企業如何因應《個人資料保護法》之實施？ - 永然聯合法律事務所

例如《個人資料保護法》第15條及第19條規定，係針對個人資料之「蒐集或處理」而為規範；第16條及第20條則係針對個人資料之「利用」所為之規定。

李永然、田欣永-2013/10/7 　　近年來，駭客入侵、間諜軟體、木馬程式與釣魚網站等網路攻擊事件日漸猖獗，民間企業與政府機關更接連發生多起嚴重的個人資料外洩事故，除嚴重損及機關名譽外，更造成各種詐騙案件層出不窮，讓民眾生活時時暴露於被詐騙之風險中。

　　有鑑於此，《個人資料保護法》修正民國84年公布之《電腦處理個人資料保護法》，於民國99年5月26日公布全文，民國101年10月1日正式施行。

　　一、《個人資料保護法》之立法目的　　修正後的《個人資料保護法》基於保障人格權的目標，對於個人資料之蒐集、處理及利用都有更詳盡的規範。

其立法目的主要有以下三項（註1）：𡛼　(一)規範個人資料之蒐集、處理及利用　　個人資料之蒐集、處理及利用稱為「個人資料生命週期」，但是《個人資料保護法》之規定，則是將「蒐集」、「處理」合併，「利用」單獨規範。

例如《個人資料保護法》第15條及第19條規定，係針對個人資料之「蒐集或處理」而為規範；第16條及第20條則係針對個人資料之「利用」所為之規定。

　　(二)避免人格權受侵害　　我國《民法》對侵權行為的規範，以《民法》第184條為重心，所保護之客體為「權利」，可區分為人格權、物權、身分權等。

而所謂「人格權」，依侵權行為法的發展進程，對人格權的保護首重生命、身體、健康、自由等權利，接著擴及名譽及隱私。

《個人資料保護法》之立法目的之一，即基於隱私權的保障，避免人格權遭受侵害。

　　(三)促進個人資料之合理利用　　《個人資料保護法》第5條規定：「個人資料之蒐集、處理或利用，應尊重當事人之權益，依誠實及信用方法為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。

」是以，促進個人資料之合理利用，當為本法規範之重要目的。

　　二、新、舊法比較及重要新增特色　　承上所述，《個人資料保護法》是由舊法《電腦處理個人資料保護法》修法而來，因舊法的保護範圍有限，無法符合現今社會型態，跟不上國際對於個人資料保護的潮流，不論就保障人民權利，或是在國際上與其他國家的合作往來，都顯得不合時宜，自有修正的必要。

　　三、施行現況與爭議條文　　雖然《個人資料保護法》已從民國101年10月1日正式施行，然而其中的第6條及第54條規定被質疑有許多難以遵行之處，且牽涉範圍極廣，影響產業運作甚深，暫不施行，並由行政院提出修正草案，送交立法院審議（註3）。

以下詳述之：　　(一)第6條特種個人資料之蒐集、處理或利用　　《個人資料保護法》第6條規定：「有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得蒐集、處理或利用。

但有下列情形之一者，不在此限：一、法律明文規定。

二、公務機關執行法定職務或非公務機關履行法定義務所必要，且有適當安全維護措施。

三、當事人自行公開或其他已合法公開之個人資料。

四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且經一定程序所為蒐集、處理或利用之個人資料。

前項第四款個人資料蒐集、處理或利用之範圍、程序及其他應遵行事項之辦法，由中央目的事業主管機關會同法務部定之。

」「醫療、基因、性生活、健康檢查及犯罪前科」等資料屬「特種個人資料」，有學者稱之為「敏感性個人資料」。

　　依據本條規定之限制，企業即使取得當事人同意，仍不得蒐集、處理或利用敏感性個人資料。

根據法務部調查實務意見，多數產業反映實務運作上難以執行，例如民眾於某醫院之健康檢查結果無法拿到其他醫院使用，以及計程車行無法得知應徵者是否有犯罪紀錄等。

法務部建議，若基於「公共利益」或「當事人書面同意」，可蒐集、處理及利用該等資料；目前正朝此一方向修正。

　　(三)第54條間接蒐集一年內補行告知　　《個人資料保護法》第54條規定：「本法修正施行前非由當事人提供之個人資料，依第九條規定應於處理或利用前向當事人為告知者，應自本法修正施行之日起一年內完成告知，逾期未告知而處理或利用者，以違反第九條規定論處。

