個人資料保護法沿革
2010年5月26日修正公佈之個人資料保護法,目前雖尚未施行,然由於其修正後之新法,不僅適用之主體不再只是限於過去俗稱之「八大行業」,而是擴大到全部的公務機關、所有各行各業之法人或團體,也包括自然人;且違反該新法之最高賠償總額修正提高至新台幣(下同)二億元,刑事處罰及行政罰鍰也都一併加重提高刑度與額度,效果可謂增強許多,各業莫不嚴陣以待,主管機關也早已主動積極宣導,以期輔助業者,切實履行維護個人資料安全的重大責任。
特種資料,需經當事人書面同意
新「個人資料保護法」第6條第1項第1款規定,除了以下四種情形外,不得蒐集、處理或利用有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料(即「特種資料」):
一、法律明文規定。
二、公務機關執行法定職務或非公務機關履行法定義務所必要,且有適當安全維護措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,位同級或學術研究而有必要,且經一定程序所為蒐集、處理或利用之個人資料。
為了因應上述特種資料之蒐集處理或利用,需有法律明文規定之要求,最近2011年6月29日甫由立法院審理通過之保險法中,立法理由明言,因為保險業之經營,其業務性質無論在核保或理賠時,都必須依據相關個人資料,尤其是健康檢查、病歷等資料,予以審查。如不賦予保險業蒐集該相關特種資料,保險制度將無法運作。因此新修正保險法增設第177-1條,明文規定保險業為執行業務所需、保險輔助人為協助保險契約義務之確定或履行,及其他一定之保險相關行業,例如:為辦理保險犯罪與道德危險防制、爭議調處、車禍受害人補償、危險分散機制業務所需,而經主管機關許可設立之保險事務財團法人及保險相關同業公會,得以蒐集、處理或利用病歷、醫療及健康檢查之個人特種資料。惟該條規定其蒐集需經個人資料之本人書面同意,或主管機關之同意方可。
至於前述所謂書面同意之方式及其他應遵行事項,將由主管機關衡酌個人隱私權、資料合理利用與業務之經營與執行所必要等因素,另訂辦法管理之。
一般個人資料,需有契約關係或經當事人書面同意等,並僅得在特定目的內利用
至於特種資料以外之其他一般個人資料,新個人資料保護法規定,非公務機關(包括公務機關以外之所有自然人、法人或其他團體),對於該些一般個人資料之蒐集或處理,必須要有特定目的。而依據法務部法85令字19745號令頒布之「電腦處理個人資料保護法之特定目的及個人資料之類別」,其中適用保險業之特定目的為依保險法令規定辦理之人身與財產保險相關業務。
非公務機關對於特種資料以外之一般個人資料的蒐集或處理,除了應有上述之特定目的外,尚須符合以下的情形之一:
一、法律明文規定。
二、與當事人有契約或類似契約關係。
三、當事人自行公開或其他已合法公開之個人資料。
四、學術研究機構基於公共利益,為統計或學術研究而有必要,且資料經過提供者處理後,或蒐集者依其揭露方式,無從識別特定之當事人。
五、經當事人書面同意。
六、與公共利益有關。
七、個人資料取自一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。
依據上述規定,如果保險業與該當事人有契約關係(例如:該個人為保戶),或雖沒有契約關係,但在經過該當事人之書面同意後,保險業可以蒐集、處理該當事人之一般個人資料,並在特定目的之範圍內利用之。上述所稱當事人指書面同意,係指當事人經蒐集者已經依法告知其新個人資料保護法所規定之應告知事項後,所為允許之書面意思表示。此處所謂依新個人資料保護法所規定之應告知事項為何,請詳後述。
一般個人資料,在特定目的外之利用,需另告知並經當事人單獨之書面同意
惟,以上之規定係指保險業是在特定目的之範圍內利用該個人資料而已。若保險業要在特定目的以外之其他用途上利用個人資料,例如:提供給其他公司為行銷利用時,因為已經超過了原來保險業與當事人之保險契約關係之外,保險業必須要明確告知個人資料之本人,該特定目的以外其他目的是什麼,其利用範圍如何,以及當事人同意與否對其權益之影響,並且另行取得其單獨之書面同意後,才可利用。
然而,除了經當事人同意以外,若有以下情形,保險業得不經當事人同意而逕為特定目的外之利用:
一、法律明文規定。
二、為增進公共利益。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益,為統計或學術研究而有必要,且資料經過提供者處理後,或蒐集者依其揭露方式,無從識別特定之當事人。
當事人同意的方法
