新聞自由、隱私與個資法
/邱伊翎（台灣人權促進會文宣部主任）

一、前言

個人資料保護法在整個修法過程中，幾乎顯少有媒體願意報導關心此一法案，甚至連立法院也鮮少有立委願意投入時間，認真了解法案內容。這是民間團體從2008 年末就開始四處拜會法務部及立法院各黨團的感受。台灣人權促進會及一些關心病患及同志、性別權益的社團，還有一些關心隱私權及個人資料保護的學者專家，從很早之前就一直在關心這個法案的修法，因為台灣不論是政府機構、企業乃至於媒體新聞報導，經常對於民眾的個人資料及隱私的蒐集、使用、揭露都有一些不當的做法，但除了有時間、有金錢的少數人可以依據民法或刑法的部分條文提起訴訟之外，一般民眾都是摸摸鼻子自認倒楣，國家在確保民眾隱私權的保護措施，的確是少之又少。

二、媒體往往是侵犯隱私的來源

在這次個資法修法爭議上，媒體唯一關心的議題乃在於此法是否會侵害新聞自由，但不可諱言，新聞媒體往往就是侵犯隱私權的重要媒介之一。從很多例子中，我們都可以看到媒體對於公眾人物或非公眾人物的隱私權之侵犯。1994年8月，在未告知當事人及其家屬的情況下，澎湖一名國小學童因輸血被感染愛滋的新聞被媒體大幅報導，雖然未公佈該學童姓名，但澎湖地小人稀，當地民眾很快就知道誰是當事人，許多家長要求隔離此學童，經民間團體呼籲尊重感染者教育權，學童才得以返校，但班上同學又立刻紛紛轉學，最後全班只剩下此學童一人。雖然此事件的問題根源在於民眾對於愛滋病的恐懼及對於傳染途徑的錯誤理解，但透過媒體的推波助瀾及所謂的人肉搜索，是導致此名學童受教權受損的重要因素。 Read the rest of this entry »

Groups decry revision of data act
By Loa Iok-sin
Taipei Times, Thursday, Apr 29, 2010, Page 3

“We regret that the revised law, which has sparked many controversies, was not fully discussed by the public and was hastily passed.”— Taiwan Association for Human Rights

The Taiwan Association for Human Rights (TAHR) and the Association of Taiwan Journalists (ATJ) yesterday expressed their regrets over the revision of the Personal Data Protection Act (個人資料保護法), saying the revision was passed too hastily and without a thorough public discussion.

The legislature adopted an amendment to the Computer- Processed Personal Data Protection Act (電腦保護個人資料處理法) on Tuesday, changing the name of the law to the Personal Data Protection Act (個人資料保護法) and requiring people to obtain the consent of individuals before collecting or publishing information about them, including their name, date of birth, ID number, occupation, medical records, genetic information and details about their sex life. Read the rest of this entry »

對於個資法三讀通過之聲明

/台灣人權促進會

在遭到媒體質疑侵犯新聞自由的狀況下，法務部匆匆再度提出修正意見，立法院亦於4/27立即三讀通過新版「個人資料保護法」修正草案。個資法修法，其目的在於修補當前資訊安全缺口之急迫，然而，整部法在提出修法到通過的討論過程中，卻始終忽視個人資料保護的結構制度性缺失。

一、背離「當事人資訊自決原則」

個人資料的隱私洩漏，問題並不只在於末端的資訊安全技術問題，而是從上游開始的蒐集、處理與利用一路下來對個人資訊自決權的侵蝕。根據OECD對於個資保護的八大原則，個人資料的蒐集、處理及利用都應該在目的明確、合法蒐集、個人參與等原則下進行，除非有例外狀態，才能做排除。但是在新版個資法當中，不論是公務機關或非公務機關，正當事由、當事人同意，都只是合法蒐集的條件之一，而非必要條件。換言之，個人自決原則，在很多狀態下，都可以被排除在外。新版個資法一方面擴大適用主體，卻在蒐集、利用及處理的規範上過於鬆散，所謂「正當事由」也缺乏明確定義，這樣並沒有辦法減低目前公務、非公務機關過度搜集個資的狀況，反而讓更多行業所認定為必要、正當，但實為過度搜集個資的行為就地合法。