」是公認影響最大的條文。

依此規定，在本法修正施行前非由當事人提供的個人資料，應於施行之日起一年內完成告知。

此條文引起企業界強烈反彈，認為期限太短且窒礙難行，以銀行客戶申請信用卡所填寫之聯絡人為例，一年內若要完成六千萬人次之告知事宜，幾乎不可能；法務部建議刪除此條文的告知期限要求，回歸《個人資料保護法》第9條之規定，於處理或利用前告知當事人，目前正朝此一方向修正。

　　四、《個人資料保護法》規範標的　　深入理解《個人資料保護法》規範內容的第一步，首須了解本法的規範標的，亦即《個人資料保護法》適用的客體、主體及行為等，茲敘述如下（註4）：　　(一)適用之客體──個人資料　　《個人資料保護法施行細則》第2條規定：「本法所稱個人，指現生存之自然人。

」；而《個人資料保護法》所適用的「資料」，依該法第2條之定義，係指「自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。

」，也就是說，只要是足以讓別人直接或間接識別出是個人的資料，即為《個人資料保護法》所保護的客體。

而且不論是「紙本」上的，或是「存在電腦」中的數位資料，皆適用之。

　　(二)適用之主體　　《個人資料保護法》取消了行業別的限制，所有的法人、團體、個人、產業，只要對個人資料之蒐集、處理與利用，均須適用本法。

《個人資料保護法》的用語為「公務機關」與「非公務機關」，有學者認為「非公務機關」之用語，不足以使民眾知其係指所有公務機關以外之「自然人、法人或其他團體」，因此建議將本法第2條第8款「非公務機關」改稱為「私人機構」較妥。

　　(三)適用之行為　　《個人資料保護法》第1條即開宗明義說明本法係為規範「個人資料之蒐集、處理及利用之行為」。

而依本法第2條之規定，所謂「蒐集」，指的是以任何方式取得個人資料；「處理」，包括記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送個人資料之行為；「利用」則是指將蒐集之個人資料為處理以外之使用，例如將所蒐集的個人資料透露給第三人知悉，即為「利用」的概念所涵蓋。

另外，依本法第51條第2項規定：「公務機關及非公務機關，在中華民國領域外對中華民國人民個人資料蒐集、處理或利用者，亦適用本法。

」，故不論在國內、外，只要對中華民國的國民蒐集、處理或利用其個人資料，均有《個人資料保護法》的適用。

　　(四)不適用之事務　　《個人資料保護法》考量到有些事務係屬為個人私生活目的所為，與其職業或業務職掌無關，如單純個人（例如：社交活動等）或家庭活動（例如：建立親友通訊錄等）之蒐集、處理或利用個人資料的行為，為避免造成民眾不便，依本法第51條第1項第1款之規定：「有下列情形之一者，不適用本法規定：一、自然人為單純個人或家庭活動之目的，而蒐集、處理或利用個人資料。

」不納入《個人資料保護法》之適用範圍。

　　此外，《個人資料保護法》第51條第1項第2款規定：「於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料」亦不適用本法。

這是指在網路上放自己與他人的合照或影音資料的情形而言，不適用《個人資料保護法》，乃因資訊科技及網際網路發達，個人資料之蒐集、處理或利用甚為普遍，尤其在網際網路上張貼自己的影音個人資料，屬個人表現自由，假使個人在網路上放合照或其他合理範圍內之影音資料，皆須經其他當事人之書面同意，則相當不便，且合照當事人彼此間均有同意之表示，其本身共同使用之合法目的亦相當清楚，因此規定對於在公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料，不適用《個人資料保護法》，而回歸適用《民法》的規範。

