跳到主要內容

text_rotate_vertical 另存PDF print 友善列印

發文字號:
法務部 102.06.06 法律字第10100088140號書函
發文日期:
民國 102 年 06 月 06 日
要  旨:
法務部就「證券商適用個人資料保護法及其施行細則草案之疑義一案」之
說明
主    旨:有關貴會所詢證券商適用個人資料保護法(以下簡稱本法)及其施行細則
          草案之疑義一案,復如說明二至四,請查照。
說    明:一、復貴會 101  年 2  月 2  日中證商業字第 1010000195 號函。
          二、關於貴會所詢第 1  項次、第 2  項次、第 4  項次等事項,因涉及
              本法施行細則問題,業於本法施行細則研修過程中,列入修正考量並
              經審慎研議,茲說明分述如下:
          (一)第 1  項次部分:本法第 6  條第 1  項第 1  款、第 8  條第 2
                項第 1  款、第 19 條第 1  項第 1  款及第 20 條第 1  項第 1
                款規定,因涉及人民權利義務,故所稱「法律明文規定」或「法律
                規定」,須以法律或法律具體明確授權之法規命令為之,無法以非
                公務機關所定規定或公務機關所定行政規則作為依據(本法施行細
                則第 9  條規定參照),以免違反「法律保留原則」。
          (二)第 2  項次部分:本法保護之客體,並未區分我國人或外國人,現
                生存之自然人均適用本法(本法第 2  條第 9  款、本法施行細則
                第 2  條規定參照)。準此,於我國轄內之各機關所蒐集、處理或
                利用之我國人或外國人資料,除法律另有規定外,應有本法之適用
                ,與該自然人之國籍或現住居所地無涉。
          (三)第 4  項次部分:鑑於本法第 7  條第 1  項已明定本法第 19 條
                第 5  款所稱書面同意,係指當事人經蒐集者告知本法所定應告知
                事項後,所為「允許」之書面意思表示;且本法亦無推定取得當事
                人書面同意之規範。準此,本法施行後,本法施行細則無法再行訂
                定推定取得當事人同意之規範,故本法施行細則已刪除電腦處理個
                人資料保護法施行細則第 30 條第 2  項規定,否則即逾越本法之
                授權範圍。
          三、關於貴會所詢第 3  項次、第 5  項次、第 6  項次等事項,涉及本
              法之具體個案事實認定問題,分述如下:
          (一)第 3  項次部分:
                1.按本法所稱「當事人」,係指個人資料之本人(本法第 2  條第
                  9 款規定參照),故本法第 19 條第 1  項第 2  款規定「與當
                  事人有契約或類似契約之關係」所稱之「當事人」,並不僅限於
                  契約或類似契約當事人,亦係指某契約或類似契約關係中,所需
                  蒐集之個人資料本人有關得以直接或間接方式識別該個人之資料
                  ,皆屬之。換言之,縱使契約或類似契約當事人雙方,皆為法人
                  或團體等非公務機關,一方非公務機關為履行該契約,或於契約
                  成立前為準備或商議訂立契約所進行之接觸或磋商行為,因該內
                  部關係之基本行為所涉及與第三人(例如他方之受雇員工)之接
                  觸、磋商或聯繫行為(本法施行細則第 27 條規定修法理由參照
                  ),於特定目的必要範圍內,得蒐集他方非公務機關之受雇員工
                  個人資料,無需再取得該個人資料本人之當事人書面同意。
                2.次按法人乃法律上擬制之人格,一切事務必須由其代表人或受僱
                  人行使職權或執行職務,始得為之(最高法院 100  年度台上字
                  第 1594 號判決意旨參照)。故法人為履行與其他法人間之契約
                  或接觸磋商等類似契約關係,而蒐集、處理或利用「法人業務上
                  之必要連繫個人資料」,例如法人代表人或員工處理法人業務之
                  必要連絡方式資料,應屬符合本法第 19 條第 1  項第 2  款規
                  定之合理蒐集,無須另外取得當事人書面同意。惟其利用時,仍
                  應參照本法第 5  條比例原則規定,不得逾越必要範圍,並應與
                  蒐集之目的具有正當合理之關聯。
          (二)第 5  項次部分:
                按「國際傳輸」係指將個人資料作跨國(境)之處理或利用(本法
                第 2  條第 9  款規定)。故除中央目的事業主管機關依本法第
                21  條規定限制非公務機關為國際傳輸個人資料之行為外,非公務
                機關若屬機關內部之資料傳送(屬資料處理),例如:基於同一法
                人人格性質,總公司將資料傳送給分公司、公務機關將資料傳送給
                國外辦事處等(本法第 2  條第 9  款規定之修法理由參照),於
                符合本法第 19 條(例如:法律明文規定、與當事人有契約關係等
                )或第 20 條第 1  項本文規定,即得於特定目的必要範圍內將個
                人資料作為跨國(境)之處理或利用,與國際傳輸過程是否符合保
                密原則無涉。另若將資料國際傳輸提供當事人以外第三人(屬資料
                利用),例如:母公司將資料提供給子公司或他公司,則應注意是
                否符合本法第 20 條第 1  項但書有關特定目的外利用之要件(例
                如:當事人書面同意),併予敘明。
          (三)第 6  項次部分:
                按非公務機關依本法第 19 條規定向當事人蒐集個人資料時,原則
                上負有直接蒐集之告知義務,故第 8  條第 1  項第 1  款應明確
                告知當事人之「非公務機關名稱」,係指直接蒐集之權責機關,與
                將來符合本法規定提供當事人以外第三人(關係企業,依公司法第
                369 條之 1  規定,係另一具獨立權利能力之公司)或受非公務機
                關委託蒐集、處理或利用個人資料者(受委託機構)無涉。
          四、貴會所詢第 7  項次部分,涉及中央目的事業主管機關權限者:
              依法律關於人之效力,我國人不問居住於國內或國外,均以受我國法
              律拘束為原則;又不具我國國籍之人(包括外國人或無國籍之人),
              居住於我國領域之內,除有治外法權者外,亦應受我國法律拘束(鄭
              玉波著、黃宗樂修訂,法學緒論,98  年 8  月修訂 18 版,第 58
              頁至第 61 頁;林紀東,法學緒論,83  年 4  月初版 18 刷,第 7
              5 頁至第 77 頁參照)。故本法所稱非公務機關,依屬地原則,不論
              我國人或外國人在我國領域內有違反本法之行為,應適用本法規定;
              又我國人(公務或非公務機關)在我國領域內有違反本法之行為,應
              適用本法規定;又我國人之個人資料,經非公務機關在我國領域外對
              我國人民個人資料蒐集、處理或利用者,亦適用本法,以防範非公務
              機關在我國領域外違法侵害國人個人資料之隱私權益,規避法律責任
              (本法第 51 條修正說明參照)。是以,若外國企業至我國領域內蒐
              集、處理或利用個人資料,自應有本法之適用,而不因其聲明一切依
              照國外關係企業當地國個人資料保護法規進行個人資料之保護,而得
              解免之。至於非公務機關就其所保有之個人資料,如提供予境外且不
              受我國法律所管轄之外國機構,該非公務機關仍應符合本法第 20 條
              之特定目的內利用或特定目的外利用行為規定,自不待言。另中央目
              的事業主管機關如認有必要,且有本法第 21 條規定所列情形之一時
              ,可對非公務機關之國際傳輸個人資料行為,予以限制之,併此敘明
              。
正    本:中華民國證券商業同業公會
副    本:金融監督管理委員會、本部資訊處(第 1  類)、本部法律事務司(4 份
          )
快速回到頁首按鈕