有上述說明可知,可知保險業在蒐集、處理和利用個人資料時,幾乎都免不了需要取得當事人之同意,而相信謹慎經營之保險業也都會相當重視法令遵循的原則,與承擔維護個人資料安全的責任,因而如何取得當事人的同意,可謂十分之重要。除了前述就個人特種資料所需書面同意之方式,應由主管機關另訂辦法管理之外,在新個人資料保護法中,有下列重要規定:
一、書面且正面的同意
首先,所有當事人之同意都必須是書面的。並且,保險業在向當事人蒐集一般個人資料時,當事人之書面同意,必須是在保險業依法已經履行了個人資料保護法所規定之告知義務後所取得的,才算合法(詳後述)。再者,當事人之同意必須是正面的,亦即在設計當事人同意與否之問題時,必須是當事人表示同意才簽名,而不是設計為假設當事人已經同意,而在當事人不同意時才簽名。因為,如果當事人不同意時,並無以書面表示不同意之義務,從而如果縱使當事人在該書面上並未為不同意之簽名,仍不得據此而認定當事人已經同意。
二、單獨的同意
另外,需特別注意的是,如果是在特定目的以外之利用一般個人資料時,必須另外經當事人單獨之書面同意。換句話說,雖然保險業在第一次向當事人蒐集個人資料時,已經取得當事人之書面同意,但是,未來於要在特定目的以外為利用時,必須要另外再向當事人為告知,並在此取得其單獨的書面同意,才屬合法。亦即,此處之告知,有別於前述保險業在向當事人蒐集一般個人資料,作為特定目的內之利用時,所為之告知是不同的。因此,如果保險業想要在第一次向當事人蒐集個人資料時,就同時取得當事人同意在特定目的內,以及特定目的外之利用者,保險業仍然必須將此二種不同目的的蒐集等分別處理,並取得當事人分別的、單獨的書面同意。例如:分開在兩張書面上,為不同之同意的意思表示,或在同一張書面上,設計不同的同意意旨之欄位,以區隔並表彰兩個不同目的之同意。
當事人有拒絕行銷之權利
依據新個人資料保護法之規定,縱使保險業已經依法得到當事人書面同意,而為不論是特定目的內,或特定目的外之利用,但當事人嗣後又決定不想要接受行銷時,當事人隨時可以表示拒絕接受行銷,而保險業一經當事人表示拒絕,應即應停止利用其個人資料行銷。甚至,保險業必須在第一次向當事人行銷,應該提供當事人表示拒絕接受行銷之方式,並由保險業支付費用。
新個人資料保護法就上述規定之立法理由說明,非公務機關依法利用個人資料從事商品行銷,包括特定目的內與特定目的外之利用,如果當事人擬拒絕接受該產品之行銷,只能依該新法第三條規定,請求停止處理、利用或刪除其個人資料,往往緩不濟急。為尊重當事人拒絕接受行銷之權利,爰參考包括歐盟以及德國之立法例,明定當事人一旦表示拒絕接受行銷時,非公務機關即應停止利用其個人資料。
相關告知規定
一、直接蒐集
以上提及保險業在向當事人蒐集一般個人資料時,必須先向當事人為告知後,再取得當事人之書面同意,才算合法。而依新個人資料保護法規定,保險業在直接向當事人蒐集一般個人資料時,應明確告知下列事項:
1. 保險業之名稱。
2. 蒐集之目的。
3. 個人資料之類別。
4. 個人資料利用之期間、地區;對象及方式。
5. 當事人依個人資料保護法規定所得行使的權利及方式。
6. 當事人得自由選擇提供個人資料時,不提供時將對其權益之影響。
如果有下列情形之一者,保險業得免為前項告知:
1. 依法律規定得免為告知。
2. 為履行法定義務所必要。
3. 告知將妨害第三人之重大利益
4. 當事人明知應告知之內容。
二、間接蒐集
保險業依法蒐集非由當事人提供之個人資料,原則上應在處理或利用前,告知當事人。然若保險業為執行核保或理賠作業需要,以及保險業與新修正保險法第177-1條所定之保險相關行業之間,或該些保險相關行業相互之間依法所蒐集之個人資料,為基於防制保險犯罪或道德危險之公共利益者,其處理及利用,得免告知。
在此次新個人資料保護法修正施行前,保險業非由當事人提供之個人資料,若符合前述免告知之規定者,得繼續為蒐集、處理,及於特定目的必要範圍內利用。但若有應規定,在處理或利用前應向當事人告知者,則應自新個人資料保護法修正施行之日起一年之內完成告知,逾期未告知而處理或利用者,將為違法。
處罰提高
新個人資料保護法修正,為加重個人資料蒐集或持有者之責任,促其重視維護個人資料安全之措施,並使被害人能受到較高額度之賠償,因而將因違反該法規定,致侵害當事人權利者之損害賠償責任之上限,從原來的二千萬元大幅提高到二億元,且如因該原因事實所獲利益超過二億元時,仍得以該超過二億元之利益為限。相關可能之刑事處罰,除原來的二年以下有期徒刑不變外,新法提高了罰金為二十萬元以下,並增訂意圖營利而犯罪者,處五年以下有期徒刑,得併科五十萬罰金。另外,相關行政罰鍰也都提高到最高為五十萬元,未於限期改正者,按次處罰之。