　　五、企業蒐集、處理及利用個人資料應遵守的事項（註5）　　對於新修正的《個人資料保護法》，企業普遍相當陌生，不知如何因應。

筆者謹根據《個人資料保護法》之規範內容，將企業蒐集、處理及利用個人資料應遵守的事項整理如下，提供企業作為實務運作時的參考：　　(一)符合特定目的　　1.特定目的：所謂「特定目的」，係依據法務部和各事業目的主管機關訂定的「個人資料保護法之特定目的及個人資料之類別」而定，企業必須從中選擇一項或多項作為資料蒐集目的，蒐集、處理及利用個人資料時，不能踰越所選定的特定目的範圍，方為合法。

　　2.蒐集或處理個人資料應有特定目的：《個人資料保護法》第19條規定：「非公務機關對個人資料之蒐集或處理，除第六條第一項所規定資料外，應有特定目的，並符合下列情形之一者：一、法律明文規定。

二、與當事人有契約或類似契約之關係。

三、當事人自行公開或其他已合法公開之個人資料。

四、學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。

五、經當事人書面同意。

六、與公共利益有關。

七、個人資料取自於一般可得之來源。

但當事人對該資料之禁止處理或利用，顯有更值得保護之重大利益者，不在此限。

蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時，應主動或依當事人之請求，刪除、停止處理或利用該個人資料。

」故蒐集或處理個人資料，必須有特定目的，並須符合該條七款情形之一者，方可為之。

　　3.利用應於特定目的必要範圍內：《個人資料保護法》第20條規定：「非公務機關對個人資料之利用，除第六條第一項所規定資料外，應於蒐集之特定目的必要範圍內為之。

但有下列情形之一者，得為特定目的外之利用：一、法律明文規定。

二、為增進公共利益。

三、為免除當事人之生命、身體、自由或財產上之危險。

四、為防止他人權益之重大危害。

五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。

六、經當事人書面同意。

非公務機關依前項規定利用個人資料行銷者，當事人表示拒絕接受行銷時，應即停止利用其個人資料行銷。

非公務機關於首次行銷時，應提供當事人表示拒絕接受行銷之方式，並支付所需費用。

」。

　　是以，企業僅能於蒐集個人資料的特定目的必要範圍內利用之，只有在規定的例外情形下，才可以為特定目的外之利用。

一般民間企業所得主張之法定事由，主要仍係指第20條第1項第6款「經當事人書面同意」。

而所謂「書面同意」，依《個人資料保護法》第7條第2項規定，指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後，「單獨」所為之書面意思表示，始足當之。

　　(二)須負擔告知義務（註6）　　《個人資料保護法》要求於蒐集個人資料時，應將相關事項告知當事人，分述如下：　　1.直接蒐集：《個人資料保護法》第8條第1項規定：「公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時，應明確告知當事人下列事項：一、公務機關或非公務機關名稱。

二、蒐集之目的。

三、個人資料之類別。

四、個人資料利用之期間、地區、對象及方式。

五、當事人依第三條規定得行使之權利及方式。

六、當事人得自由選擇提供個人資料時，不提供將對其權益之影響。

」。

　　依上開規定，告知之事項包括蒐集者之身分、蒐集之目的、個人資料之類別、利用之期間、地區、對象及方式、當事人之權益事項等。

因資料係直接向當事人蒐集，故應於蒐集之當時進行告知。

　　2.間接蒐集：《個人資料保護法》第9條第1項規定：「公務機關或非公務機關依第十五條或第十九條規定蒐集非由當事人提供之個人資料，應於處理或利用前，向當事人告知個人資料來源及前條第一項第一款至第五款所列事項。

」。

　　依上開規定，告知之事項除「當事人個人資料來源」外，另包括蒐集者之身分、蒐集之目的、個人資料之類別、利用之期間、地區、對象及方式等。

因資料來自於他人，故至遲應於處理或利用前或首次利用時併同對當事人進行告知。

　　(三)須維護資料的正確性　　《個人資料保護法》第11條第1項規定：「公務機關或非公務機關應維護個人資料之正確，並應主動或依當事人之請求更正或補充之。

」故企業尚有維護個人資料正確性之義務。

違反《個人資料保護法》第11條規定者，主管機關將依同法第48條第2款之規定命限期改正，未改正，則將遭處罰鍰（詳後述）。

　　(四)須保護資料的安全　　《個人資料保護法》第27條第1項規定：「非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。

