論保險法最大善意原則及對價平衡原則，與個人資料保護法適用上爭議 / A study on the disputes of applying the utmost good faith and the principle of consideration equivalence in Insurance Contract Law to the New Personal Data Protection Law

張一合

Unknown Date

保險契約又稱之為「最大善意契約」或「誠信契約」，歸因於保險契約之制定需仰賴要保人及被保險人之善意與誠信，而於保險事故發生前最重要者為保險法上據實說明義務及危險增加通知之義務，此二義務要求要保人及被保險人提供大量個人資料，俾使保險制度能順利運作。我國個人資料保護法第6條關於敏感性個人資料部分之蒐集、處理、利用部分遲遲尚未施行，連帶影響保險法上據實說明義務及危險增加通知義務之履行無所適從。 自外國立法例觀之，個人資料保護隨著資訊發展而逐漸受到各國重視，爰參考OECD經濟合作發展組織之隱私保護原則、歐盟個人資料保護指令及經濟合作發展組織亦提出隱私保護暨個人資料跨國傳遞指導原則，對於美國、英國及日本保險實務對於個人資料保護法實施分別制定不同措施。美國最早提出告知後同意原則，並由美國保險監理協會制訂保險資訊與隱私保障標準模範法典予以落實；英國則遵照歐盟個人資料保護指令特別制定特種個人資料處理原則，將個人資料種類予以不同程度化區分；日本對於個人情報保護法除金融廳制定金融領域下指針外，其生命保險協會及損害保險協會分別制定生命保險業之個人情報處理指針及損害保險公司之個人情報保護指針。基此，以上各國之立法及保險實務運作，亦為我國制定保險法第177條之1之參考依據。 惟保險法第177條之1於主體面、客體面、內容制定、免除告知義務規範及過渡條款之設計等皆有可議之處。本文分析保險法上據實說明義務及危險增加通知義務與個人資料同意權之衝突，並依據保險事業發展中心委託研究計畫及行政院草案，以立法沿革及法規面逐一剖析保險法第177條之1之妥適性並給予立法建議。希冀本研究能有助於保險實務上對於現行個人資料保護法之制定，予以明確且完善之配套措施，並為保險法第177條之1開啟新紀元。

最大善意原則

對價平衡原則

個人資料保護法

敏感性個人資料

資訊自決權

書面同意

告知後同意原則

蒐集限制原則

免除告知義務

過渡條款

論偵查機關調閱銀行私人帳戶資料之合法性─與美國作比較 / The Legality on Our Law Enforcement's Access to Private Banking Account–In Comparison with the United States

