民國84年制定「電腦處理個人資料保護法」,徵信業、電信業、醫院、學校、金融業等八大行業都必須遵守;但由於該法條不符合社會的需求,因此,在民國99年4月修訂「個人資料保護法」,而且已經由立法院三讀通過;公告後經過兩年施行細則修訂,「個資法」已於101年10月1號正式實施上路。
「個人資料」的定義
「個人資料保護法」對於個人資料有明確的規範,對經常存有成千上萬筆用戶資料的企業而言,影響程度更甚於一般個人及團體;因此,企業勢必得及早因應調整個人資料的搜集、處理與保護。
「個人資料」指的是可以直接或間接識別出個人資料的都稱之為個資,包含個人的姓名、出生年月日、身份證字號、護照號碼、特徵、指紋、婚姻、家庭教育、職業、病理、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動等,這些都是屬於可以直接辨識特定個人的資料。
至於間接資料,指的是可以透過其他資料的對照、組合、連結等方式辨識出特定個人,例如:公司某職員服務人力資源部,從人力資源系統中,將同仁的聯絡方式透露給外部公司;雖然聯絡方式無法判斷出是哪一個員工,但是該職員或該職員所屬的公司,仍有人力資源系統中之其它資料可供對照、組合、連結,利用間接方式而能識別該特定員工;因此,聯絡方式仍屬於個人資料。
不論直接或間接資料,企業在搜集、處理和利用這些個資時必須特別遵循「個資法」的規範。另外,要特別說明的是企業伺服器中的數位資料,以及書寫在紙本文件上的資料,不論形式或載體,每筆個人資料都必須遵循「個資法」的規範。
「個資法」的規範對象
誰應該遵守「個資法」的規定呢?其實,被規範的對象非常廣泛,不只是公務機關、一般企業行號,甚至包括各式各樣的團體,哪怕是大樓或社區管委會都需要遵循「個資法」。
但還是有例外的狀況,如果是單純以個人或家庭活動為目的所搜集的個人資料,或是在公開場所、公開活動中所搜集、處理的個人資料,以及沒有和其它個人資料結合的影音資料,則不在「個資法」的管轄範圍中。