二、無法落實保障敏感性個人資料

敏感性個資在此新法中，原則上禁止蒐集，但是在第六條的條文中，卻仍然列出許多仍可進行蒐集敏感性個資的例外情況，而所謂的「當事人之同意」，也只是可進行蒐集的條件之一而已，而非必要條件。這種對於敏感性個資的蒐集管制，實際上，跟一般個資並無多大差別。若真要落實保障敏感性個資，在蒐集、處理與利用前，都應先經相關的審查流程，以確認其蒐集、處理與利用符合法所列舉之正當事由，特別是因學術研究目的而允許蒐集、處理與利用敏感性個人資料時，除需經當事人同意外（除非具有「免除同意之正當事由」），並應先經過研究倫理委員會之審核。

三、欠缺安全閥的制度設計

目前歐盟各國多設有所謂的個人資料保護委員會，機構內亦多有所謂的個人資料保護官，除了進行教育推廣之外，這些專責機構及機構人員亦會針對蒐集敏感性個資等特殊情況，作事前控管。在今日氾濫而多無節制的資訊活動環境下，各機構內獨立的個人資訊保護官不僅能降低外部管制的重任，亦是必要的安全閥。然而此一制度設計，在此次修法中，亦因政府組織改造或人事精簡等理由，而認為沒有必要設置。

四、無專責主管機關

新版個資法沒有主管機關，而是回歸各事業主管機關做為規範及管理的主體。但沒有主管機關就會出現類似多頭馬車及踢皮球的狀態。即使有爭議事件發生，若牽涉到的個資為跨部會的機關，又該由誰來居中作協調及負責，在此新法中，完全看不見擔負責任的專責機關。但，個人資料保護的全盤政策擬定、執行，乃至於個人資料保護觀念之教育、宣導等事項的整合進行，仍需專責機關以利其事。

五、救濟管道的可行性

在修正草案中，雖加入了「集團訴訟」的方式，讓個別的受害人可因同一件個資外洩案件，共同提起法律訴訟，減輕個別當事人在處理法律救濟的成本。但在條文中所規定代為提起個人資料保護相關訴訟的財團法人或公益社團法人，在財團法人是財產總額1000萬，社團法人社員100人，目前台灣的民間團體社團法人符合此條件者，並不多見，似乎只有大型私人企業集團有財力以設立財團基金會進行相關業務。

我們遺憾此番修法引起許多爭議，卻不見對於上述制度缺失的深切討論，此修正法案對於要真正落實個人資料保護的原則，仍還有很長遠的道路要走。

中國時報4/22日報導，因本會反對，法務部因此刪除個資法中媒體及民意代表之免責條款，本會在此提出說明。

1. 本會對於法務部修正草案之意見，不只針對刪除媒體及民意代表之免責條款，更針對整部法案的結構問題，包括：需有統一事責的資訊保護官或委員會、敏感性個資之規範應與一般性個資有所區隔、受個人同意後取得之個資不應為了正當事由即可任意散布等等足讓個資法保障意旨更為充分、保障方式更為精緻明確的整體意見，卻不受法務部及立法院最後協商版本所採納。

2. 針對刪除媒體及民意代表免責條款一項，即媒體所憂慮的個資法第九條將大舉限制新聞自由一事，我們要公正視聽：第九條限制的對象是「已經透過合法方式取得個資」的「公務及非公務機關」，也就是如區公所、警察局、銀行、電信業者、醫院等等，因特定目的已合法據有民眾個資的公家/或民間單位。第九條所限制的，是避免上述機關在原用途外，不經當事人同意即任意或意外地透露散布個人資料。

