| 一、 |
個資法施行細則第22條第1項「即時」之解釋與適用:
所稱「即時」,應指不得為不必要之拖延;又具體個案是否構成「不必要之拖延」,應依個案情節,考量公務機關或非公務機關初步查明個資侵害事故,及採取適當措施避免損害擴大所需之合理時間;通知對於當事人及時採取措施以防止立即性損害發生之必要性;以及於相關主管機關介入時,該個資侵害事故之揭露是否可能妨礙主管機關進行調查等因素為判斷。
|
| 二、 |
個資法施行細則第22條第1項但書「需費過鉅」、「技術之可行性」、「當事人之保護」之具體判準與要件:
- 「需費過鉅」應以公務機關或非公務機關倘採取言詞、書面、電話、簡訊、電子郵件、傳真、電子文件等「個別」通知方式,依客觀情形與一般社會通念,將使通知所需耗費之勞力、時間、費用與所欲防免之損害顯失衡平,而造成該機關過度負擔,始足當之。
- 「技術之可行性」之評估,應考量當代科技水準,擇取一項或多項與個別通知相同有效之通知方式(例如於機關網站明顯位置揭示訊息、透過新聞媒體播送訊息),確保資料當事人有最大機會知悉個資侵害事故,以及時採取措施維護其權益。
- 「當事人隱私之保護」指公務機關或非公務機關應慮及通知方式是否可能另對當事人之隱私造成侵害,並應採取對當事人權益影響最小之方式為之,例如不揭示可直接或間接識別當事人之個人資料、避免透過已發生過侵害事故之溝通管道通知當事人。
|
| 三、 |
個資法施行細則第22條第2項「個人資料被侵害之事實」及「已採取之因應措施」之具體範圍及其內容記載詳略之判準:
依法務部105年4月20日法制字第10502506140號函,個資法施行細則第22條第2項「個人資料被侵害之事實」及「已採取之因應措施」等通知事項,應包括:個資外洩之事實、業者所採取之因應措施及所提供之諮詢服務專線。又上開規定未限制公務機關或非公務機關提供與個資侵害事故有關之其他訊息(不包含與個資侵害無涉之資訊,例如行銷廣告),建議公務機關或非公務機關於適當時,宜併提供當事人應採取措施之具體建議(例如重新設定密碼、聯繫銀行及信用卡發行公司、警戒可能之詐騙行為),以防止損害之發生或擴大。
|
| 四、 |
公務機關違反個資法第12條及個資法施行細則第22條規定所生之法律效果,及當事人得依法主張之救濟方式:
- 按個資法第12條規定:「公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。」其立法理由:「…三、公務機關違反本條規定而隱匿不為通知者,其上級機關應查明後令其改正,如有失職人員,得依法懲處;…」。
- 次按個資法第28條第1項規定:「公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限」;第31條規定:「損害賠償,除依本法規定外,公務機關適用國家賠償法之規定,非公務機關適用民法之規定。」是個資法有關公務機關民事損害賠償責任之規定,為國家賠償法之特別規定;公務機關因違反個資法所衍生之損害賠償,除依個資法規定外,並應適用國家賠償法之規定。
- 據此,倘公務機關違反個資法第12條及個資法施行細則第22條規定,隱匿個資侵害事故而未通知當事人,其上級機關應查明後令其改正,並得依法懲處相關失職人員。又資料當事人並得依個資法及國家賠償法相關規定,向公務機關提出國家賠償之請求;若無法達成事前協議,資料當事人得提起損害賠償訴訟。
|