公務機關比對個人資料對資訊隱私權之可能影響 / Information Privacy Issues under the Data-matching Programs in Public Sector

王怡人, Wang, Yi-Ren

Unknown Date

隨著政府給付行政功能日益加重，公部門掌握個人資訊之機會與能力快速成長。以現今之資訊科技，各公務機關分別持有之檔案，可輕易在極短時間內經由傳輸、串連、比對而彙整為相當完整之個人資料檔，使得政府有機會成為社會上最龐大個人資料庫之擁有者。如能妥慎運用，不但可以提升行政效能，建立政府一體形象，且能積極實現人民權益，形成政府與人民雙贏。反之，漫無限制之資料比對則可能侵害人民之資訊隱私權。 所謂「資訊隱私權」係指個人可自行決定是否將自身資料公開或供特定使用之權利。我國大法官於2005年9月28日作出之釋字第603號解釋有完整之闡釋，指出其係受憲法第22條所保障之基本權利。然而憲法對其保障並非絕對，必要時，國家仍得基於公益之必要，在符合法律保留、法律明確及比例原則之條件下予以限制，但應在組織與程序上對於個人資料採行必要之防護措施。就公務機關執行個人資料比對業務而言，值得探討之處在於法律保留、法律明確原則是否落實，以及組織與程序上之防護措施是否妥適。 本論文以「歷史解釋」方法解析資訊隱私權之意義，以「比較法制」方法討論其憲法基礎，以及各國為保護此權利所制訂之資料比對法規。最後，經由「文獻分析」方法，整理學術論文、著作、法規、函釋及實務案例後，對我國公務機關比對個人資料之法制規範以及組織與程序提出建議。具體建議包括：於個資法中明定公務機關執行個人資料比對應盡之程序義務，對於資料之使用確實遵行合目的原則，儘可能以作用法為依據，不應僅憑組織法行之；參與比對之機關內部應設專責組織，推動「自我審查」機制，另於外部設督導單位，監督各機關比對業務之進行，同時藉重資訊科技協助正當程序之落實。

資訊隱私權

資料比對

information privacy

data matching

資訊隱私權保障與網路犯罪通訊監察法制

陳信郎, chen, hsin-lang

Unknown Date

本文架構共分五章： 第一章為緒論，旨在說明本論文之研究動機、問題意識、研究範圍、研究方法及架構說明，其中並說明網際網路發展之簡介、網際網路對資訊隱私權與犯罪偵查之影響。 第二章所欲討論者，乃資訊隱私權之發展與內涵。在本章中，首先就隱私權發展最早的美國，說明該國最高法院司法實務對於憲法層次隱私權概念建立與保障上，所做出的幾個重要性判決。之後再針對資訊隱私權的意義說明，並討論資訊隱私權的憲法爭議範圍，其中尤以憲法第四修正案的適用最為重要，故獨立討論該條之規範對象，並就該條中搜索的意義、實施搜索的實質原因與程序要件，及違反第四修正案之所產生的證據排除效果介紹之。次就資訊隱私權於我國憲法之依據及內涵，討論我國有關憲法層次的隱私權，在權利形成方法上，是否有全盤移植美國法制之必要，亦或針對我國憲法，提供資訊隱私權更明確的依據。第三部分則就侵害資訊隱私權之違憲審查，討論我國憲法有關侵害資訊隱私權，在抽象法律層次的違憲審查標準，及在具體案件中，是否有引進美國證據排除法則之必要？做為本此論文之後檢視成文法及具體案例之準則。 第三章則進一步討論我國網路犯罪之偵查實務，說明我國實務常見網路犯罪之類型，並舉出實際案例以供參考。第二部分則就目前網路犯罪偵查實務，試著從較為技術面的方向，簡略說明有關網路犯罪資訊的取得、犯罪者的追縱、證據的調查，其中有關證據的調查，則著重於通訊監察部分，至於常見有關搜索、扣押的討論，因與本文主題較不具關聯性，故省略不論。本章之目的，乃嘗試讓理論與實務有聯繫之機會，並說明我國在網路犯罪偵查方法上，有何困境之處。 第四章為本論文之主軸，在了解到我國網路犯罪偵查實務所面臨的困境後，本章首先就美國有關網路通訊監察法制，介紹該國憲法與司法實務在做出若干重要裁判後，立法者為提供更充分的保障，所特別制定的《電子通訊隱私權法》等法律，希望透過不同層次的資訊隱私權侵害，提供不同層次的程序保障，來平衡國家安全、犯罪偵防與隱私權保障。然而由於網路通訊監察的特殊性，使得FBI於2000年3月所發展出的新型網路監聽工具：Carnivore，引發大眾甚多疑慮，該國就Carnivore系統之運作依據及合法性，有著激烈的辯論，本文嘗試整理歸納正反意見，並提供本文觀點。在還來不及檢討Carnivore系統之合法性時，九一一事件促使《愛國者法》通過，賦予政府機關實施網路通訊監察時更大的權力。科技的進步，無疑使得網路使用者資訊隱私權受到更大的限制，本文也嘗議建議未來最高法院應改以結果取向的解釋方法來處理新型監聽工具所引發的憲法爭議，如此才能兼顧科技發展與人權保障。 在了解到美國有關網路通訊監察法制後，第五章則針對從資訊隱私權保障面向，重新檢討現行通訊保障及監察法規定之妥適性，並就我國未來針對網路發展新型監聽工具時，所應採行之建制原則，及通訊保障及監察法針對網際網路時代，所應做的修正，提出若干建議，並以之代結論。

