跳至主要內容

[筆記]關於個人資料保護法的小記

跨海大橋上的落日
愈來愈少在這裡寫這種偏硬的文章,主要原因是在於自己不是讀法律的,寫這種東西很容易出錯,或意思的表達不正確,所以,我在這裡分享的是昨天上課的筆記。
昨天去集思會議中心參加B2C電子商務研討會,原本打算下午離開去參加品牌行銷的課,但早上的議程讓我覺得留下來會很值得,於是就繼續留在那椅子很難坐的蘇格拉底廳裡上課。
在詐騙愈來愈嚴重的情況下,大家才開始重視所謂的隱私問題,原本,我們有一個在民國84年8月公布的電腦處理個人資料保護法,但是,它只限於電腦處理的資料,並不包括人工手寫的紙本資料,所以「電腦處理個人資料保護法」只規範了電腦裡的資料。
在年初吧!我記得也參加過類似的課程,對於「電腦處理個人資料保護法」之後的修正草案,早在2005年改為「個人資料保護法」並已送立法院,但至昨天早上,都還在協商階段,主要在於賠償總額的上限是五千萬還是拾億?民代是否有免責條款?這兩個問題一直沒有取得共識,一直到下午我所聽到的訊息是個資法的草案已通過一讀了,有望在今年年底通過三讀。
對每個民眾而言,個資法將要通過會是一個好消息,就我所看到的內容而言,還有台上專業的法律人所分享,個資法對民眾來說是有很完善的保護,但對廠商來說,絕對是非常麻煩。
  • 在「電腦處理個人資料保護法」中所定義的個人資料包括了:自然人之姓名、出生年月日、身分證統一編號、特徵、 指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社會活動及其足以識別該個人之資料都被稱為個人資料;在在「個人資料保護法」中,個人的醫療資訊、性生活、健康檢查及犯罪前科等五種資料是特別保護的特種資料。
  • 在「電腦處理個人資料保護法」的時代裡,只限定了:醫院、學校、電信業、金融業、證券業、保險業、徵信業、大眾傳播業等八大行業,在「個人資料保護法」中,任何行業、團體及個人都納入其範疇,但如果是單純的個人或家庭活動目的就不在於此限。當廠商要蒐集個人資料時,要有明確且單獨的同意書,但像是家族出遊如果要買保險,需要蒐集家族成員的個人身分證字號、姓名、地址等個人資訊是不限制的。如果家裡有未成年的小朋友在學校裡,老師要求小朋友寫通訊錄提供個資,除了要同意書外,因為小朋友未成年,所以要家長同意書。
  • 個資法的規範已不限於電腦而已,還包括了紙本手寫的資料,
  • 當資料被竊取或外洩時,資料持有者要以適當方式通知當事人。
  • 不得任意蒐集個人資料,廠商一定要先向主管機關申請取得許可後才能蒐集資料。昨天聽到會由法務部公告相關的主管機關,所以,網路商店等會由經濟部擔任其主管機關;而其他相關的主管機關會再由法務部公告。
  • 在個資法通過後,只要是符合一定要件的財團法人或公益社團法人就可以代替當事人提起團體訴訟。
  • 民事責任:在同一原因事實行為,賠償總額提高(但目前未確認是五千萬還是拾億)。
  • 刑事責任:非意圖營利違反個資法行為者,科處兩年以下有期徒刑,屬於告訴乃論;意圖營利者的處罰則提高為五年以下有期徒刑,屬於非告訴乃論。
  • 行政責任;除了上述的處罪外,也要連帶處罰該公司(民間團體、行業)負責人之監督責任,處以壹百萬元以下的罰鍰。
  • 非金務機關首次行銷時應免費提供當事人表示拒絕的方式;當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。
重點是,只要我們覺得因個人資料被竊取或被外洩發生損失而索賠時,是不須負舉證責任,非公務機關要證明「無故意或過失責任」才能免責;公務機關則須負「無過失責任」。
還有很多的內容,要看草案才會清楚,但光是上面列的這些,就夠讓商家頭痛了,站在商家的立場來說,資安問題可以說是一個錢坑,就是不斷的砸錢買設備和軟體→測試→更新軟體的砸錢循環,儘管該買的該裝的都裝了,只要電腦連上網路你還是無法避免有哪個員工的電腦被植入木馬開了後門,甚至也很難避免員工把公司的重要資料帶出,就算沒有網路也沒有提供儲存設備,但也別低估人腦的能力
在研討會結束時,還有一點資訊,整理如下:
  • 在個資法通過後,向主管機關申請許可時還是會有空窗期,在這段期間,商家可以先寄送同意書讓現有的會員進行同意的動作,但同意書的內容一定要明確且單獨。像是一些銀行在辦卡時都會在契約書裡註明會將個人資料提供給事業相關單位或夥伴使用,這是絕對不行的哦!
  • 在蒐集個人資料時,只收集email,email address不是個人資料,但如果像是姓名(XXXXX@gmail.com),可以識別出我個人的話,這就是個人資料,當公務或非公務機關要收集這樣的資料時,就要先告知資料蒐集後的用途,我同意後才能使用,且只能使用在這個用途裡。同樣的,電話號碼因為是數字,無法辨識,所以也不算是個人資料。
令人氣餒的一個消息是,據說,那個處罰垃圾信的法案要通過還要好久好久,可能不會通過了,只能每週看某個很惹人厭的黃XX繼續寄他的垃圾信,可惡。

