多元行政管制 執法落實個資保護

歐盟六國祭行政手段 擬對Google開罰

Google於去年（2012年）3月將60份個別的隱私權政策整合成統一的版本。由於Google提供多樣的網路服務如搜尋、Gmail信箱、Google+社群網、YouTube影音網站及Android手機平台等，而跨服務的資料結合（combination of data）將使各種類型的個資與其他資訊作更廣泛且更多元的運用（例如提供更符合使用者興趣的廣告與服務），歐盟乃質疑Google的新隱私權政策未能讓使用者了解其個資有哪些被Google持有、利用、如何被各種Google的服務結合運用以及保留的時間。

為此，自去年3月至10月期間由法國的隱私保護機構CNIL代表歐盟，持續對Google的新隱私權政策進行調查，以檢視其是否符合歐盟資料保護指令（95/46/CE，類似我國的個資法）。依據去年10月26日的分析報告，歐盟當局要求Google於4個月內遵行其建議之改善措施。

由於Google被認定迄未遵示辦理，法國、德國、英國、荷蘭、西班牙、義大利等歐洲六國於今年4月2日決定依各國法律同步對Google進行調查且可能課予高額罰款。在法國，罰款最高可達30萬歐元，在義大利，罰款最高可達120萬歐元。上述手段即歐洲國家為落實個資保護所採取的行政管制，我國個資法亦是分別從規範面、檢查面以及處罰面著手。

行政規範層面

個資法是個資保護的基本大法，亦授權行政機關訂定相關子法，諸如：

1．依個資法第55條規定，由法務部訂定個資法施行細則。
2．依個資法第53條規定，個資法所定特定目的及個資類別，由法務部會同中央目的事業主管機關指定之。
3．依個資法第27條規定，非公務機關保有個資檔案者，應採行適當之安全措施，防止個資被竊取、竄改、毀損、滅失或洩漏。中央目的事業主管機關得指定非公務機關訂定個資檔案安全維護計畫或業務終止後個資處理方法。前開計畫及處理方法之標準等相關事項之辦法，由中央目的事業主管機關定之。例如金融業則由其中央目的主管機關金管會訂定個資檔案安全維護計畫。

行政檢查層面

為預防個資侵害事件之發生，行政機關透過行政檢查手段，可早期發現個資危安因素以儘速排除，防患於未然。個資法第22條即規定：中央目的事業主管機關或直轄市、縣（市）政府為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時，得派員攜帶執行職務證明文件，進入檢查，並得命相關人員為必要之說明、配合措施或提供相關證明資料。

檢查時，對於得沒入或可為證據之個資或其檔案，得扣留或複製之。對於應扣留或複製之物，得要求其所有人、持有人或保管人提出或交付；無正當理由拒絕提出、交付或抗拒扣留或複製者，得採取對該非公務機關權益損害最少之方法強制為之。此外，檢查時，亦得率同資訊、電信或法律等專業人員共同為之。對於前開進入、檢查或處分，非公務機關及其相關人員不得規避、妨礙或拒絕。參與檢查之人員，因檢查而知悉他人資料者，負保密義務。

行政處罰層面

一旦行政機關發現違反個資法情事，可採取行政處分與行政罰鍰兩種手段，以懲罰違反者並防止個資侵害繼續發生。

1.行政處分

依個資法第25條規定，非公務機關有違反本法規定之情事者，中央目的事業主管機關或直轄市、縣（市）政府除得依個資法規定裁處罰鍰外，並得為下列處分：

(1) 禁止蒐集、處理或利用個資。
(2) 命令刪除經處理之個資檔案。
(3) 沒入或命銷燬違法蒐集之個資。
(4) 公布非公務機關之違法情形，及其姓名或名稱與負責人。

2.行政罰鍰

個資法第47條至50條規定行政罰鍰課處之事由，例如依個資法第 47條規定，非公務機關違反個資法第6條第1項（關於特種個資原則禁止蒐集、處理或利用）、第19條（非公務機關對個資蒐集或處理應具備之條件）、第20條第1項（非公務機關對個資利用應具備之條件）或違反中央目的事業主管機關依第21條規定限制國際傳輸之命令或處分者，由中央目的事業主管機關或直轄市、縣（市）政府處新臺幣5萬元以上50萬元以下罰鍰，並令限期改正，屆期未改正者，按次處罰之。

由上可知，個資保護亦包括多元的行政管制，與民事責任及刑事責任構築成三面的法律堡壘。惟我國個資法就行政管制的主管機關並非由統一的專責機關擔任，而係由法務部主管個資法與施行細則之制訂，其他行政管制則由各行各業的中央目的事業主管機關或直轄市、縣（市）政府來負責。因此在具體實踐上，可能有寬嚴不同、一國多制的現象，也可能發生執法資源不足與分配不均的問題，須尋求妥適解決之道。

<作者：陳佑寰，目前為執業律師。國立台灣大學法學碩士，美國賓夕法尼亞大學法學碩士。專攻領域為智慧財產權法、高科技產業議題及資訊法等。>