」要求企業保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏，課予企業保護資料安全的善良管理人義務。

違反同法第27條規定者，主管機關將依同法第48條第4款之規定命限期改正，未改正，則將遭處罰鍰（詳後述）。

　　所謂「適當之安全維護措施」，依《個人資料保護法施行細則》第12條之規定，包括以下事項：1.成立管理組織，配置相當資源。

2.界定個人資料之範圍。

3.個人資料之風險評估及管理機制。

4.事故之預防、通報及應變機制。

5.個人資料蒐集、處理及利用之內部管理程序。

6.資料安全管理及人員管理。

7.認知宣導及教育訓練。

8.設備安全管理。

9.資料安全稽核機制。

10.必要之使用紀錄、軌跡資料及證據之保存。

11.個人資料安全維護之整體持續改善。

　　《個人資料保護法施行細則》第12條明定之安全維護措施，必須是同時結合技術上及組織上的必要措施，以「成立管理組織，配置相當資源」為例，所謂「管理組織」，亦即要求企業必須成立個人資料管理團隊，該法並沒有強制要求非專責人員不可，換言之，由其他部門人員兼任亦可。

因此所謂「適當比例」，並不論團隊成員人數，抑或投入安全必要措施的預算，而應視企業規模大小而定。

條文中並沒有就「適當比例」規範確切的數字，「適當」與否，仍有賴企業自我檢視、衡量達到《個人資料保護法》之要求所需投注的資源。

　　(五)應將違法情事通知當事人　　《個人資料保護法》第12條規定：「公務機關或非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人。

」本條立法意旨在於使當事人知其權利被侵害之情事，得以提起救濟或請求損害賠償。

違反《個人資料保護法》第12條規定者，得依同法第48條第2款之規定處以罰鍰（詳後述）。

　　為兼顧當事人權益之保護以及企業的通知效率，《個人資料保護法施行細則》第22條規定：「本法第十二條所稱適當方式通知，指即時以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。

但需費過鉅者，得斟酌技術之可行性及當事人隱私之保護，以網際網路、新聞媒體或其他適當公開方式為之。

依本法第十二條規定通知當事人，其內容應包括個人資料被侵害之事實及已採取之因應措施。

」是以，企業於查明個人資料侵害事件原委後，必須即時通知當事人，而所謂「適當的通知方式」，包括以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之，以便使個人資料之當事人知悉其個人資料遭受非法侵害之情形。

但是如果所需通知的個人資料之當事人人數過多，或個別通知所需之人力、經費、時間過鉅者，得斟酌技術之可行性及當事人隱私之保護，例如藉由代碼、匿名、隱藏部分資料或其他方式，以無從辨識該特定個人之方式，利用網際網路、新聞媒體或其他適當之公開方式為之。

　　此外，為使當事人知悉其個人資料遭受非法侵害之情形，並明確規範企業通知當事人義務之內容，應包括個人資料被侵害之事實及企業已採取的因應措施。

　　(六)停止行銷的義務　　《個人資料保護法》第20條第2項、第3項規定：「非公務機關依前項規定利用個人資料行銷者，當事人表示拒絕接受行銷時，應即停止利用其個人資料行銷。

非公務機關於首次行銷時，應提供當事人表示拒絕接受行銷之方式，並支付所需費用。

」本條規定是指企業利用個人資料從事商品行銷，而當事人表示拒絕接受行銷時，應即停止，且企業於第一次進行行銷時，應支付當事人拒絕行銷之費用，例如，提供免付費電話、免費回郵等，便利當事人表達拒絕行銷的意思。

違反《個人資料保護法》第20條第2項、第3項規定者，主管機關將依同法第48條第3款之規定命限期改正，未改正，則將遭處罰鍰（詳後述）。

　　六、法律責任　　《個人資料保護法》對於企業蒐集、處理及利用個人資料既然訂定了許多應遵守的事項，並針對企業違反上開規範的情形訂有相關法律責任，企業如未能遵守，必須依其違反的情節輕重負擔民事賠償、刑事及行政責任（註7），分述如下：　　(一)民事賠償責任　　《個人資料保護法》第29條第1項規定：「非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。

