三、個人資料之類別。
四、個人資料利用之期間、地區、對象及方式。
五、當事人依第三條規定得行使之權利及方式。
六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。

有下列情形之一者,得免為前項之告知:(8-2)
一、依法律規定得免告知。
二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。
三、告知將妨害公務機關執行法定職務。
四、告知將妨害第三人之重大利益。
五、當事人明知應告知之內容。

9 條 公務機關或非公務機關依第十五條或第十九條(蒐集限制原則)規定蒐集非由當事人提供之個人資料,應於處理或利用前,向當事人告知個人資料來源及前條第一項第一款至第五款(告知原則)所列事項。(9-1)
一、有前條第二項所列各款情形之一。
二、當事人自行公開或其他已合法公開之個人資料。
三、不能向當事人或其法定代理人為告知。
四、基於公共利益為統計或學術研究之目的而有必要,且該資料須經提供者處理後或蒐集者依其揭露方式,無從識別特定當事人者為限。
五、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。

第一項之告知,得於首次對當事人為利用時併同為之。(9-2)

2012年1月16日 星期一

向日本P-Mark取經,看隱私標章如何建立公信力



作者:廖珮君 -11/14/2011


新版個資法對企業帶來不少衝擊,為了協助企業做好法規遵循,各個目的事業主管機關皆有不同作法,其中,經濟部於今(2011)5月宣告設置個人資料保護管理制度TPIPAS及個資保護標章DP-Mark,但由於目前僅止於試辦階段,關於制度維運的相關措施(如:收費標準、驗證方式、輔導機構等)皆未明朗化,也讓許多人對於標章的公正客觀性抱持懷疑態度。

日前來台參加研討會的JIPDEC隱私標章推動中心副中心長關本貢,以日本推動隱私標章P-Mark經驗為例,分享JIPDEC如何維護與建立隱私標章的客觀、獨立、公平、與可信度。JIPDEC負責隱私標章發放,並成立多個不同功能的組織,各司不同領域,透過層層監督審查機制建立P-Mark的公信力。

一、隱私標章制度委員會
由外部專家、教授、企業和消費者代表、律師等共同組成,負責制度審議與維運、取消P-Mark標章使用資格、指定審查機構等工作。

二、審查機構與審查委員會
當企業提出申請P-Mark需求時,必須由審查機構進行書面與現場審查,評估申請者是否符合JIS Q 15001:2006的規範,並產出審查報告書,交由審查委員會決定能否授與隱私標章。審查委員會的組成,與隱私標章制度委員會的組織成員類似,一樣由外部專家、教授、企業和消費者代表、律師等組成。

至於哪些單位可以擔任審查機構?隱私標章制度委員會訂有「隱私標章授證審查調查機構指定基準」,只要符合相關條件者,就可以申請成為審查機構,由隱私標章制度委員會決定是否通過。目前日本共有19個指定審查機構,1個隸屬於JIPDEC編制下的審查業務室,12個產業審查機構(只接受特定產業提出的申請),以及6個地區審查機構(只接受位於特定地區企業所提出的申請)。

三、審查員資格評估委員會
審查機構受理企業提出的申請,實際執行審查作業的則是審查員,若要成為P-Mark審查員,必須接受特定訓練才可以。截至20113月為止,JIPDEC共指定5個機構辦理P-Mark審查員訓練,首先要接受為期5天的課程,才能成為助理審查員,之後若升為審查員,還須接受半天的訓練課程,最後則是主任審查員,JIPDEC成立了一個審查員資格評估委員會,負責審查員的資格審核,至20119月底,日本共有1,189位審查員。

四、消費者申訴窗口
JIPDEC組織和每一個審查機構下,皆設有消費者申訴窗口,負責受理消費者對企業個資保護相關的疑問或投訴,假如取得P-Mark標章的企業發生個資外洩事件,也會介入調查並要求改善。目前,JIPDEC組織在消費者申訴窗口的人力編制,除了經理、助理各1名之外,還有4個正職顧問及1個兼職顧問。

五、異議審查會
最後還有一個異議審查會,此為機動性編制。只要有任何與隱私標章本體、申請企業、審查委員身份有關的爭議,隱私標章制度委員會就會啟動異議審查會機制,直到爭議解決為止。

