因個人資訊管理系統（BS 10012）乃依英國基於本國之個人資料保護法所設立，因此因各國國情之不同，會產生法規範條文內容的差異，例如我國就個人資料的種類分為一般個資及特種個資（醫療、基因、性生活、犯罪前科、健康檢查），而英國則是以敏感個人資訊（a.種族或族群背景、b.政治理念、c.宗教或其他信仰、d.職業工會的會員身分、e.身體或心理健康狀況、f.性生活、g.違反任何法規或有違反任何法規的嫌疑、h.個人涉及任何訴訟、對此等訴訟的處置，或在此等訴訟中因任何違反行為而被法院判刑，或被告發有違法的可能）作為種類的差異，而其他比較對照之處，則可參照下表一： 

一、個人資料保護法修法重點說明

1.       擴大保護客體---納入人工資料：

加入人工處理及增加類型資料，解決以往資料外洩只要不是因電腦（或自動化設備）處理，即不適用之現象。且納入直接與間接識別資料。

2.       普遍適用主體---刪除行業別限制：

刪除行業別之限制，自然人、法人、公私機關一體適用，解決以往只有列入受管理的政府機關與少數民間行業受拘束的不合理情況。

3.       增修行為規範---權利、義務之增、減、刪、補：

限制蒐集特種資料、規範書面同意方式、增課告知義務（4項資料的權利與正確性及外洩之告知）、放寬查詢權利、限制任意行銷，不遵守行為規範的行政裁罰。

4.       強化行政監督---中央目的主管機關及地方政府之強制檢查：

中央目的事業主管機關或地方政府得強制檢查、處分或處罰，於此解決因為普遍適用主體後，管制單位的模糊，並將資料保護的查察措施，擴及非司法警察機構。

5.       促進民眾參與---建立團體訴訟機制：

建立團體訴訟機制，對於管理與求償或資料保護實務的進展，納入民間監督與求償，期待提高全民重視與普及。

6.       調整責任內涵---民、刑事及行政責任的加重及提高：

加重刑事責任及擴大適用範圍、提高民事損害賠償總額限制、提高行政罰緩並課予組織負責人（代表人、管理人）監督責任，且組織負舉證責任。

二、個資法未來修法動態

近年行政院亦有提出相關修法草案，重點為下：

1.第六條：特種個資規定

(1)修正特種個資範圍，將「病歷」納入特種個資；

(2)公務機關或學術研究機構基於醫療、衛生、犯罪預防等目的，為了統計或學術研究必要，新增限制應將當事人個資去識別化後方能合法使用。由於此時已無從識別特定當事人，應無侵害個人隱私權益之虞；

(3)容許特種個資條款新增例外二款「為維護公共利益所必要」、「經當事人書面同意」。

2.第四十一條：刑事責任

非意圖營利違反個資法相關規定，以民事賠償、行政罰即可。刪除非意圖營利違反個資法之刑事責任。

3.第五十四條：補行告知時點

民國99年5月26日個資法公布施行前已間接蒐集到之當事人個資補行告知時點，在未來修法後，可能改為「應在處理或利用前告知當事人，或在首次利用時併同為之。」

…待續

臺灣個人資料保護法（個資法）

一、前言：

臺灣個人資料保護法規範，前身為民國84年8月11日公布之「電腦處理個人資料保護法」，後於民國99年5月26日修正草案經總統公布後，將名稱修正為「個人資料保護法」（Personal Information Protection Act,個資法），直到民國101年10月1日方由行政院宣布正式施行，且因個人資料保護法公布至施行期間已經過兩年有餘，故本法施行後已不再會有寬限期，倘個人或組織有違反個資法之情事，將受法律制裁，對於個人或組織都影響甚鉅，故應以最嚴謹的態度來因應個資法之要求，以免觸法。

二、個人資料保護法立法與修法背景簡介：

民國84年公布之「電腦處理個人資料保護法」，主要是參照世界經濟合作開發組織(OECD)所提出的個人資料保護原則而制定。

但在我國研修電腦處理個人資料保護法的同時，另一個國際組織-亞太經濟合作組織（APEC）發現在電子商務蓬勃發展的今天，有關個人資料隱私權益保護將日趨重要，爰由亞太經濟合作組織中電子商務指導小組（APEC Electronic Commerce Steering Group）於西元2003年初成立個人資料隱私權保護分組（Data Privacy Sub-Group），研擬制訂APEC隱私權保護原則（APEC Privacy Principles）。由於法務部職掌我國之電腦處理個人資料保護法，為加強與國際組織間之互動，爰派員參與該分組，提供我國有關個人資料保護之實務經驗與法制意見，作為制訂隱私權保護原則之參考。經過數次會議之研商討論，該隱私權保護分組終於完成APEC隱私權保護原則草案之擬定，並於西元2004年11月經部長級會議通過，成為各會員國有關個人資料保護之最高指導綱領。