張君寧, Chang, Chun Ning

Unknown Date

長久以來，我國在偵辦民刑事案件時，調閱相關人等之銀行帳戶資料通常是必要作法之一，表面上看來行之有年、理所當然，但深究後卻發現未臻完善、有待改進，其中尤以正當合法性及與個人隱私權之衝突最具爭議。調閱銀行帳戶資料固然是快速有效偵查案情的方式之一，但若無合理的法律依據、明確的施行方針、完善的配套措施及必要的懲處規定，將易流於擴權濫用，不僅違背法理，亦侵害當事人之隱私權，影響甚鉅，而當今我國文獻中卻較缺乏關於此方面之探討，殊為可惜。因此，目前我國偵查機關調閱銀行帳戶資料之法律依據為何？與其他法律是否有矛盾衝突之處？實務上如何施行？有哪些配套措施？未來有何改進之道？若公務機關違法濫權有何懲罰機制？如何適當修改現有法令規範以使其更臻完善？凡此皆與社會大眾息息相關，並使筆者產生高度興趣及強烈研究動機，期盼透過深入研究，得以充分瞭解相關理論與實務，並對問題提出解決或改善之建議。 無論自人性尊嚴、隱私權或資訊自決權之觀點來看，個人資料保護皆為基本且重要之議題，不容忽視，而銀行帳戶實為個人資料當中非常重要之一環。美國為隱私權概念發源地，理論與實務發展久遠，深具探討價值，故本文擇其作為比較分析對象。為求深入探討調閱銀行帳戶資料在台灣及美國司法實務面運作之情形，本文整理解析兩國近年來相關法規及民事刑事裁判，2010年4月我國立法通過之「電腦處理個人資料保護法修正案」(後更名為「個人資料保護法」，2012年10月付諸實行，以下亦簡稱「新個資法」)亦在本文討論範圍內。本文將介紹各相關法規內容，分析新舊法規之差異，探究實務面作法及未來可能走向，以提供各位讀者先進參考。 國家為履行公共任務或打擊金融犯罪，通常需要調閱相關人等之銀行帳戶資料，此為偵查機關職責所在，但若稍有不慎即可能使個人資訊隱私權遭受重大侵害，而目前理論與實務面皆尚有未盡完善之處。筆者盼以本身面臨之法令疑義，對我國新個資法及台美兩國相關法規之檢視，對本文蒐集資料之研讀心得，及在金融業服務十年之工作經驗作為本文研究之核心。 本篇論文之主要目的，盼藉由各面向之探討及對法律制度之論述，檢視當今我國與美國調閱銀行私人帳戶資料之正當性與合法性；本文不僅描述兩國偵查機關調閱銀行帳戶資料之現況，亦針對問題分析研究，提出建議策略，盼能為我國目前存在之問題困境貢獻一己之力，以供法律界、金融界及相關公務部門參考。 透過本文研究，可觀察目前我國與美國調閱銀行私人帳戶資料相關法規與實務之發展方向，探討主管機關在提升偵查效率及保障個人財務資訊隱私權之間如何取得平衡，希冀政府機關不僅能快速有效完成偵查任務，亦能在合情合理合法範圍內作好個人資料保護，兩全其美。 / In Taiwan, law enforcement’s access to private banking account is a common way of investigating civil or criminal crimes. Although it seems very normal, it still has some problems need to be solved, especially its legality and controversy over privacy. It’s efficient to investigate a crime by retrieving data from private banking account, but it’s easy to invade personal privacy if there’s no reasonable law, clear direction, supplementary measures or necessary punishments. As a result, it’s very worthwhile and important to discuss this thesis’ title. However, there are not many relevant essays or writings in our country nowadays. About this issue, there are many relevant topics which are worthy to be discussed. For example, what is the legal basis of this kind of investigation? Is there any inconsistency between its legal basis and other laws? What are the implementations or supporting measures in practice and improvements in the future? Is there any supervision mechanism if the Government abuses its power? How to amend existing legal regulations appropriately to make them more perfect? Topics above are closely related to all society so the author has a high degree of interest and motivation. Hope this thesis will make readers fully understand relevant theory and practice then they may know how to solve problems and make improvements by this article’s suggestion. Whether from the point of view of privacy, human dignity or self-determination of revealing personal information, protection of personal data is always a basic and important issue which shouldn’t be ignored. The private banking account is actually one kind of the most important personal data. The United States (hereinafter also “America”) is the birthplace of the concept of privacy which has developed there for a long time. It is worth researching so the author selects America for comparative analysis task. In order to discuss the judicial practice about private banking account being investigated by the authorities in Taiwan and America, the author sorts out and analyzes relevant regulations and criminal judges of these two countries in recent years. “Computer Processed Personal Information Protection Act Amendments” (later renamed “Personal Information Protection Act”, implemented in October 2012, hereinafter also “New Personal Information Act”) passed by the Legislative Yuan of Taiwan in April 2010 is also within the scope of this article. This article will describe the contents of relevant laws, analyze the differences between old and new regulations and discuss practical approaches and possible directions in the future so this thesis will provide reference for all readers. The Government often needs to retrieve banking account information to fulfill public tasks or fight against financial crimes. Although this is the duty of the authorities, it will result in serious violation of personal information privacy if the authorities make any mistake. In fact, both of relevant theory and practice in our country have some drawbacks and deficiencies at this time. The author looks forward to discussing the doubts of law, examining “New Personal Information Act” and relevant regulations of Taiwan and America and sharing study experience on this issue and a decade of work experience in the financial industry in order to constitute the core of this research. The main purpose of this thesis is to examine the necessity and legality of retrieving banking account information in Taiwan and America by discussing all relevant aspects and legal systems. This article not only describes the authorities’ access to banking account information in the current situation but also analyzes problems, makes suggestions and offers strategies. The author hopes to do his best to make some contribution to the law, financial industry and related public authorities. Through this thesis, readers could observe Taiwan and America’s investigation of private banking account currently and developing directions of relevant regulations and actual situations in the future. Readers could also learn and discuss how the authorities weigh improvement of investigation efficiency and protection of personal financial information privacy. Hope our Government will not only complete investigation quickly and efficiently but also protect personal information privacy legally and reasonably.