回到台灣TPIPAS來看,由於目前還在試辦階段,輔導、驗證及教育訓練皆由資策會科法中心負責,至於未來規劃,經濟部商業司7科科長陳威達表示,目前構想為,開放輔導廠商的身份限制、不做總量管控,只要提出書面申請,經過基本審查程序就可以,至於驗證廠商的門檻較高,必須經過嚴格的資格審查,且會管控數量,預計只開放23家,而標章發放工作仍由商業司來負責,但陳威達強調,這只是初步規劃,還須經過內部開會討論,預計年底才會有明確的方向。


原文網址:向日本P-Mark取經 看隱私標章如何建立公信力,Information Security 資安人科技網http://www.isecutech.com.tw/article/article_detail.aspx?aid=6471#ixzz1jgRwyCsw

2012年1月10日 星期二

個資盤點刻不容緩 掌握風險才能做好控管

        新版個資法對企業衝擊很大,惟因施行細則尚未公佈,使得許多企業遲遲未展開因應腳步,希望等到施行細則正式上路後,再來決定該做哪些因應措施。然而,這樣的因應速度未免過於緩慢,針對部份一定要做、而且不會受到施行細則影響的事情,企業應該趁早開始,個資盤點便是其一。

        日前,庫柏資訊針對政府公務部門舉辦「面對個人資料保護新法」研討會,便提出個資盤點的重要性。資拓宏宇顧問諮詢服務處協理張美月指出,企業個資盤點最常遇到的問題就是,盤點者不瞭解個資的定義,誤以為自己手中沒有與個資相關的資料,因此在個資盤點之前,最好先對員工進行教育訓練,告知哪些類型的資料屬於個人資料,並培訓種子員工,才能順利完成個人資料的盤點工作。

        除了透過人為盤點之外,也能借助DLP(資料遺失防護Data Loss Prevention)或(DAM Database Activity Monitoring資料庫行為監控系統)等資安工具來進行。庫柏資訊技術支援部經理黃世明表示,個資盤點是保護個資的第一步,惟有全面清查可能存放敏感性資料的資料庫及存取管道,才能做進一步地監控與管理,使用DAM盤點個資的程序包括:確認資料範圍、尋找目標、討論資料規則、自動掃描、確認資料的控管類型(如:敏感資料、機密資料)、設定資料使用與管控策略。

        個資法通過後,企業手中握有多少筆個人資料,就代表其背負的風險有多大,因此,個資盤點工作刻不容緩,惟有掌握自身的風險大小,才能規劃相對應的保護之道,進而降低資料外洩的風險。

作者:廖珮君 -09/19/2011

原文網址:個資盤點刻不容緩 掌握風險才能做好控管,Information Security 資安人科技網http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=11&aid=6315#ixzz1j7P6x4Bo

ISO27001 vs 個資法導入遇上的問題

最近在ISO27001和個資法(PIMS)導入的討論中,長官和前輩給了不少意見,在Blog跟大家分享,以供類似情況之參考。

1.資產盤點與個資盤點是否應該同時進行!? 

   個資盤點的部分,因為先進行個資盤點能幫助釐清個資處理(保存)的狀況
    所以先進行個資盤點 再進行資訊資產盤點  將有助於兩系統整合
     特別是個資清冊的建立。
    當然資產盤點與個資盤點是可以同時進行盤點,
    但原則是要先請組織鑑別其保有之個資來源,再併入ISO 27001資產盤點。
     建議先上個資盤點課程,並先收集個資來源項目,
     之後再進行資訊資產盤點,確認後再進入風險評估階段。

2.ISO27001似乎對人力資源安全控制領域中
   對聘僱人員的資格有其標準,有些例如信用核對或犯罪紀錄檢核的部分
    是涉及敏感個資或是法規所不允許蒐集、處理及利用的
    這個部份在資安環境審查的階段,個資法是否就應該一同進場討論?
    還是分開討論後 再作修正?
   