但能證明其無故意或過失者，不在此限。

」而依該規定請求賠償者，適用同法第28條第2項至第6項規定。

因此，違反《個人資料保護法》的企業應負擔之損害賠償金額，若被害人不易或不能證明實際金額時，每人每件可賠償新台幣五百元至二萬元，合計最高可請求新台幣二億元，且涉及利益超過新台幣二億元時，則按實際利益計算，以擴大保護當事人。

　　(二)刑事責任　　1.違法蒐集、處理或利用個人資料：《個人資料保護法》第41條規定：「違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定，或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分，足生損害於他人者，處二年以下有期徒刑、拘役或科或併科新台幣二十萬元以下罰金。

意圖營利犯前項之罪者，處五年以下有期徒刑，得併科新台幣一百萬元以下罰金。

」將「不具營利之意圖者」與「具營利之意圖者」之刑度加以區分，修法理由認為，「具營利之意圖者」係惡質侵害個人資料行為，故將科處之刑責提高，以加強打擊盜賣個人資料之犯罪行為。

又對於意圖營利而侵害個人資料者，因惡性較為重大，且侵害個人隱私權益甚鉅，《個人資料保護法》第45條規定：「本章之罪，須告訴乃論。

但犯第四十一條第二項之罪者，或對公務機關犯第四十二條之罪者，不在此限。

」即涉犯第41條第2項或第42條之罪者，規定為「非告訴乃論」。

　　2.妨害個人資料正確性之行為：《個人資料保護法》第42條規定：「意圖為自己或第三人不法之利益或損害他人之利益，而對於個人資料檔案為非法變更、刪除或以其他非法方法，致妨害個人資料檔案之正確而足生損害於他人者，處五年以下有期徒刑、拘役或科或併科新台幣一百萬元以下罰金。

」。

　　本條處罰的是妨害個人資料檔案正確性之行為，為與《刑法》偽造文書罪及妨害電腦使用罪平衡起見，將刑度修正提高為「五年以下有期徒刑、拘役或科或併科新台幣一百萬元以下罰金」。

　　(三)行政責任　　違反《個人資料保護法》除了有「民事賠償責任」與「刑事責任」外，該法並定有行政罰則。

企業若有違反該法之規定，依不同情形，目的事業主管機關得處以行政罰，分述如下：　　1.處行政罰鍰：《個人資料保護法》第47條規定：「非公務機關有下列情事之一者，由中央目的事業主管機關或直轄市、縣（市）政府處新台幣五萬元以上五十萬元以下罰鍰，並令限期改正，屆期未改正者，按次處罰之：一、違反第六條第一項規定。

二、違反第十九條規定。

三、違反第二十條第一項規定。

四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。

」據此規定，「違法蒐集、處理或利用個人資料者」（同法第6條第1項、第19條及第20條第1項）及「違反中央目的事業主管機關限制國際傳輸之命令或處分者」（同法第21條），主管機關得以罰鍰，並令限期改正，屆期未改正者，得按次處罰。

　　2.限期改正，屆期未改正者，處行政罰鍰：依《個人資料保護法》第48條之規定，企業若有下列情事，中央目的事業主管機關或直轄市、縣（市）政府得限期改正，屆期未改正者，按次處新台幣二萬元以上二十萬元以下罰鍰：　　(1)違反蒐集時的告知義務（同法第8條、第9條）。

　　(2)未依當事人請求提供閱覽、答覆（同法第10條、第13條）。

糍未依當事人請求更正或補充個人資料（同法第11條）。

　　(3)未通知當事人違法情事（同法第12條）。

　　(4)未依當事人要求停止利用其個人資料行銷（同法第20條第2項、第3項）。

　　(5)未採行保護個人資料之適當安全措施（同法第27條第1項、第2項）。

　　3.非公務機關之代表人、管理人或其他有代表權人之監督責任：《個人資料保護法》第50條規定：「非公務機關之代表人、管理人或其他有代表權人，因該非公務機關依前三條規定受罰鍰處罰時，除能證明已盡防止義務者外，應並受同一額度罰鍰之處罰。

」由於企業之代表人、管理人或其他有代表權人本有指揮、監督之責，因此如企業有違反本法的行為時，企業之代表人、管理人或其他有代表權人即視為疏於職責，未盡其防止之義務。

