個人資料保護法修正

個人資料保護法修正

個人資料保護法(下稱「個資法」)修正案,於2015年12月15日經立法院通過,同年12月30日經總統公布,施行日期則由行政院另行定之。本次修正為個資法自2012年施行以來首次修正,除了原先暫緩施行之第6條「特種個人資料」及第54條「補行告知義務」等規定,將於修正後正式實施外,本次修正亦部分放寬原對於當事人同意需以書面為之的要式規定,茲說明如下:

(一) 將病歷納入特種個人資料,並增列當事人書面同意之例外事由:
個資法原先將「病歷」列為一般個人資料,而將「醫療」、「健康檢查」歸類為特種個人資料,惟因三者區分不易而滋生困擾。本次修正將「病歷」納入特種個人資料,以弭爭議。另,本次修正增列二項可例外蒐集、處理或利用特種個人資料之事由,即「為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內」,以及「經當事人書面同意」,使得相關規定具有實務可行性。

(二) 適度放寬蒐集、處理或利用個人資料之要件:
除敏感性個人資料外,本次修正將原先「經當事人書面同意」之要件,改為「經當事人同意」,亦即同意不再需以書面為之。新法規定於蒐集者已明確告知應告知事項,當事人未表示拒絕,並已提供其個人資料者,可推定當事人已表示同意。新法亦規定蒐集者就本法所稱經當事人同意之事實,應負舉證責任。在新法施行後,預計同意之方式將更多樣化。

此外,為平衡公務機關與非公務機關蒐集、處理或利用個人資料之合法要件,本次修正中,非公務機關蒐集、處理個人資料及將個人資料作特定目的外之利用,亦分別增列了「對當事人權益無侵害」、「有利於當事人權益」等事由。

(三) 補行告知義務
個資法第54條原先要求於個資法前次修正生效前(亦即2012年10月1日)所間接蒐集之個人資料,如有繼續處理或利用之需要者,必須在該次修正生效後一年內補行告知義務,惟因實務上多認為此期間過短而暫緩實施。本次修正則刪除了一年期間的限制,並規定如於本次修正施行後擬繼續處理或利用該等資料,則僅須於首次利用時再為告知即可。

(四) 刑事責任規定
為避免處罰過嚴,本次修正將非意圖營利違反個資法規定之刑事責任一併刪除。