   某公司人事專員處理新進人員報到時,新進人員提出:“公司詢問她是否有犯罪紀錄是違法的,因為個資法載明犯罪前科屬於特種個資,依法不得蒐集”,是故該員堅持不填該員工資料表中需揭露事項。(from 個資法及ISO 27001共通性與操作概述~黃小玲」)
     關於ISO 27001所提到的人力資源安全控制,主要區分為面試錄取前在職過程離職過程。手法可能是:面試錄取前向前公司徵信當事人是否有資安犯罪不良紀錄或不良評價;在職過程的教育訓練與ISO 9001相同,將課程著重在資訊安全;而離職過程主要是在談停權時間點與離職流程的控管。
 而對於聘僱人員的信用核對與犯罪紀錄徵信,只要在面試資料表中不揭露,也就是不收集,就沒有個資的問題。(詳細作法應以個資法施行細則或各行業別個資法行政命令/法規公告為準)
 所以ISO 27001與個資資料管理,在人力資源安全控制領域同時討論時,是必要整合兩個系統上對人理資源管理上的要求,設計一套兼顧資安管理制度與法令遵循的控管措施。當然重點是該組織的面試錄取前、在職過程與離職過程要很了解,才能一次整合到位。

3.個人資料處理及利用的事項包括資訊處置、存取控制、權限管制等等...
   可以等到ISO27001系統建立後,再依ISMS的作業流程來作管理,
    如此一來便於將個人資訊安全處理整合在資安系統之中管制。
    (BS10012標準就有將ISO27001資訊安全認證列在條文中描述,條文4.13)
  
4.資安之緊急事故處理程序、法規識別個資威脅事件管理程序、法規遵循等等....
   可以作整合處理,因為過程中的工具與作法都相同。

5.另外是個資銷毀的部分原先自己的想法是納入各作業個資處理的流程之中,
    經過前輩的提醒,我複習一下法規中的敘述:
    個資法27條除提到須採行適當安全措施以保有個人資料檔案外,
     另外針對業務終止後同樣也要求訂定相關個資處理方法!
     所以
      將個資銷毀的項目獨立出來,
      一方面 統一的銷毀辦法及規定可以加強組織對個資銷毀的管理
      另一方面也可以對應到外部驗證要求或是行政檢查項目,
      真是恍然大悟阿!

以上~


個資法條文~整理(二)「預防損害原則」

「預防損害原則」相關法條:

12 條 公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。

30 條 損害賠償請求權,自請求權人知有損害及賠償義務人時起,因二年間不行使而消滅;自損害發生時起,逾五年者,亦同。

32 條 依本章規定提起訴訟之財團法人或公益社團法人,應符合下列要件:
一、財團法人之登記財產總額達新臺幣一千萬元或社團法人之社員人數達一百人
二、保護個人資料事項於其章程所定目的範圍內。
三、許可設立三年以上

34 條 對於同一原因事實造成多數當事人權利受侵害之事件,財團法人或公益社團法人經受有損害之當事人二十人以上以書面授與訴訟實施權者,得以自己之名義,提起損害賠償訴訟。當事人得於言詞辯論終結前以書面撤回訴訟實施權之授與,並通知法院。(34-1)

前項訴訟,法院得依聲請或依職權公告曉示其他因同一原因事實受有損害之當事人,得於一定期間內向前項起訴之財團法人或公益社團法人授與訴訟實施權,由該財團法人或公益社團法人於第一審言詞辯論終結前,擴張應受判決事項之聲明。(34-2)

其他因同一原因事實受有損害之當事人未依前項規定授與訴訟實施權者,亦得於法院公告曉示之一定期間內起訴,由法院併案審理。(34-3)

其他因同一原因事實受有損害之當事人,亦得聲請法院為前項之公告。(34-4)

前二項公告,應揭示於法院公告處、資訊網路及其他適當處所;法院認為必要時,並得命登載於公報或新聞紙,或用其他方法公告之,其費用由國庫墊付。(34-5)

依第一項規定提起訴訟之財團法人或公益社團法人,其標的價額超過新臺幣六十萬元者,超過部分暫免徵裁判費。(34-6)

35 條 當事人依前條第一項規定撤回訴訟實施權之授與者,該部分訴訟程序當然停止,該當事人應即聲明承受訴訟,法院亦得依職權命該當事人承受訴訟。(35-1)

財團法人或公益社團法人依前條規定起訴後,因部分當事人撤回訴訟實施權之授與,致其餘部分不足二十人者,仍得就其餘部分繼續進行訴訟。(35-2)
36 條 各當事人於第三十四條第一項及第二項(預防損害原則)之損害賠償請求權,其時效應分別計算。