除能證明其已盡防止之義務，應並受同一額度罰鍰之處罰。

　　七、企業因應之道　　　　在了解《個人資料保護法》的規範內容及違反規定之法律責任後，最重要也最常被問及的議題即是：「企業究竟應該如何因應？」。

本文謹提供若干意見如下，盼能對企業有所助益：　　(一)維護資訊安全、留存紀錄備查　　《個人資料保護法》第29條規定：「非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。

但能證明其無故意或過失者，不在此限。

」由此可知，非公務機關欲免除損害賠償責任，必須舉證證明自己沒有故意或過失。

　　在面臨當事人提起損害賠償請求時，應如何證明自己並無「故意」或「過失」？此涉及訴訟攻防的概念，以《個人資料保護法》而言，企業可以舉證證明已經依照本法的相關規定而主張免責，例如，已經依《個人資料保護法施行細則》第12條之要求建立安全維護的必要措施；委託其他機關蒐集、處理或利用個人資料時，已達到同細則第8條所要求之監督要項等，都是企業於面對《個人資料保護法》時所應謹慎遵守之規範。

建議將相關紀錄存檔備查，以因應將來個人資料侵害之訴訟，企業可舉證證明其已盡注意義務並無故意或過失。

　　(二)建立管理機制（註8）　　1.組織的管理：企業組織中常見之組織模式，係基於營業需求，設立以專業經理人帶領之各部門，分工完成企業整體任務。

對於企業而言，無論內部人事行政、外部行銷企劃，事實上皆難與個人資料的使用脫離，因此，《個人資料保護法》遵循的落實，將會成為企業日常營運的一部分，企業自應以積極、慎重的態度面對。

《個人資料保護法》第18條規定：「公務機關保有個人資料檔案者，應指定專人辦理安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏」，規範對象雖僅為公務機關，惟一般私人企業因個別員工事務繁多，若未專人專責，勢將成「眾人之事」而無人負責。

事實上，《個人資料保護法》施行後，有諸多細節須調整、因應，設置專人辦理資料的安全維護事項，有利企業評估自身需求及所面對之個人資料風險。

規模較大之企業更可考慮設計專職或兼職之「個資長」職位，處理如個人資料檔案建立、保管、維護、個人資料內部相關制度建立、企業員工教育訓練安排、人事異動交接程序規劃、個人資料安全維護設備採購等管理工作。

　　此外，企業蒐集、利用與刪除或停止使用個人資料之制度設計，亦為因應《個人資料保護法》的重點之一，企業活動涉及個人資料者，均應建立「事前之個人資料生命週期評估」，確認個人資料蒐集、利用之合法性及其維護成本，納入企業經營活動的一環。

　　以「僱傭契約」而言，企業為人事行政管理之特定目的而蒐集、處理、利用員工之個人資料，並非只要告知並取得員工同意而已，依《個人資料保護法》第8條告知事項之規範即可得知，在蒐集程序的評估方面，至少應考量所蒐集之類別、特定目的、利用期間及方式；而蒐集後，企業又應如何管理？何人得以何種程序接觸該等資料？企業除人事行政外，得否加以利用？利用時，應經何種程序？員工離職、退休時，又應如何刪除或停止利用該個人資料？於制度上，皆應先建立可供遵循之作業準則，始能確保每一筆個人資料之蒐集、利用及刪除或停止利用均符合法令規範。

　　2.人的管理：《個人資料保護法》於施行後，對企業營運造成相當大的影響，企業內，自然不能只有特定單位對該法有所認識，而須全體員工都對本法有一定的了解，如什麼時候可以蒐集個人資料、哪些個人資料可以蒐集、蒐集以後如何保管、日後如何利用、手中的個人資料是否須停止使用、新產品或服務設計時是否須納入個人資料保護考量、該產品或服務的個人資料項目該如何設計等。

　　因此，企業除應將《個人資料保護法》相關規定列為職前教育、平時教育訓練及工作規範內容外，離職訪談時，亦應提醒員工不得帶走任何個人資料檔案或就其所接觸之個人資料為任何利用，將該法的基本概念深植於員工的日常作業中，使員工於執行各項企業所交辦任務時，能直接對個人資料保護事項做出基本判斷。

