第 108 期 【 報導系列 】 您不可不知道的重要訊息：個人資料保護法 2

陳志明／物理治療師 1993年，行政院研擬完成「電腦處理個人資料保護法」草案，並送請立法院審議。至1995年，立法院三讀通過「電腦處理個人資料保護法」草案，同年總統公布施行。2005年，法務部研擬完成「電腦處理個人資料保護法」草案，並將法規名稱改為「個人資料保護法」，並送請立法院審議。一直到2010年4月27日立法院三讀通過個人資料保護法，總統府並於5月26日正式公告新法（惟施行日期仍待行政院訂之）。 首先，我們要先了解「個人資料保護法」（以下簡稱「個資法」）所保護的標的物是甚麼？從字面上來看，顧名思義就是要保護「個人資料」。其實以台灣多數的一般中小企業來說，事實上大多數企業所擁有的「個人資料」並不多，除了企業本身的員工資料外，也極少會有蒐集個人資料的行為；但對於零售業、買賣流通業或是服務業來說，不但企業內一樣會有員工的個人資料，更可能會有為數眾多且龐大的客戶資料。大多數的物理治療師都在醫療領域工作，醫療產業之資訊平台上，其所持有之個人資料當然很龐大，所以我們直接是與個資法有衝擊影響的重點產業。 所謂的個人資料，依據個資法第一章第二條第一項：「個人資料：指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別個人之資料。」 從這部分就可以了解其中所包含的範圍相較於現行之電腦處理個人資料保護法，已經大幅擴大所涵蓋的個人資料種類，特別是將部分更為私密的隱私資料納入（其中如醫療、基因、性生活、健康檢查、及犯罪前科等又特別在第一章第六條中明訂原則上不得蒐集、處理與利用），對個人資料的當事人來說也能獲得更全面的保障。 在現行的「電腦處理個人資料保護法」中第一條：為規範電腦處理個人資料，以避免人格權受侵害，並促進個人資料之合理利用，特制定本法。修改過後的「個人資料保護法」第一條：為規範個人資料之蒐集、處理及利用，以避免人格權受侵害，並促進個人資料之合法利用，特制定本法。 從新舊法第一條開宗明義的定義來看，可以看出施行多年的現行法事實上有相當大的盲點，舊法無法保護到「非經電腦處理」之個人資料，且有受限於徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業等特定產業，新的個資法在這部分做了相當大的修正，將方向轉變為保護標的本體而非特定形式，產業限制同時也予以破除，僅有公務機關與非公務機關之分別，進而大幅提升保護個人資料安全的功能。 不論是公會或是各治療師所服務的單位，如有因個資法而須面臨民事責任的情形，最常見者當然就是資料外洩，無論外洩的原因是駭客入侵、系統出錯、個人疏忽或員工監守自盜，只要違反個資法的規定，就必須負擔損害賠償責任。雖然個資法規定，只要企業能證明其無故意或過失者，就可以免責，但是要符合無故意或過失的要件，恐怕相當困難。 這次修法加重企業的賠償金額，從以前最高總額2千萬元為上限，大幅度增加到2億元（多數當事人權利受侵害事件），實在不容小覷。而且這2億元還不是最上限，只要該原因事實所涉利益超過2億元者，以該所涉利益為限，例如能告證明損害金額是5億元，最高就要賠償5億元。而且基於個人資料遭到竊取的損害，其損害的實際金額很難證明，為降低被害人的舉證責任，被害人得請求法院依照侵害的情節，以每人每一事件新台幣5百元以上，2萬元以下計算。 為避免日後因為一時不慎造成資料外洩而須負擔如此重的責任，究竟怎樣的資訊安全架構才能符合個資法的要求？其時，個資法和大多數的法律一樣都會告訴我們“該要做甚麼？（What）”卻不會告訴我們“該要怎麼做（How）”，這也給與了我們在保護個資時實際執行上的彈性，畢竟保護好個資是修訂此法的最終目的，不管採用何方式，只要能保護好個人資料，那就是值得採行的方式，而並未強制要求要選用怎樣的技術或產品。 我認為比較重要的是，應先檢視我們企業中，有哪些資訊跟個資法是直接相關且需要保護的？應如何制定企業內部規範及流程書表，進行內部人員之資訊安全觀念宣導，並重視管理責任，改革不良的個資使用習慣。以物理治療師的工作而言，我們經常接觸到患者的個資，舉凡病歷紀錄、評估表、治療卡等，在使用過程中尤其要格外注意資料外洩的問題，千萬別將這些東西隨手亂放，若要銷毀也應該謹慎進行，勿當一般垃圾隨意丟棄甚至是整疊拿去做資源回收。若是回收使用的影印紙，其背面千萬不要留有個資。若在公共電腦使用，絕不要在瀏覽器中設定記憶帳號密碼，離開前一定要記得登出並關閉您已經開啟的檔案。透過傳真、電子郵件或實體寄送的重要資料，一定要以電話向對方確認收到無誤。即將離職人員，也不可以趁職務之便蒐集原單位之個資帶走，以免觸法。各公會會務人員，也要留意勿隨便將個資交給不相干的人。 既然個人資料相關的範圍那麼廣，那有沒有排外的部分呢？事實上是有的，第六章第五十一條中有兩點不適用個資法： 自然人為單純個人或家庭活動之目的，而蒐集、處理或利用個人資料。 於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料。 之前討論很熱烈的是在很火紅的facebook上，刊載自己與好友的照片是否會違反個資法？看到這邊應該就可以放心了，一般的個人與家庭活動並不會違反個資法的。 另外本次的修法有重點在於所謂的個人資料當事人對於其個人資料是有權進行要求的，比方若當事人對擁有個資的單位提出以下要求，不得有特殊限制或預先拋棄之。 查詢或請求閱覽。 請求製給複製本。 請求補充或更正。 請求停止搜集、處理或利用。 請求刪除。 以上得知，這部份修正比較起現行法，個人資料的當事人對自己的個人資料有了更多的掌握性與主導性。 瞭解個資法之後，身為物理治療師的我們，應該更謹慎保護我們工作上所接觸之個人資料，也應時時提醒自己，妥善保護個案隱私，以免對他人造成損害。常常在物理治療師的工作場合中，經常有病患喜歡向治療師詢問其他病患的病情或診斷，治療師如果一不留意，容易在聊天當中侵犯到他人的隱私，治療師也應該要留心，不可以隨意將個案的聯絡資料等個資洩漏給其他人。對於比較重要的個人資料要有專人妥善保管，若是電腦資料，則應該要加密儲存。只要每個人都多了解個資法，多一點細心，就不會因為疏忽而洩漏了個資造成損害。