APEC隱私權保護原則共有九大原則[1]，茲將內容摘要敘述如下：

1.避免損害原則（Preventing Harm）：

有關個人資料之蒐集、處理與利用，不得損害當事人之權益。

2.告知原則（Notice）：

　　資料蒐集者蒐集個人資料時，應告知當事人蒐集者名稱、蒐集資料之目的、種類與用途等必要事項。

3.限制蒐集原則（Collection limitation）：

　　蒐集個人資料應符合蒐集之目的，且不得逾越必要之範圍，與目的無關之資料，不得任意蒐集。

4.利用個人資料原則（Uses of Personal Information）：

　　有關個人資料之利用，應符合當初蒐集目的之必要範圍內，未經當事人同意或另有法律規定，該資料不得作其他利用。

5.當事人選擇原則（Choice）：

　　有關個人資料之蒐集或利用，當事人有權得選擇「進入」（OPT-IN）或「退出」（OPT-OUT）模式，資料蒐集者或保有者應尊重當事人之選擇。

6.個人資料完整原則（Integrity of Personal Information）：

　　保有個人資料檔案者，有責任隨時更新或補充資料，力求該資料之完整正確，避免當事人因不正確之資料，讓其權益遭受損害。

7.安全維護原則（Security Safeguards）：

　　保有個人資料檔案者，應採取必要之安全維護措施，避免個人資料被偷竊、遺失、毀損或外洩。

8.當事人查詢及更正原則（Access and Correction）：

　　當事人隨時有權查詢或閱覽其個人資料，如發現有錯誤或欠缺者，得請求補充或更正。

9.責任原則（Accountability）：

　　對於違法蒐集或利用個人資料者，應課以法律責任，以保護資料當事人之權益。

個人資料保護法（以下簡稱個資法）自101年10月1日施行迄今已兩年有餘，大部分的公務、非公務機關業已完成相關的個資保護教育訓練，甚或是個資保護管理制度的建置，以至社會大眾對於個資保護意識抬頭，使「個資」這二個字逐漸讓人朗朗上口，對於因應個資保護的企業、機關，其所關注的焦點便逐漸從整體法規的遵從與瞭解，推展到細部流程的因應與回覆。

現今一般機關的B2C多半設有客服聯繫窗口，而一般企業客服泰半亦已就消費者所提出查詢或修改其基本資料等要求從善如流，但大多數客服應該都未曾、或未能針對消費者提出停止利用或是刪除其個人資料的要求做後續處理。依個資法第三條規定，針對消費者停止利用或是刪除其個資的聲請，機關便應依相關流程，將申請內容陳主管核准後保留紀錄並辦理。而依個資法施行細則第六條第一項規定機關需完全使該聲請人的個人資料，不復存在於機關內部，於此將會造成相當大的影響，舉凡會計憑證、員工資料或病歷等，如果僅依當事人之聲請便應照辦，刪除是否反而會使機關違反其他法律規定，便需再三考慮。

惟依個人資料保護法第十一條第三項規定機關在接受當事人提出刪除、停止處理或利用其個人資料時，如能有明確之法規援引，例：商業會計法第三十八條第一項：「各項會計憑證，除應永久保存或有關未結會計事項者外，應於年度決算程序辦理終了後，至少保存五年。」，或勞工健康保護規則第十條就雇主雇用勞工應實施之一般體格檢查，應保存紀錄至少七年，及醫療法第七十條第一項：「醫療機構之病歷，應指定適當場所及人員保管，並至少保存七年。但未成年者之病歷，至少應保存至其成年後七年；人體試驗之病歷，應永久保存。」或是當初於蒐集當事人個資時，有明確以書面告知當事人其個資之保存期限者，得援以作為拒絕當事人申請之依據。

倘如前所述，當事人於接受到客服窗口的回覆後，於現實生活所會遭遇到的情況，卻往往是當事人暴跳如雷，甚或引起消費爭議，或是死纏爛打的希望能如其所願，於此便是客服應對尺度之拿捏，個資法第一條開宗明義便闡述了本法之立法目的，一方面保障當事人之隱私權，另一方面則需兼顧個資之合理利用。於法規面，機關固然無接受當事人聲請之必要，但於現實面可為當事人提供的服務似乎可更加設想，是否可考量協助當事人以將該資料停止蒐集、處理及利用替代刪除個人資料的選項，確認技術（IT)部門是否可將聲請人之個資特別於系統中標示為不得檢索，甚至將其移至獨立之區域，並以權限存取控管之，使一般未經授權之人員無法檢索，或許都是得以滿足當事人需求的作法之一，但同時機關可能也別忘記要保留當事人提出聲請之紀錄，以及提醒可能對當事人權益將造成的影響，如果能兼顧上述事項，或許才能在遵循個資法要求的範圍內，同時也能滿足當事人/消費者之需求服務，進而使機關更具競爭力，創造一雙贏的局面。

B2C, Business to Customer企業對消費者的電子商務模式