留言

此網誌的熱門文章

法制追不上AI:缺乏台灣AI基本法子法,公務員使用生成式AI的五大風險

昨晚看新聞,現任台北市長拋出一個政策宣示:未來公務員將配給自動化的AI工具,讓台北市政更「前進」。台北市資訊局也已快速推出 CiviClaw,目標是 2027 年讓每位公務員都能無門檻使用 AI。 這樣的政策方向讓我感到憂心。長期觀測各國個資保護規範的我清楚知道:台灣的個人資料保護主管機關至今仍是「籌備處」,尚未正式運作;《個人資料保護法》的修法呼聲雖久,AI相關條款卻付之闕如;《人工智慧基本法》已於今年1月施行,但高風險AI認定標準的子法至今仍是空白。 有網路、有 IoT 不等於智慧城市,有 AI 當然也不等於智慧城市,應該重視制度能否承接工具帶來的責任。 歐盟已明確禁止業者使用 AI 推測員工或學生的心理狀態;美國聯邦政府要求採購 LLM 時廠商必須提交模型卡與資料卡;韓國 AI 基本法的子法早已配套生效。這些都是台灣政府在推動配給公務員 AI 之前,必須正視的制度差距。 以下我與大家分享長期觀測的內容,由AI協助整理資料: 歐盟:從禁令到揭露義務的多層規制體系 歐盟的AI治理框架是由多部法律疊加起來的立體架構,最底層是2018年施行的 GDPR,處理的是個人資料如何被蒐集、儲存、使用的基礎規則,再來疊是2024年生效的《人工智慧法》(EU AI Act,下稱 AI 法),建立不同風險等級分類管理AI系統,從禁止使用到高強度監管、再到一般透明度義務,形成不同層次。最新的一層則是仍在立法程序中、但主要架構已確立的 Digital Omnibus ,試圖修補 AI 法與 GDPR 之間的規範衝突。 AI 法第50條是最直接影響生成式AI服務的條款,自2026年8月2日起全面適用。根據這條規定,凡是讓使用者與AI系統互動的業者,必須主動告知對方「正在與 AI 互動」,而不能讓人誤以為面對的是真人。AI生成的文字、影像、音訊等內容,還必須以機器可讀的格式加上標記,使平台與監管機關得以溯源辨識。與此同時,AI法第14條要求高風險AI系統必須設計成「可由自然人有效監控」的形式,確保機器的決策不會在缺乏人工審核的情況下直接作用於當事人。 AI法所稱的「高風險 AI 」,涵蓋的場景比一般想像的廣。依該法附件三列舉,生物辨識系統、關鍵基礎設施管理、教育與職業篩選、就業與人員管理、信貸與社會福利申請審核、執法、移民邊境管制,以及司法審判輔助,都在高風險範疇之內。這些場景的業者必須進...

