按Enter到主內容區
:::
現在位置 首頁 > 專區服務 > 廉潔政風 > 公務機密維護宣導
  • 友善列印
  • 回上一頁

淺析公務機關保護個人資料應行義務

  • 最後異動時間: 2018-01-31
  • 發布單位: 臺中市政府水利局‧政風室

淺析公務機關保護個人資料應行義務

◎李志強

壹、前言

  個人資料保護法(簡稱個資法)及其施行細則業於101年10月1日正式上路,國內卻發生起訴書、研究報告、預算書出現大量○○○的情形,甚至警方為宣導防詐騙戶政機關卻不給資料、區公所不願提供慈善團體低收入名冊等現象。主要原因是公務機關為避免觸法,故一律拒絕提供個人資料,但事實上個資法並非只重保護而不能合理利用。然亦有不慎洩漏個人資料者,如媒體報導屏東愛鄉護土自救會到地檢署控告縣長等官員違法洩漏個人資料。為避免發生上述事件,作者認為正本清源的辦法,就是釐清個資保護與合理利用之範疇與標準;由於公務機關擁有大量個人資料,因此首先必須了解且善盡保護個人資料之義務。有鑑於此,本文特從個資法的角度歸納分析,期有助公務機關依法遵行保護個人資料之規定,同時提供社會大眾參考,以維護個人權益。

貳、公務機關保護個人資料應行義務

  個資法的適用對象分為兩類,一種是公務機關,指依法行使公權力之中央或地方機關或行政法人;另一種是非公務機關,指前述以外之自然人、法人或其他團體。為避免個人資料遭到不當的蒐集、處理或利用,同時促進合理使用,公務機關依法應善盡下列義務:

一、尊重義務

  個資法第5條揭示,不論是蒐集、處理或利用個人資料,均應尊重當事人之權益,依誠實及信用方法為之,且不得逾越法務部會同相關主管機關所函頒共計182項特定目的之範圍,並應與蒐集之目的具有正當合理的關聯。具體而言,為尊重當事人之意願,公務機關不論是直接或間接蒐集個人資料,經當事人書面同意均屬合法要件之一。所謂書面同意,指當事人經蒐集之公務機關告知個資法所定應告知事項後,所為允許之書面意思表示,其書面意思表示方式,依電子簽章法之規定,得以電子文件為之。另外,為避免當事人被列入定型化契約之約定條款中被概括同意,而有違當事人意願,因此個資法特別規定,公務機關若有特定目的外之其他利用情形,應事先明確告知當事人特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,再由當事人進行單獨書面意思表示。而如果與其他意思表示於同一書面為之者,公務機關應於適當位置使當事人得以知悉其內容並確認同意,藉此確保當事人權益。

二、告知義務

  為使當事人知悉其個人資料被何人蒐集及其資料類別、蒐集目的等,當公務機關直接向當事人蒐集個人資料時,應明確告知當事人該蒐集機關之名稱、蒐集目的、個人資料類別、利用期間、地區、對象及方式、當事人得行使之權利及方式、當事人得自由選擇提供個人資料時,若不提供將對其權益之影響等事項。前述所稱當事人得行使之權利,指當事人有查詢或請求閱覽;請求製給複製本;請求補充或更正;請求停止蒐集、處理或利用;請求刪除等五種權利。惟若有依法律規定得免告知、蒐集個資係公務機關執行法定職務、告知將妨害公務機關執行法定職務、告知將妨害第三人之重大利益以及當事人明知應告知之內容者,則屬得免告知之情形。

  如果公務機關係透過第三者(亦即間接取得)蒐集個人資料,亦應於處理或利用前告知當事人資料來源及其相關事項,以避免其個人資料遭不法濫用而損害其權益;但因考量告知恐有不宜或者無此必要,一旦有本文前段所述法定得免告知情形、當事人自行公開或其他已合法公開之個人資料、不能向當事人或其法定代理人為告知、基於公共利益為統計或學術研究目的且無從識別特定當事人之資料、大眾傳播業者基於新聞報導之公益目的而蒐集個人資料等情形,均可免為告知。