試想如果今天你我的保險記錄、電話帳單，只因掛著民意代表(包括鄉鎮 代表至國會議員)或是媒體人員(網路時代人人皆是媒體？)的身分，他們就可命令保險公司、電信業者提供，而業者也必須 「依法」乖乖奉上，這是何等恐怖的狀況？此門一開，個人資料保護幾乎全面癱瘓，為人詬病譴責的大量或個別洩漏個資事件，立即就地合法，各種詐騙民眾事件也將更加嚴重！

在法務部公聽會上，不只是本會表達反對媒體和民代之擴權，銀行、證券等握有大量客戶個人資料的業者，也都表達憂慮希望刪除因身分而免責之條文。個資法的立法初衷是在於把不當使用他人個資行為，予以最低限度的明確規範。媒體的新聞資料蒐集採訪行為，本來就受到一般民法、刑法律之約束，要跟其他單位索取個資，也應該依照電信法、銀行法、醫療法等等來做「合法」索取，而非要求在「個資法」中開啟以「身份」作為「免責」之授權。此刻政客與媒體錯亂地以為個人資料保護法一通過，就會限縮問政表現或新聞自由，事實上萬一真通過此擴權條文，平民百姓的身家安全才是被推入隨時隨刻不知被誰取得、濫用的危機深淵。

最後，我們再次強調，法務部作為發動個資法修法之行政部門，不僅對於修法沒有方向，對民間團體所提出的修法意見，也只做非常狹隘的部分採納，僅著重於擴大適用範圍及加重罰則，整體結構卻東缺西漏、互相矛盾，見樹不見林。遭受媒體質疑時，竟然也說是「順勢排除」，儼然是卸責之舉。法務部應該負起正確詮釋法令之責，而非片面傳遞扭曲訊息。我們同時期待各大媒體對於此次修法之報導，應更深入全面的探討個資立法意旨與手段之比例平衡、人民個資隱私保障與媒體報導自由之張力挑戰，而非斷章取義、片面報導。台灣人權促進會與所有倡議媒體自由的團體一樣，主張且高度尊重媒體自由，但是媒體專業、報導品質，只能是媒體無可迴避的責任。

個資修法侵犯新聞自由？

/邱伊翎（台灣人權促進會文宣部主任）

個人資料保護法11/12在立法院政黨協商完成修法，針對法務部昨天向媒體告知是因為徵詢敝會的意見而把「媒體、立委免告知」的條文刪去，而引起有人認為干涉新聞自由一事，我們想在此澄清幾點。

關於媒體、立委由第三人手中所間接蒐集而來的個資「免告知」一項，在法務部的條文已規定若「告知將妨害第三人之重大利益」、「法律明定免告知」等例外情況，在民間團體所提出的版本則認為若基於「公共利益、維護國家安全所必要，且取得當事人再同意程序將嚴重妨礙此目的之達成者」、「為免除當事人或他人生命、身體、自由或財產上之危難所必要」等特殊情況下，不需要取得當事人同意。

在我們看來，應該是根據「事由」，而非根據「特定身份」而直接賦予「免告知」權利。立法委員若因問政所需，要蒐集資料，可以依據「立委職權行使法」來作為，若覺有不足亦可修法，不需要非得在「個人資料保護法」上大作文章。媒體採訪，照理說一般也都會遵守「新聞倫理」，尊重新聞當事人的隱私權、以正當方式取得新聞資訊。即使「個資法」不規定，各行各業諸如保險、銀行業者、醫療院所等機構對於其客戶、病患的個資保護亦都有其本身的相關法規作出更加嚴格規範。如果硬是要在「個資法」上讓某些人有「不需經當事人同意，即可向這些單位蒐集個資」的權利，必然也會造成這些單位的許多困擾。

事實上，我們一直所關注的是整部法案擴大適用範圍後，規範卻沒有更加清楚，對於「敏感性個資」（醫療、性生活、基因等）的規範也沒有比較嚴格，「正當理由」及「個人同意」二者在整部法案中，更是經常混淆。個資保護的問題，正是在於前端蒐集的部份沒有好的管制，才會導致今日許多個資外洩的結果。新的「個人資料保護法」修正草案無法作為「個資保護」的最低底線，反而一再擴大賦予公務機關及非公務機關擁有更多蒐集人民個資的權力，才是這次個資修法的最大問題！