37 條 財團法人或公益社團法人就當事人授與訴訟實施權之事件,有為一切訴訟行為之權。但當事人得限制其為捨棄、撤回或和解。(37-1)

前項當事人中一人所為之限制,其效力不及於其他當事人。(37-2)

第一項之限制,應於第三十四條第一項(預防損害原則)之文書內表明,或以書狀提出於法院。(37-3)

38 條 當事人對於第三十四條(預防損害原則)訴訟之判決不服者,得於財團法人或公益社團法人上訴期間屆滿前,撤回訴訟實施權之授與,依法提起上訴。(38-1)

財團法人或公益社團法人於收受判決書正本後,應即將其結果通知當事人,並應於七日內將是否提起上訴之意旨以書面通知當事人。(38-2)

39 條 財團法人或公益社團法人應將第三十四條(預防損害原則)訴訟結果所得之賠償,扣除訴訟必要費用後,分別交付授與訴訟實施權之當事人。(39-1)

提起第三十四條第一項(預防損害原則)訴訟之財團法人或公益社團法人,均不得請求報酬。(39-2)

40 條 依本章規定提起訴訟之財團法人或公益社團法人,應委任律師代理訴訟。



公務機關
18 條 公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。

28 條 公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限。(28-1)

被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。(28-2)

依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上、二萬元以下計算。(28-3)

對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者,以該所涉利益為限。(28-4)

同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。(28-5)

第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者,不在此限。(28-6)

31 條 損害賠償,除依本法規定外,公務機關適用國家賠償法之規定。(31-1)

損害賠償,除依本法規定外,非公務機關適用民法之規定。(31-2)

33 條 依本法規定對於公務機關提起損害賠償訴訟者,專屬該機關所在地之地方法院管轄。(33-1)

對於非公務機關提起者,專屬其主事務所、主營業所或住所地之地方法院管轄。(33-2)

前項非公務機關為自然人,而其在中華民國現無住所或住所不明者,以其在中華民國之居所,視為其住所;無居所或居所不明者,以其在中華民國最後之住所,視為其住所;無最後住所者,專屬中央政府所在地之地方法院管轄。(33-3)

第一項非公務機關為自然人以外之法人或其他團體,而其在中華民國現無主事務所、主營業所或主事務所、主營業所不明者,專屬中央政府所在地之地方法院管轄。(33-4)




非公務機關
27 條 非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。(27-1)

中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。(27-2)

前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。(27-3)

28 公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限。(28-1)


被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。(28-2)

依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上、二萬元以下計算。(28-3)

對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者,以該所涉利益為限。(28-4)

同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。(28-5)

第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者,不在此限。(28-6)

29 條 非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。(29-1)

依前項規定請求賠償者,適用前條第二項至第六項規定。(29-2)

31 損害賠償,除依本法規定外,公務機關適用國家賠償法之規定。(31-1)

損害賠償,除依本法規定外,非公務機關適用民法之規定。(31-2)


33 依本法規定對於公務機關提起損害賠償訴訟者,專屬該機關所在地之地方法院管轄。(33-1)

對於非公務機關提起者,專屬其主事務所、主營業所或住所地之地方法院管轄。(33-2)

前項非公務機關為自然人,而其在中華民國現無住所或住所不明者,以其在中華民國之居所,視為其住所;無居所或居所不明者,以其在中華民國最後之住所,視為其住所;無最後住所者,專屬中央政府所在地之地方法院管轄。(33-3)

第一項非公務機關為自然人以外之法人或其他團體,而其在中華民國現無主事務所、主營業所或主事務所、主營業所不明者,專屬中央政府所在地之地方法院管轄。(33-4)

2012年1月8日 星期日

個資法條文~整理(一)

※本法規部分或全部條文尚未生效,本法 99.05.26 修正公布之全文施行日期,由行政院定之。但現行條文第192243 條之刪除,自公布日施行。








1 條 為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。


2 條 本法用詞,定義如下:

一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。
六、國際傳輸:指將個人資料作跨國(境)之處理或利用。
七、公務機關:指依法行使公權力之中央或地方機關或行政法人。
八、非公務機關:指前款以外之自然人、法人或其他團體。
九、當事人:指個人資料之本人。


4 條 受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關。