如此不僅可提升企業日常營運效率，並可減少企業因違反《個人資料保護法》而受罰之機率。

　　3.物的管理：個人資料保護法令遵循的工作重點有二，即「法律程序之落實」及「個人資料檔案維護工作」。

法律程序之落實有賴企業教育訓練之加強，而個人資料檔案的維護工作則須靠軟、硬體資源的建制。

　　企業除透過資安產品避免個人資料遭到外部人士的竊取或避免因疏失而造成外洩外，內部管理的重點應該落在如何透過軟、硬體的機制，使有關個人資料管理的規範，可以透過技術的方式落實。

舉例而言，若企業內部的資訊系統只有權限控管，而無具體的使用紀錄，萬一個人資料被不當利用時，往往難以早期發現，而個人資料一旦外洩，事後的內部懲處也將無濟於事。

以過去台灣高等法院曾發生法官違規查詢個人資料的新聞事件為例，事後可直接查證到特定法官在特定時點為不當的查詢者，也是有賴資訊系統相應的配套機制。

　　(三)在「特定目的」範圍內謹慎使用個人資料（註9）　　1.應在特定目的範圍內：在使用個人資料時，須注意是否符合蒐集之「特定目的」。

如超過當初蒐集之特定目的，依《個人資料保護法》第7條第2項之規定，須取得當事人之書面同意，而取得同意前，須對當事人清楚說明超過特定目的範圍外之具體利用方式、範圍，以及對其權益之影響，且必須是「單獨」之書面意思表示。

而過去最常發生之超過「特定目的」範圍之利用，係將客戶資料在集團企業內不同法人主體間流通，進行交叉行銷，甚或由不同之企業交互使用行銷，此等行銷行為，皆須依上開方式取得當事人之書面同意後始得為之。

　　2.委外處理個人資料之保障：每當個人資料在不同法人主體間流通時，即有違法之風險。

除上述交叉行銷行為外，個人資料還有所謂「委外」處理之問題。

企業委託他人代為處理或利用個人資料，並非超過特定目的外之行為，無須當事人書面同意，然而既係「委外」，受託者即無權私自使用所取得之個人資料。

在《個人資料保護法》的規範架構下，如受委託者違反本法時，違法之責任仍由企業本身負擔，因此在委外時，應要求受委託者嚴格遵守本法規範，對個人資料加以保密、採行適當措施維護資訊安全等，建議將相關義務列入委託契約內容，否則，委託之企業將負擔全部責任。

　　八、結語　　《個人資料保護法》之立法目的除了保護個人隱私外，也在促進個人資料之合理利用，雖然法規制定諸多程序條文及設下各項限制，惟如企業能於平時做好各項制度性管理規劃，相信不僅可消極降低企業面臨違反《個人資料保護法》各項刑事、行政與民事責任的風險，亦能積極提升企業聲望，更便利地使用所蒐集之個人資料。

吾人亦期待在政府機關及企業的共同努力下，我們可以重返彼此「互信」、「互重」的社會環境。

　　註1：湯德宗，〈電腦處理個人資料保護法2008修正草案評釋〉，台灣法學會2008年年度法學會議，2008年12月。

　　註2：法務部，電腦處理個人資料保護法修正草案對照表（含法務部整理之修正說明）及電腦處理個人資料保護法修正草案總說明（行政院版）。

　　註3：簡榮宗，〈個人資料保護法及施行細則修正重點簡析〉，經濟部中小企業處法律諮詢服務網，2012年9月4日。

　　註4：呂丁旺，〈淺析修正個人資料保護法〉，月旦法學雜誌第183期，2010年8月。

　　註5：經濟部工業局，個人資料法規遵循參考指引暨宣導手冊。

　　註6：曾更瑩，〈新修正個資法要點與企業因應對策〉，鼎新電腦股份有限公司專欄剖析篇，2012年4月。

　　註7：同註4。

　　註8：蕭家捷，〈企業因應個資法施行應建立之管理機制〉，資安人科技網，2012年9月。

　　註9：同註5。