:::

TPIPAS簡介


背景說明
  • (一)計畫依據
    1.2008年6月立法院委員15人提案,為保障民眾個人隱私建議政府參考國外作法,推動我國隱私權管理保護認證制度,案經立法院第7屆第1會期第15次會議決議,並奉經行政院2008年9月3日交經濟部研議協助民間產業建立個人資料保護管理系統標準與隱私權標章驗證制度,並積極推動。

    2.2009年1月行政院核定「國家資通訊安全發展方案(98 年至101年)」,揭示「安全信賴的智慧台灣,安心優質的數位生活」之願景,並規劃「提供可信賴的資訊服務」及「建構資安文化發展環境」等四大政策目標。

    3.2009年8月行政院「塑造資安文化、推升資安產值」產業科技策略會議,決議推動電子商務個人資料管理暨資訊安全行動方案。

    4.2009年12月行政院核定「塑造資安文化、推升資安產值」關鍵推動方案(99年至102年),本計畫係於該方案架構下所規劃推動措施之行動計畫,更明確、具體規劃環境面、應用面,以及資安面之政策目標與相對應之推動措施,俾朝向強化國家資安競爭優勢之路邁進,經由前瞻政策之引導,在政府與民間通力合作下,達成其中之「強化民眾個資保護」目標。
  • (二)我國個人資料保護現況
    1.電子商務個資外洩問題受到矚目
    現階段我國電子商務最受矚目的爭端型態,莫過於個人資料遭不當外洩產生的隱私保護問題,2007年12月行政院消費者保護委員會發布的「年度10大熱門消費新聞」中,個人資料外洩問題即高居首位。自此,電子商務個人資料外洩問題不斷發生,突顯落實電子商務個人資料保護工作,建置一個值得民眾安心信賴的交易環境,實刻不容緩。

    2.無店面零售業指定適用電腦處理個人資料保護法
    鑑於包括電子商務在內之無店面零售業個人資料外洩問題頻傳,但因目的事業主管機關難以確定導致問題難以處理。為此,行政院特別協調各單位透過指定方式,將相關產業列入現行電腦處理個人資料保護法之適用。
    包括網路購物與型錄購物的部分,經濟部已與法務部於2010年2月9日共同指定無店面零售業,自同年7月1日起適用現行電腦處理個人資料保護法。

    3.個人資料保護法三讀通過並經總統公告
    「電腦處理個人資料保護法」規範範圍有限,逐漸無法符合實務個人資料保護規制需求,故法務部提出修正草案並將該法更名為「個人資料保護法」,目前已由立法院於2010年4月27日三讀通過,並由總統府於同年5月26日正式公告。
    新法將全面適用於公務機關與非公務機關,罰則亦已大幅加重,故包括電子商務等相關行業皆須依據新法之要求進行嚴格之個人資料保護與管理。


問題評析
  • (一)國內實務遭遇問題
    1.個人資料保護法規定複雜,企業因應困難。
    國內大部分企業,過往都不適用電腦處理個人資料保護法。而電子商務產業即便於7月1日指定適用,使其有機會可以先行檢視自身個人資料管理之情況,惟新法對於企業之要求遠比舊法嚴格而複雜,故包括電子商務產業之各行業已普遍表達因應條文規範之困難,亟需相當的輔導與協助。

    2.產業及消費者對於個人資料保護之觀念未臻清晰
    由於過往我國個人資料相關法制落實範圍有限,產業界與消費者對於正確的個人資料保護觀念並不清晰。以產業而言,許多對於個人資料蒐集與利用的習慣,不但不符合個人資料保護法之要求,並容易產生對於個人資料的過度利用及外洩風險。以消費者而言,對於如何自主管理個人資料,避免過度提供並不明瞭,同時亦不知道對於自己的個人資料可以對於蒐集者要求查詢、閱覽、更正、停止利用或刪除等權利。因此實務上因為個資外洩問題所產生的交易糾紛層出不窮,需要從根本上強化個人資料保護觀念。

    3.國際資訊安全認證標準不足以協助企業遵循我國法制,並無法符合國內企業成本架構
    針對資訊安全管理,國際間已有相關認證標準(如:ISO27001)之推行。惟此類標準主要係針對企業及組織整體資訊資產的保護,並非針對個人資料保護相關法制遵循而來。而個人資料相關法制規範主要係維護個人對於其資料的資訊自主,雖仍需要資訊系統安全之協助,但其僅為個人資料保護法制要求之一小部分,故現有資訊安全管理制度,並不符合企業遵循我國個人資料保護法制要求之需要。
    且資訊安全管理制度之導入成本,對於中小企業而言係極大之負擔。故部分國家已就個人資料保護部分另外研議管理制度,期以最切合需要的制度及合理的成本協助企業保護個人資料。以日本為例,其為ISO27001導入最大宗之國家,導入家數至2010年7月底止,計有3,572家,但其所建立的個人資料管理制度(P-Mark),導入並通過驗證者,同一時期即達11,562家。足見對於產業而言,主要考量仍在於成本與法制遵循之需求。