相關新聞：媒體引個資須先告知？立委憂新聞自由

媒體引用個資 須告知當事人

搞錯方向放錯重點的個資法修法

/ 邱文聰（中央研究院法律學研究所助研究員）

個人資料保護法草案11/12在立法院進行政黨協商並達成共識。從人權團體的角度而言，此一協商結果根本未能解決長久以來存在於現行法的結構性問題，但媒體及部分立委卻指責法務部在人權團體壓力下刪除媒體「免告知義務」條文，大大限縮新聞自由。此一爭議恰好提供一個機會，釐清個資法修法的問題究竟何在。

依照行政院版的原始條文來看，「告知」分為「直接向當事人蒐集時的告知」與「間接蒐集當事人個資時，對當事人的告知」兩種情形。同樣地，新聞媒體對個人資料的蒐集除了當事人自行公開或其他已合法公開之個人資料外，其方式應該也可分為「直接蒐集」與「間接蒐集」二者。

當新聞媒體「直接」向當事人蒐集個人資料時，要求媒體必須先向當事人告知：究竟是「誰」在蒐集個資、蒐集之目的為何、蒐集哪些個人資料等事項，甚至應得其「同意」，我們很難想像這樣的要求究竟會如何限縮新聞自由？難道我們要賦予新聞媒體在當事人不同意提供個人資料時可以有「強制處分權」？或者，我們容許新聞媒體可以不正方法，直接跟當事人「騙取」個資？

當新聞媒體欲「間接」取得當事人個資時，其方法大致上有二：一是向知悉當事人資訊的第三人，打探第三人透過觀察等個人經驗所獲悉有關當事人之個資；二是向曾合法蒐集當事人個資的公務機或非公務機關請求「目的外利用」。小道消息的採訪、友人間的傳誦、甚至是深喉嚨的個人爆料都屬前者，但個資法對媒體告知義務所規範的行為卻是後者（「依第15條或第19條規定蒐集非由當事人提供之個人資料」）。當然這並不意謂，透露消息的深喉嚨一定不會招致任何的法律責任，例如，倘若員工個人違反公司規定而將顧客資料外洩給媒體，將可能引發民事甚至刑事法律責任。

因此，個人資料保護法對媒體進行規範所觸發的真正問題其實不在於「告知義務是否限縮新聞自由」，而在於握有個人資料的公務機關（第16條）或非公務機關（第20條），究竟可否將其所蒐集之個人資料，在未經當事人同意前，轉提供給媒體使用。而這個核心問題，其實也正是民間團體一再質疑行政院及法務部修法版本的理由：究竟我們要允許公務機關或非公務機關在什麼時候，可以不需要經過個人的同意，而把為A目的蒐集到的個資，使用在B目的、C目的、D目的上？

個資法修正草案，表面上擴大了適用範圍，也增加了「敏感性個資」（醫療、性生活、基因等）的特別規定，實則修正草案一再混淆「正當事由」乃是「法治國原則」對公務機關資訊作為的拘束，其與透過「個人同意權」所欲維護的「個人資訊自主/隱私權」二者，在規範上有截然不同的功能。這樣的混淆使得「個人同意權」在這部個資法中幾乎遭到架空。公務機關可以不需要得到個人同意而廣泛蒐集個資，也可以基於籠統的國家安全與增進公共利益，在不經個人同意的情形下，將原來蒐集之個資提供做其他目的使用。更離譜的是，非公務機關竟然也可以只因學術研究有必要，不論研究所涉及之風險高低，即可不經當事人同意而蒐集處理或利用個人的敏感性個人資料（主管機關雖口頭承諾將於子法做適當規範，但子法豈可增加母法所無之限制？）。