  在此提醒,個資法第54條原定有過渡條款,即本法修正施行前非由當事人提供之個人資料,依法應於處理或利用前向當事人為告知者,應自本法修正施行之日起一年內完成告知,逾期未告知而處理或利用者,以違反本法第9條論處;經考量要在一年內完成告知,實際上會有困難,故本條文暫緩實施。

三、查覆義務

  為維護當事人知的權利,公務機關應依當事人之請求,就其蒐集之個人資料,答覆查詢、提供閱覽或製給複製本,但若有妨害國家安全、外交及軍事機密、整體經濟利益、其他國家重大利益、公務機關執行法定職務、該蒐集機關或第三人之重大利益等情形者,則不在此限。

四、更正義務

  公務機關除應維護個人資料之正確外,並應主動或依當事人之請求更正或補充之;而當其正確性有爭議者,即應主動或依當事人之請求停止處理或利用。此外,個人資料蒐集之特定目的消失或期限屆滿時,除因執行職務或業務所必須或經當事人書面同意者外,亦應主動或依當事人之請求,刪除、停止處理或利用該個人資料。

五、通知義務

  當公務機關違反個資法規定,致使個人資料被竊取、洩漏、竄改或其他侵害者,公務機關應於查明後以適當方式通知當事人。此所稱適當方式通知,係指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件,或其他足以使當事人知悉或可得知悉之方式為之,但需費過鉅者,得斟酌技術之可行性及當事人隱私之保護,以網際網路、新聞媒體或其他適當公開方式為之,而通知當事人之內容應包括個人資料被侵害之事實及已採取之因應措施。

六、公開義務

  為落實政府資訊公開並兼顧個人資料保護等原則,公務機關應將個人資料檔案名稱、保有機關名稱及聯絡方式、個人資料檔案保有之依據及特定目的、個人資料之類別等事項公開於電腦網站,或者以刊登政府公報、新聞紙、雜誌、電子報等可供公眾查閱之方式公開,後續若有變更者亦同。

七、維護義務

  公務機關若保有個人資料檔案,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏,公務機關亦應訂定個人資料安全維護規定。在此提醒注意,所謂安全維護事項,指公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施。前開措施與所欲達成個人資料之保護目的,兩者之間應具有適當比例為原則,其相關措施得包括下列事項:(一)配置管理之人員及相當資源,如設置專人及專責單位負責。(二)界定個人資料之範圍。(三)個人資料之風險評估及管理機制。(四)事故之預防、通報及應變機制。(五)個人資料蒐集、處理及利用之內部管理程序;本文建議應建立相關標準作業流程。(六)資料安全管理及人員管理。(七)認知宣導及教育訓練,例如要求公務機關所有員工均應參加講習。(八)設備安全管理。(九)資料安全稽核機制。(十)使用紀錄、軌跡資料及證據保存。(十一)安全維護之整體持續改善。

八、監督義務

  公務機關若委託他人蒐集、處理或利用個人資料時,例如委託民意調查機構進行問卷調查,應對受託者為適當監督;監督至少應包含:(一)預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間。(二)受託者採取之安全措施。(三)有複委託者,其約定之受託者。(四)受託者或其受僱人違反本法、其他個人資料保護法律或其法規命令時,應向委託機關通知之事項及採行之補救措施。(五)委託機關如對受託者有保留指示者,其保留指示之事項。(六)委託關係終止或解除時,個人資料載體之返還,及受託者履行委託契約以儲存方式而持有之個人資料之刪除。此外,委託機關應定期確認受託者執行之狀況,並將確認結果記錄之。

參、結語

  個資法上路至今,儘管引發社會各界諸多評論,甚至部分條文又必須再度修法,但不容質疑者,不論是公務機關、法人團體、公司行號或者是個人,都有遵守之義務。透過本文說明,相信公務機關可以更清楚了解如何保護個人資料,進而若能具體落實,不僅可免除違法之疑慮,更可達到保護個人資料及維護當事人權益之多重效果。

(作者為國家通訊傳播委員會政風室科長)

  • 市府分類: 宣導活動,一般行政
  • 發布日期: 2016-10-04
  • 點閱次數: 51