停不下來的更新

一直更新Blog的版型,我必須承認是一件很無聊的事,不過這次除了版型的更動外,連分類和文章內文也做了變動。 先說分類吧!在Blogger叫做Label,不過,Blogger在分類上有一些bugs,只能使用英文,以前這裡的分類大多都是中文分類,結果在link上就是一堆亂七八糟的亂碼,所以我把它改成英文,同時細分一些項目,把出版的文章和一些教學的文章分開來,雖然已經很久沒寫新的,不過既然放上來就做個分類。然而就在新舊label移轉之後,發現中文的label還會存在,而且還會出現莫名奇妙的幽靈數字,Blogger知道這是個bug,不過似乎一直沒有修復的跡象。所以在分類上就出現了如右圖一般的情況,在英文標籤裡會有文章,但是在中文標籤裡是沒有文章出現的,但奇怪的是,有些中文標籤已經不見了,然而在Beauty-Beta這個部落格裡,我也做了分類上的變動,由於以前用英文開頭的Label,所以在label的變動上倒是不用擔心會有這樣的情況。 再來是文章的內容,把以前的文章重新分類,標題前面的一些全形符號或是分類刪掉,除了一些比較特殊的,我會留著,例如壹陸壹,因為在label裡為了統一,我留著原本的E61,但人家的店名是壹陸壹,所以留下文章標題前面的中文分類,另外像是Entertainment項目裡,可能有音樂,可能有電影,就會在前面留下中文分類。 前簡單的CSS和HTML改成現在的XML,這無疑是讓我們再多學些東西,能有時間鑽研當然是好事,可是轉換後,我一直沒有時間去改,當然多半也是因為懶,到現在也是拿別人做好的版型去改配色而已,所以像裡面的設定、安裝的widget和analytics的javascript都要一個一個重新裝,上個星期幾乎每天都弄到天亮才睡,只為了整理這個blog。也因為之前在blog裡放了technorati的分類,所以還要修改以前的文章,把它們加入technorati,還有裡面的語法要更改,所以這個星期甚至下個星期都會一直收到這裡的更新訊息,對於不斷收到訊息干擾的朋友們,在這裡說聲抱歉。 在版面上因為blogger系統在feed接受上的更新,所以還有四個東西沒加進去,分別是最近的文章(Recent Post)、Comments(目前是用別人寫的widget)還有GVO的feed訂閱顯示、Beauty-Beta的訂閱顯示也都還沒放上去。 在Feed訂閱上,以前bl...

哪個應用、服務、平台可以代表台灣?

大概 2003、 2004 年,我還是個大學生,那個時候「電子商務」是一門選修課,那個時候台灣還在所謂的電子商務泡沫化中復甦,很多熱極一時的「電子商務」就像今天大家看到的 FTX 事件一樣,一點都不真實,很多執行長、總裁瞬間就失業了,也有很多投資人的錢拿不回來。 看過歷史上的鴻源事件、經歷過電子商務的虛無飄渺時期,再看到 FTX,其實也不會太驚訝。通常泡沫消散後,未來才會到來。 回到大學課堂,穿著輕便但言語犀利的老師談到當時的 Amazon 網路書店,他問大家對 Amazon網路書店的看法,那時的Amazon一直被看壞,所有的媒體都不看好它。甚至會有各種市場傳言,覺得 Amazon會被賣給哪家公司或哪家公司、網路書店會主動併購它。 最後老師說,不會,Amazon書店不會那麼輕易就垮掉,它有其代表的意義。 這個答案給了我很深的印象,我常會問自己,台灣有哪個服務會具有這樣的意義? 偶爾我會問身邊的朋友、同事,對於台灣的哪個服務,會覺得有不能輕易垮掉、要支持它的?我列一下自己所接觸過的,這個世代的應用: 通訊服務:ICQ、MSN Messenger、LINE、Cubie Messenger(台灣,已無服務)、Google Talk、WhatsApp、Telegram、Skype、Signal,還有一些台灣可能較少聽到。 社群平台:Twitter、Facebook、LinkedIn、無名小站(已停止服務,它雖然是Blog,但比較像社群)、Plurk、PTT、Dcard、Instagram、AKASHA、Pinterest Blog平台或架站:Blogger、Wordpress、Drupal 共享書籤 : HemiDemi(已沒有提供書籤服務)、美味書籤delicious 叫車服務:UBER、55688 、呼叫小黄、LINE Taxi、yoxi  當然還有很多是我沒接觸過的,請原諒我的見識不夠廣泛,忽略了哪一個平台、應用或服務。一時想到的大概就這些。有一些服務已經消失或在被併購後就消失了,我也忘了名稱,至於 TikTok 和小紅書,是我不想碰觸的應用服務。 在韓國有 Kakao,日本有 LINE、PayPay,東南亞國家有Grab,中國有自己的網路應用,那台灣呢?之前 KaKao 中斷服務,造成民生應用的線上服務也幾乎中斷,過度集中依賴在一個服務上的確是一個缺點。在和...