調閱

美國

偵查機關

銀行帳戶

財務資訊

隱私權

個人資料保護

個人資料保護法

正當性

合法性

Retrieval

the United States

Investigation

Banking Account

Financial Information

Privacy

Protection of Personal Information

Personal Information Protection Act

Legitimacy

Legality

健康資料之個人資料類別屬性研究──以IoT設備之蒐集、處理或利用為中心 / A Study on Personal Health Data Attributes: Focus on the Data Collection, Process or Use of IoT Device

張幼文, Chang, Yu Wen

Unknown Date

我國於2015年底通過新修正之個人資料保護法（以下簡稱「個資法」），將病歷納入特種個人資料中保護。目前個資法第六條特種個人資料列舉包含病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料。雖然該條文係取法自國際賦予敏感性個人資料特別保護的模式，惟在個人相關健康資料保護部分，我國個資法不若歐盟一般資料保護規則（EU General Data Protection Regulation, GDPR）保護寬廣，納入資料之類型仍較國際立法例狹窄。尤其此次GDPR修法擴大特種個人資料空間，增列基因資料、生物性資料和性傾向，檢視我國特種個人資料列舉類型是否符合現今科技社會需求有其必要性。 過去研究針對健康資料個資法適用問題較少。大數據資料來源來自各處，以一般健康保健物聯網模式為例，自行操作之檢查數據或穿戴式裝置所蒐集之資料，若非須由醫師或其他之醫事人員施以檢查，而可由一般民眾自行測量之行為，該民眾自行測量之結果應不屬於個資法所謂之病歷、醫療或健康檢查個人資料，即非為特種個人資料。 惟大數據分析技術進步之環境下，健康資料亦攸關資料主體生理健康之敏感性，且容易連結並識別個人，考量健康資料敏感性提升，蒐集、處理、利用健康資料易侵犯到個人隱私，因此有加強保護之需求。將來可刪除個資法第六條第一項各種個人資料例示之「醫療」、「病歷」與「健康」資料，並新增「健康」或「與健康相關」之列舉項目。 但解釋「與健康相關」資料之內涵時不能無限上綱，在適用時應考量情境說，依據不同使用情境判斷是否為係作為特種個人資料利用，以排除一般性描述健康的使用情境。 / The change to the regulation of special categories of data (sensitive data) in the Taiwan Personal Information Protection Act (PIPA) in 2015 comes with the inclusion of medical records. The definition of sensitive data in the PIPA Article 6(1) refers to personal information of medical records, medical treatment, genetic information, sexual life, health examination and criminal records. However, the list of sensitive data in PIPA do not contain categories as broad as foreign legislation such as EU General Data Protection Regulation (GDPR). It is important to review the continuing relevance of existing categories of sensitive data in the light of change in social structures and advances in technology. Differ from “medical data” such as medical records, medical treatment and health examination, the collection, process and use of “health data” which is measured from wearable device, is not included in the sensitive data. Concerning the development of big data analysis, the “health data” which sensitivity enhanced is easy to identify an individual. It needs to give a higher level of protection to “health data” under PIPA. Therefore, this thesis suggests that medical records, medical treatment and health examination in PIPA Article 6(1) should be consolidated and amended to health records or data concerning health. However, this is not to say that the processing of all kinds of medical and health data should be regarded as the processing of sensitive data. But data, under certain contexts/circumstances may be treated as the processing of sensitive data.

個人資料保護法

特種個人資料

敏感性資料

健康資料

大數據

物聯網

Personal information protection act

Special categories of data

Sensitive data

Health data

Big data

Internet of Things

美國財務資訊隱私權保護規定之研究 / A Study of American Regulations on the Protection of Credit Information Privacy