    4.各國個人資料法制規範與環境之不同,相關制度無法直接移植供國內產業應用
    目前國際間包括日本、德國、韓國、英國等相關組織,皆對於個人資料保護,建立相關管理或審驗制度。惟由於各國法制規範以及所面臨之環境不同,相關制度內涵未必可以直接移植於國內使用。以德國及英國而言,由於其隸屬歐盟體制,故其管理標準或法制內容,必須依循歐盟指令之要求加以研訂。日本與韓國,則與台灣相同,為APEC之會員國,故制度規範要符合APEC之要求。惟仍因企業體制及法律細部規範之不同而於制度面有所歧異。故即便有相關制度可資參考,但仍須建立配合國內法制以及實務發展狀況的制度,方能達到本計畫之目的。

  • (二)國際組織與國際化需求
    1.國際組織對各國境內隱私保護制度之建立有所要求。
    我國實質參與的亞太經濟合作會議(APEC),於2004年10月通過「 APEC隱私保護綱領」(APEC Privacy Framework),針對APEC各會員體,推動整合性的個人資料保護措施。並於2007年1月進一步通過「跨境隱私保護規則」(Cross Border Privacy Rules, CBPR),制定民間企業跨國傳輸個人資料時所須遵循之各項重要規則。
    2007年6月起,針對前述的跨境隱私保護問題,推動「開路者倡議實驗計畫」(Pathfinder),其中,第2項子計畫即明確要求各會員體應建立「標章組織」,以參與跨境隱私保護規則。而我國自1991年起成為APEC會員體,將直接面對來自APEC及其他會員體的壓力。

    2.因應電子商務國際化,跨境個人資料保護已刻不容緩。
    電子商務具有國際化的特性,因此本計畫之上位計畫,方以電子商務之國際化推動作為目標。然而,國際組織以及其他國家對於個人資料之蒐集、處理、利用及國際傳輸都有不同之要求,國內產業要進軍國際,免不了涉及跨國性的個人資料保護問題。國內大型科技業者已意識到此一問題,而透過強而有力的法務單位進行各國規範與制度的分析蒐集。惟以中小企業甚至個人為營運主體之電子商務產業,並無法有此一能量進行國內外法律規範之分析及應用,因此對於電子商務國際化而言,建立國內完整制度,並協助產業進行跨國性因應,刻不容緩。

未來環境預測
  • (一)國際發展趨勢觀察
    1.各國持續強化個人資料保護立法。
    (a) 日本於2005年施行「個人資料保護法」,不分行業別,凡擁有5,000筆以上個人資料者,均負有建置資料外洩防範措施並妥善維護隱私之義務。
    (b) 加拿大早期受到美國影響,針對私部門個人資料保護,僅採取「業界自律」(self-regulation)作法。但為因應網路與數位科技發展,已通過「個人資料保護及電子文件法案」,全面強化私領域個人資料保護工作。

    2.國際組織高度重視隱私保護問題。
    (a)「經濟合作開發組織」(OECD)發布的個人資料保護八大原則(Basic Principles of National Application),至今仍高度影響各國個人資料保護立法。
    (b)「亞太經濟合作會議」(APEC)鑒於隱私保護的重要性,於2004年通過「隱私保護綱領」(APEC Privacy Framework),並自2007年起推動「開路者倡議計畫」(Pathfinder),強化「跨境隱私保護」,要求包含我國在內的各個會員體,予以推動與遵守。

    3.主要國家陸續建構個人資料管理制度。
    (a) 個人資料保護管理制度已蔚為國際潮流,包含日本、韓國、德國及英國在內,均已陸續建置個人資料保護管理制度。其中,日本與韓國透過鼓勵企業導入個人資料管理制度並發予標章的方式,協助企業提升隱私維謢能力,以提升民眾對於企業之信賴。而德國更直接將制度規範明定於法律。
    (b )隨著跨國電子商務快速發展,為強化跨境隱私保護與國際合作,日本與韓國即立於個人資料管理制度與配套標章基礎上,推動跨國相互認證。