個人資訊自主/隱私權之保障與資訊社會中資料的正當利用間，固然存在一些緊張關係，因此不得不承認在某些限定情形，個人同意權應受到限制，以滿足現代社會生活的期待。但在結構上搞錯方向的修法，不僅造成違背國際學術社群之研究倫理的結果，其要如何作為「個資保護」的最低底線，也著實令人匪夷所思。

揭弊有理？侵權無罪？！–個資修法民間團體聯合記者會

1995年通過的「電腦處理個人資料保護法」早已不合時宜，日益猖獗的詐騙、盜用個人資料、個資外洩的事件頻傳，人民不堪其擾，行政院及立法單位也趕忙提出了個資法修正草案。

然而，此草案卻大開人民的隱私大門，不但對於敏感性個人資料沒有更嚴謹的規範，甚至欲修法允許媒體、民代可以在不知會當事人的情況下，蒐集間接獲得的個人資料，台灣人權促進會邀請學者及民間社團召開共同記者會表達對於草案內容的質疑。

民間司法改革基金會的高涌誠律師表示，先不論立委問政的情況為何，當今天立委在有公益需要的時候，立法委員還是應該勇於揭弊。立法委員個人的揭弊行為，如果真的對全民有益的時候，由於個人資料保護法裡，已經有關於基於增進公共利益、得以排除相關限制的規定，這種公益原則本身並不會去限制到他的職權行使，立委們應該堅持程序正義，循正當法律途徑揭弊，而非建立一個帝王條款使自己完全免責。

中研院資訊科學研究所副研究員莊庭瑞教授指出，1995年通過的電腦個人資料保護法只限於管理「電腦處理的個人資料」，不但對公務機關蒐集使用個資沒有嚴格的節制，對非公務機關也只規範八大行業。個資洩漏處最高二千萬罰金，根本無法約束大型企業。此外，沒有確立「個資法」為個資保護的基本法位階，一旦有更寬鬆的規範就適用他法，造成「個資法」根本沒有實際的約束力。

行政院在這屆會期中把「個人資料處理法」列為優先法案之一，其版本雖補強了非公務機關在蒐集、處理個資的檢查機制以及個資外洩受害人可採集體訟訴爭取高額處罰補償金的救濟管道，但是修正條文中並沒有明確的主管機關，針對公務部門為何、如何蒐集個人資料完全沒有內控的監察程序，這也是人權團體最憂心的問題。

中央研究院法律學研究所邱文聰表示個資外洩其實是問題的末端，最重要的是追究源頭，即「個人資料在什麼情況下可以被蒐集？」必需要有所約束，才是根本之道。他指出在行政院及立院版的修正草案中，最大的問題在於將蒐集個資的「正當理由」及「取得當事人同意」混為一談，似乎只要取得了當事人的同意，蒐集個資就不需要正當理由，或只要有正當理由，就不需要當事人同意。在個資盟的修法版本中，非常強調「個人資訊保護官」的設置，應該要有受過「個資保護」專業訓練的人員在蒐集個資的源頭把關，才不會讓公務及非公務機關蒐集了一大堆個人資料，而後才又產生外洩的問題。

王蘋表示，性別人權協會參與個資盟已多年，個資盟的成員不只包括性別團體，個資保護其實是全民的事情，她指出，我們不應該將個人的私人資料一律視為公共議題，現在的爆料文化已經將許多與公共利益無關的私人資訊，公開變成大家都應該知道的事情。同志諮詢熱線辦公室主任陳伯杰也以實際案例指出，熱線過去接到不少衛生局打來跟他們要同志的「個資」，或有父母以「找民代查出對方身分」的方式，要脅自己的兒女不得與對方交往。他們認為這些案例都呈現出台灣社會中，根本不重視個資保護的觀念。

台灣人權促進會、司改會及性別人權協會等團體透過今天上午的記者會向行政院及立法院提出強烈呼籲，並提出民間版的個資法修正草案，希望二院可以參考。會後，這些代表並前往謝國樑、潘維剛（司法委員會召委）等立委辦公室，遞交民間版個資法修正草案。