發文字號:
法務部 102.06.06 法律字第10100088140號書函
發文日期:
民國 102 年 06 月 06 日
要 旨:
法務部就「證券商適用個人資料保護法及其施行細則草案之疑義一案」之 說明
主 旨:有關貴會所詢證券商適用個人資料保護法(以下簡稱本法)及其施行細則
草案之疑義一案,復如說明二至四,請查照。
說 明:一、復貴會 101 年 2 月 2 日中證商業字第 1010000195 號函。
二、關於貴會所詢第 1 項次、第 2 項次、第 4 項次等事項,因涉及
本法施行細則問題,業於本法施行細則研修過程中,列入修正考量並
經審慎研議,茲說明分述如下:
(一)第 1 項次部分:本法第 6 條第 1 項第 1 款、第 8 條第 2
項第 1 款、第 19 條第 1 項第 1 款及第 20 條第 1 項第 1
款規定,因涉及人民權利義務,故所稱「法律明文規定」或「法律
規定」,須以法律或法律具體明確授權之法規命令為之,無法以非
公務機關所定規定或公務機關所定行政規則作為依據(本法施行細
則第 9 條規定參照),以免違反「法律保留原則」。
(二)第 2 項次部分:本法保護之客體,並未區分我國人或外國人,現
生存之自然人均適用本法(本法第 2 條第 9 款、本法施行細則
第 2 條規定參照)。準此,於我國轄內之各機關所蒐集、處理或
利用之我國人或外國人資料,除法律另有規定外,應有本法之適用
,與該自然人之國籍或現住居所地無涉。
(三)第 4 項次部分:鑑於本法第 7 條第 1 項已明定本法第 19 條
第 5 款所稱書面同意,係指當事人經蒐集者告知本法所定應告知
事項後,所為「允許」之書面意思表示;且本法亦無推定取得當事
人書面同意之規範。準此,本法施行後,本法施行細則無法再行訂
定推定取得當事人同意之規範,故本法施行細則已刪除電腦處理個
人資料保護法施行細則第 30 條第 2 項規定,否則即逾越本法之
授權範圍。
三、關於貴會所詢第 3 項次、第 5 項次、第 6 項次等事項,涉及本
法之具體個案事實認定問題,分述如下:
(一)第 3 項次部分:
1.按本法所稱「當事人」,係指個人資料之本人(本法第 2 條第
9 款規定參照),故本法第 19 條第 1 項第 2 款規定「與當
事人有契約或類似契約之關係」所稱之「當事人」,並不僅限於
契約或類似契約當事人,亦係指某契約或類似契約關係中,所需
蒐集之個人資料本人有關得以直接或間接方式識別該個人之資料
,皆屬之。換言之,縱使契約或類似契約當事人雙方,皆為法人
或團體等非公務機關,一方非公務機關為履行該契約,或於契約
成立前為準備或商議訂立契約所進行之接觸或磋商行為,因該內
部關係之基本行為所涉及與第三人(例如他方之受雇員工)之接
觸、磋商或聯繫行為(本法施行細則第 27 條規定修法理由參照
),於特定目的必要範圍內,得蒐集他方非公務機關之受雇員工
個人資料,無需再取得該個人資料本人之當事人書面同意。
2.次按法人乃法律上擬制之人格,一切事務必須由其代表人或受僱
人行使職權或執行職務,始得為之(最高法院 100 年度台上字
第 1594 號判決意旨參照)。故法人為履行與其他法人間之契約
或接觸磋商等類似契約關係,而蒐集、處理或利用「法人業務上
之必要連繫個人資料」,例如法人代表人或員工處理法人業務之
必要連絡方式資料,應屬符合本法第 19 條第 1 項第 2 款規
定之合理蒐集,無須另外取得當事人書面同意。惟其利用時,仍
應參照本法第 5 條比例原則規定,不得逾越必要範圍,並應與
蒐集之目的具有正當合理之關聯。
(二)第 5 項次部分:
按「國際傳輸」係指將個人資料作跨國(境)之處理或利用(本法
第 2 條第 9 款規定)。故除中央目的事業主管機關依本法第
21 條規定限制非公務機關為國際傳輸個人資料之行為外,非公務
機關若屬機關內部之資料傳送(屬資料處理),例如:基於同一法
人人格性質,總公司將資料傳送給分公司、公務機關將資料傳送給
國外辦事處等(本法第 2 條第 9 款規定之修法理由參照),於
符合本法第 19 條(例如:法律明文規定、與當事人有契約關係等
)或第 20 條第 1 項本文規定,即得於特定目的必要範圍內將個
人資料作為跨國(境)之處理或利用,與國際傳輸過程是否符合保
密原則無涉。另若將資料國際傳輸提供當事人以外第三人(屬資料
利用),例如:母公司將資料提供給子公司或他公司,則應注意是
否符合本法第 20 條第 1 項但書有關特定目的外利用之要件(例
如:當事人書面同意),併予敘明。
(三)第 6 項次部分:
按非公務機關依本法第 19 條規定向當事人蒐集個人資料時,原則
上負有直接蒐集之告知義務,故第 8 條第 1 項第 1 款應明確
告知當事人之「非公務機關名稱」,係指直接蒐集之權責機關,與
將來符合本法規定提供當事人以外第三人(關係企業,依公司法第
369 條之 1 規定,係另一具獨立權利能力之公司)或受非公務機
關委託蒐集、處理或利用個人資料者(受委託機構)無涉。
四、貴會所詢第 7 項次部分,涉及中央目的事業主管機關權限者:
依法律關於人之效力,我國人不問居住於國內或國外,均以受我國法
律拘束為原則;又不具我國國籍之人(包括外國人或無國籍之人),
居住於我國領域之內,除有治外法權者外,亦應受我國法律拘束(鄭
玉波著、黃宗樂修訂,法學緒論,98 年 8 月修訂 18 版,第 58
頁至第 61 頁;林紀東,法學緒論,83 年 4 月初版 18 刷,第 7
5 頁至第 77 頁參照)。故本法所稱非公務機關,依屬地原則,不論
我國人或外國人在我國領域內有違反本法之行為,應適用本法規定;
又我國人(公務或非公務機關)在我國領域內有違反本法之行為,應
適用本法規定;又我國人之個人資料,經非公務機關在我國領域外對
我國人民個人資料蒐集、處理或利用者,亦適用本法,以防範非公務
機關在我國領域外違法侵害國人個人資料之隱私權益,規避法律責任
(本法第 51 條修正說明參照)。是以,若外國企業至我國領域內蒐
集、處理或利用個人資料,自應有本法之適用,而不因其聲明一切依
照國外關係企業當地國個人資料保護法規進行個人資料之保護,而得
解免之。至於非公務機關就其所保有之個人資料,如提供予境外且不
受我國法律所管轄之外國機構,該非公務機關仍應符合本法第 20 條
之特定目的內利用或特定目的外利用行為規定,自不待言。另中央目
的事業主管機關如認有必要,且有本法第 21 條規定所列情形之一時
,可對非公務機關之國際傳輸個人資料行為,予以限制之,併此敘明
。
正 本:中華民國證券商業同業公會
副 本:金融監督管理委員會、本部資訊處(第 1 類)、本部法律事務司(4 份
)