個資保護的自律與他律

甚至在新法尚未實施之前，法務部還建議修法，卻遭致立法委員批評此舉不尊重立法院，將嚴重傷害國家民主體制。行政院長已於今年2月間指示法務部在2個月內完成評估報告。

個資的自律保護

其實不管個資法是否生效施行，對於珍惜商譽的企業說，都應該「自律」地重視個資的保護。商譽是企業的無形資產，具有相當程度的主觀性，雖能於企業併購時就併購金額高於淨資產的公平價值以商譽入帳得出一個數字，但在平常時期卻很難估算其客觀價值。

商譽一旦受損，對企業的影響常遠大於有形資產的減損且難以回復。Sony的遊戲網路服務PlayStation Network與串流音樂服務Qriocity在2011年4月間遭駭客入侵，導致7,700萬名用戶個資遭竊；美國知名網路鞋店Zappos於今年1月間亦傳出用戶個資遭駭事件，竊取約2,400萬筆客戶資料。

上面兩個事件都對知名企業的商譽造成嚴重損害。誠如名譽是自然人的第二生命，商譽也是企業法人的第二生命。企業對用戶的個資保護不周，可能嚴重損及企業的商譽，失去消費者的信賴。

全世界最大的個資檔案庫應該就是Facebook。擁有超過8億會員的社交網站Facebook於今年2月1日向美國證交所遞交上市申請書，預定募資50億美元，將創下史上最大規模網路業IPO的紀錄。在「朋友拉朋友」的效應下，未來Facebook會員一定會更迅速地增加。

Facebook依美國證交法規在其上市申請文件中揭露了「風險因素」，其中包括：不當接近或揭露用戶資訊而損害Facebook的商譽及妨礙Facebook的商業活動。事實上，Facebook於2011年才與美國聯邦交易委員會（FTC）就其涉嫌侵害用戶隱私違反FTC法令之行為（如片面更改隱私條款、把使用者以為是私密的資訊公開等）達成和解協議。Facebook也將各國法令對於個資與隱私的保護以及政府對違法行為的調查處分，列為其商業風險。

隨著電腦網路的科技進步與蓬勃的商業活動發展，企業蒐集、處理及利用個資已相當普遍。另一方面，駭客入侵、內部員工監守自盜以及企業資安管理不當而導致個資外洩，甚至引發集體詐騙的社會事件亦層出不窮。

國內數家銀行及網路業者曾發生用戶個資大量外洩事件，經媒體報導後，對於企業的商譽損害極大。個資外洩事件將破壞消費者對企業的信任，因消費者擔心進行交易後其個資及信用卡資訊等可能外洩。

如果Facebook發生嚴重個資外洩事件而處理不當，勢將損害其商譽，可能導致「朋友拉朋友」出走，一個目前人口僅次於中國與印度的世界第三大國也可能因此崩解。

個資的他律保護

然而，並不是每個企業都注重視商譽，有些企業只重視短期利益，不重視個資保護。個資保護從維護商譽的「自律」提升到「他律」的法律層次，不僅有助於維護自然人的隱私，對於原本就重視個資保護以維護商譽的企業來說，亦可建立公平的市場競爭環境，因為每個企業皆需投入資安成本以保護個資，可避免不公平競爭。

新版個資法保護的客體不再限於電腦處理的個資，而擴及於任何得以直接或間接方式識別個人的資料（如姓名、出生年月日、身分證字號、教育、職業、聯絡方式等）。另就規範的對象而言，除公務機關外，亦不再侷限於特定行業，而包括任何自然人、法人或團體。個資法固然對於自然人之個資提供更確實的保障（包括行政、民事以及刑事救濟管道），但卻使企業暴露於極高的法律風險，增加企業經營成本。

個資法迄今遲未施行最主要的原因就是業者反彈。這是因為個資法雖立意良善但部分規定太過嚴苛，例如：

1.醫療、基因、性生活、健康檢查以及犯罪前科等「特種個資」，原則上禁止蒐集、處理或是利用，即使當事人同意也不行（第6條），違反當事人自主原則。

2.在個資法施行前，「間接蒐集」的個資應於一年內向當事人告知（第45條），該一年的時限太過僵化，可改為處理或利用時再告知。

3.直接或間接搜集個資皆應盡告知義務，告知方式雖不以書面為必要，但應以個別通知的方式使當事人知悉（施行細則草案第13條及其說明），將增加企業的通知成本，可考慮就特定案例類型准許以網站公告方式為通知。

4.當事人書面同意的方式雖得以電子文件為之，但仍以先經搜集者與當事人同意為前提（施行細則草案第11條），多增加一道同意程序，可予以簡化。

5.違反個資法將觸犯刑責（第41條），惟就輕微案件應可考慮予以豁免，並以特定個資數目為課處刑罰的門檻。

未來個資法施行後，如果因立法僵化而發生企業普遍都在違法的情況，不僅損及企業商譽，也凸顯個資法的不切實際。個資法的制定與執行，應注意個資保護、企業商譽以及商業發展的平衡兼顧。

（本文作者現為執業律師）