陳妍沂, Chen,Yen Yi

Unknown Date

本研究探討金融機構對於客戶個人資料之蒐集與處理,所涉及之個人資訊隱私權保護議題,分為三個面向,第一是金融機構本身對於客戶個人資料之處理,尤其是金融集團內部之個人資料分享,或將個人資料提供予他人使用,第二是政府機關向金融機構要求提供客戶資料時,涉及之個人資訊隱私權保護,第三是信用資料機構對於個人資料之處理,例如我國之金融聯合徵信中心,或美國之信用報告機構對於消費者信用報告之蒐集與流通使用. 本研究所探討之法規,包括:美國金融服務業現代化法案第五章,美國財務隱私權法,美國公平信用報告法,我國電腦處理個人資料保護法,銀行法第四十八條第二項,以及其他金融法令中涉及金融機構對個人資料處理及隱私權保護之規定.最後並將美國規定與我國規定作一比較,參酌國際上對於資訊隱私權保護之立法原則,以及我國常見之資訊隱私權爭議類型,對我國金融機構之財務資訊隱私權保護規範,提出修法方向建議. / 隨著資訊科技之發展，個人資料之流通較以往普遍且迅速，加以在商業社會中，個人資訊具有行銷方面之商品價值，常成為交易標的之內容，因此保護個人資訊隱私權，已成為各國政府共同努力的目標之一。 隱私權的概念係起源於美國，其在金融業所適用之個人財務資訊隱私權方面所提供之保障程度如何，為本研究所探討之主題，所涉及之法規，包括：美國金融服務業現代化法案、財務隱私權法、公平信用報告法。 研究結果發現，美國1999年通過之金融服務業現代化法案，雖訂有隱私權保護專章，但主要規定係要求金融機構應提供顧客隱私權保護政策通知，以及在將個人資料提供予金融集團外第三人時，應提供顧客選擇退出之機會，並未涵蓋國際上認為資訊隱私權保護應包括之各種面向，且其對於金融集團運用個人資料之限制較少，消費者控制個人資訊之權利較為不足，當金融機構違反規定時，消費者亦無向金融機構提起民事訴訟求償之權利，顯示美國在金融集團之個人資料運用方式，較重視金融集團運用個人資料所能產生之經濟效益，對於個人資訊隱私權僅提供有限程度之保障。 美國1978年財務隱私權法，係規定求政府在向金融機構要求提供顧客財務紀錄時，應遵守法定程序，包括：以法定職掌所需之攸關性資料為限，必須向顧客進行通知，使其瞭解受調查之性質以及個人資料被使用情形，個人並有提出異議以阻止政府取得其財務紀錄之機會，若政府或金融機構違反規定而取得或提供其財務紀錄，個人得向政府或金融機構提起民事訴訟求償。雖然仍有學者對該規定所提供之保障範圍或者個人行使權利之便利性，提出些微批評，但整體而言，該規定促使政府部門在向金融機構要求提供顧客財務紀錄時，應自行檢視符合法定程序，且受到司法監督，對於政府所進行之調查程序，已提供較合理之個人資訊隱私權保障。 美國公平信用報告法，係因其商業化的信用資訊機構，在蒐集與流通個人資料時，有過度侵害個人資訊隱私權之虞，故於1970年通過該法案，其後歷經1996年及2003年之修正。該法規定消費者報告機構（即信用資訊機構）、消費者報告使用者、個人資料提供者應遵循之義務，以及消費者得享有之權利，用以維護個人資訊隱私權之方法，主要是限制消費者報告僅得提供予具有合法用途之報告使用者，以及儘可能的維護個人資料之正確性，以免報告使用者依據錯誤的資料，作成相關交易決定，而損及個人之權益。該法案呈現出美國對於個人資料之態度，是認為個人資料之流通使用，對於商業交易之順利進行以及經濟發展，甚至個人順利取得融資，均有助益，故不應予以嚴格限制，以享受資訊產生之價值，但另一方面提供個人得以知悉其個人資料內容、得以提出資料更正要求、報告使用者對個人作成不利交易決定時須通知報告當事人，用這些機制，來使個人有機會確保其資料之正確性，使其在商業交易中得以受到公平合理之信用評價。 本研究最後亦就我國相關規定加以檢視，並與美國規定作一比較，結果發現，我國由於早在民國84年即已通過電腦處理個人資料保護法，對於個人資訊隱私權已提供全面性之保障，僅須對於金融業或信用資訊機構部分，再補充較為詳細的行政規定，即可減少金融業之個人資訊隱私權爭議；至於政府向金融機構要求提供顧客財務紀錄之規定，我國目前係以行政函令加以規範，且採取非公開原則，民眾尚無從知悉其個人資料被政府調閱取用之情形，此部分我國之個人資訊隱私權保障，主要係仰賴政府部門之自我監督，其對個人資訊隱私權之保障程度較難以評估。 本研究對於我國金融業財務隱私權保護規範之主要建議，包括：（1）針對金融業之資料保護進行領域專精化之法令規範，（2）設置專責「資料保護監察人」制度監督政府個人資料保護行為，並確保人民隱私權受侵害之救濟，（3）改善金融機構向客戶通知其個人資料蒐集與運用事宜之程序，（4）對於政府取得金融機構客戶資料提供更完善之程序性保障，（5）對於金融聯合徵信中心蒐集處理個人資料賦予更明確之法律地位及規範。

資訊隱私權

個人資料保護

電腦處理個人資料保護法

信用報告

隱私權

公平信用報告法

財務隱私權法

個人資料

information privacy

personal data protection

GLB Act

credit reports

privacy

Fair Credit Reporting Act

FCRA

Right to Financial Privacy Act

論網路匿名言論之保障－以身分揭露程序為中心 / A Study on the Protection of Anonymous Online Speech: Focusing on the Procedure for Disclosing the Identity of Anonymous Speakers

鍾安, Chung, An

Unknown Date

在網路世界中，人們以匿名表達意見遠比現實生活中更為容易，這件事已劇烈地改變了匿名言論的量與質。從好的面向看，匿名帶來自主，讓異議者可以透過網路匿名，表達可能永遠都不敢在眾人面前說出來的真正想法，讓觀念市場變得多元豐富；另一方面，匿名提高了追究責任的困難。相較於現實世界的言論，損害他人或構成犯罪的惡質網路匿名言論，將造成影響更深遠且永久的傷害。 　　目前，關於網路匿名言論的管制方式，世界各國政府都是仰賴「事後追懲模式」和「實名認證模式」的其中一種。前者是網路使用者原則上可以匿名地發表言論，但如果發表不當言論並造成傷害，受害者或國家可以揭露其身份以對其展開司法追訴；後者是網路使用者在張貼言論前，必須先向國家機關指定的網路業者交出個人真實身份資料以進行驗證後，才能匿名發言，或甚至完全禁止以匿名方式發言，讓網路使用者感受到被眾人監督的壓力，不敢發表不當內容。 　　本文主張，網路匿名言論是受到憲法所保障的權利，而「事後追懲模式」相較於「實名認證模式」，較能調和不同權利間的衝突。不過，儘管我國政府採取此模式，卻在設計民刑事訴訟制度時，漏未導入匿名言論權利的思考，導致網路匿名表意者一經策略性訴訟攻擊，真實身份就會立即暴露，使得匿名表意自由不過徒有虛幻表象。因此，本文建議，為落實對匿名言論自由的保護，立法者宜參考美國法，修改部分訴訟法來處理此問題。 / On the internet, people can express themselves anonymously far easier than in the physical world. This fact has dramatically changed both the quantities and qualities of anonymous speech. On the bright side, anonymity brings more autonomy. Dissenters can express their real opinions, which they might never have the courage to speak out in public. It, in turn will promote the diversity and integrity of the marketplace of ideas. Yet, anonymity also makes it more difficult to hold the speakers accountable. In addition, compared to speech in the real physical world, malicious online anonymous speech will cause more serious permanent harms. 　　Today, governments around the world are either relying on the “Ex Post Compensation and Punishment” approach or the “Real-Name Verification System” to regulate online anonymous speech. Under the former approach, internet users can express their opinions anonymously, but if the content of their speech is malicious and causes damages to other people, the victim can seek disclosure of the speaker’s identity in order to take legal actions against the speaker. In contrast, under the latter system, internet users have to provide their personal information (real identities) to the ISPs or ICPs appointed by governments and complete the verification process before they can post their words. Some real name systems go even further by banning anonymous speech completely. By making users feel like they are being supervised by the public, the real name system wishes to deter indecent contents 　　This thesis argues that online anonymous speech is protected by the Constitution, and the ‘Ex Post Compensation and Punishment’ is a preferred approach because it can better balance the conflicting rights. In Taiwan, although the government has chosen the ‘Ex Post Compensation and Punishment’ approach, current civil/criminal procedural laws and practices afford little protection to online anonymous speakers. The plaintiff, who is allegedly harmed by the anonymous speech, can easily bring a “Strategic Lawsuit,” with the sole purpose of obtaining the identity of the online anonymous speaker. Consequently, this thesis suggests that, in order to better protect the freedom of anonymous speech, the legislators of Taiwan should refer to U.S. laws and practices and revise several provisions of Taiwan’s Code of Civil Procedure and Code of Criminal Procedure.

匿名言論

資訊隱私

匿名性

網路匿名言論

網路鬆綁效應

責任

網路實名制

策略性訴訟

網路服務提供者

網路內容提供者

個人資料保護法

Anonymous Speech

Information Privacy

Anonymity

Online Anonymous Speech

Online Disinhibition Effect

Liability

Real-Name Verification System

Strategic Lawsuit

Internet Service Provider

Internet Content Provider

Personal Data Protection Act