資訊隱私權

網路犯罪

網路通訊監察

愛國者法

ECPA

個人資料蒐集於刑事偵查之爭議 / The controversy over the collection of personal data in criminal investigation

黃鈺雯

Unknown Date

司法警察（官）於偵查犯罪時，為了蒐集相關證據或特定犯罪嫌疑人之位置而進行各式之個人資料蒐集，若賦予司法警察（官）可隨意進行此種偵查作為之權限，確可加強偵查之效率，但人民之行動軌跡、通話記錄及各式記錄（如病歷紀錄及金融記錄等）便會因此運作而無所遁形。對此部分，本文將把蒐集個人資料影響最鉅之監視科技區分為「動態監視科技」與「靜態監視科技」，先介紹其運作之樣態及外國法制之處理方式，再針對我國法制可容納之規範予以探究，最後提出修法之建議。 在【第二章】時，本文先介紹何謂「資訊自決權」及「資訊隱私權」，並試著提出德國及美國之法制對其之處理模式，亦就我國大法官解釋對此之見解予以闡釋。本文以為隱私權所保障者是「人」而不是「地方」，為維護個人主體性與人格自由發展，個人於公共場域中仍應有一定程度之不受侵擾之自由。無論定位為「資訊隱私權」或「資訊自主權」均無太大之差別，均應受憲法之保障。而本文中所介紹之各種蒐集個人資料之途徑均已侵害被監視人之資訊隱私權或資訊自決權，自屬憲法欲保障之基本權，而有探究之必要。然按大法官解釋第443號之旨，並非一切自由及權利均無分軒輊受憲法毫無差別之保障，而就隱私權部分，其應屬相對法律保留之範疇，僅須於法律明文規定或具授權明確之規範中處理即可，以下章節即以圍繞著其於法律層次之處理模式出發。 在【第三章】及【第四章】中，即係針對本文欲討論之蒐集個人資料於德國與美國法制應如何處理作介紹，並適度提出本文見解。就「GPS」監視系統部分，美國實務見解認警察利用衛星定位系統並非僅追蹤被監視人從某地至他地而已，若已係連續一個月追蹤其一天24小時之行動，已可完全掌握其於此一個月中之所有行動軌跡，於社會觀感上已屬侵害其「合理隱私期待」，而執法機關對此一資訊進行衛星定位監控，已將此隱私期待完全侵損，故其以為應採法官保留原則。而從德國法制可知，裝設GPS定位裝置於刑事訴訟法應屬可行。惟須注意僅可使用於偵查犯罪，而不得適用於預防犯罪。且其適用之立法模式應屬法官保留。 就「調取通聯記錄」部分，美國實務見解之看法，認國家機關調取通聯記錄，人民對此並無合理隱私期待，故並不構成憲法意義下之搜索，自無須令狀。而後，於電子通訊隱私權法中，其對於調取通聯記錄之容許性相當寬鬆，執法機關只要證明「安裝與使用電話撥號紀錄器或電話追蹤裝置很可能得到與正在進行之調查有關之資訊」之「關聯性」，即可取得法院令狀，且幾乎均無被駁回之可能性。德國法對調取通聯記錄之合法性控制，亦係要求應由法官核發令狀。且對於核發 之標準，把關甚嚴。須係重要意義之犯罪，或是非以調取通聯犯罪無法進行偵查 之終端設備犯罪。 就「調取犯罪前科記錄」、「調取病歷紀錄」及「調取金融記錄」部分，本文先以個人資料保護法出發，探究上開資料是否屬該法所稱之「敏感性資料」，若屬之，則對其之保障密度應予提高；若非屬之，對其之保障密度自無須如此嚴密。 本文就試著做出修法之建議，試擬關於「GPS」定位系統及「調取通聯記錄」之發動依據。並就調取資料部分，於刑事訴訟法予以概括立法，區分為敏感度不同之資料類型，並給予不同之保障密度。本文擬出建議修法之條文及立法理由，目的在於力求偵查犯罪效率與人民權利保障之均衡，以達到法治國原則之要求。若能讓人民了解國家乃係為了偵查犯罪，方必須侵害人民之權利，且其侵害權利之範圍亦有其界限。人民面對國家蒐集其個人資料之襲擊，亦可免於恐懼。國家蒐集個人資料時若未有適用之合法性控制，國家機關就如同「老大哥」般以對人民的生活登堂入室，也將使人民如同身處楚門的世界般而不自知，此非吾人所樂見。

衛星定位系統

調取通聯記錄

資訊隱私權

雲端運算法律問題之研究-以教育雲為例 / The legal issues of cloud computing：a case study of education cloud

鍾賢斌

Unknown Date

雲端運算的概念是Google執行長Eric Schmidt於2007年所提出，目前並無一個統一的說法。一般認為，雲端運算服務是藉由網路連線從遠端取得服務的資訊服務型態。在本地端資源有限的情況下，可透過網路取得遠方的運算資源。雲端運算對教育的影響，則是教育雲(Education Cloud)概念的產生。所謂教育雲，是應用雲端運算無限延展軟、硬體與儲存設備，把書包、教材、課堂測驗等對學生學習效果有顯著幫助的資訊放在雲端資料中心處理，透過雲端桌面服務的方式傳送給教師與學生。 本文以為，不論教育雲是由政府或私人部門所建置，將來勢必面臨相關法律問題，例如國際管轄權及準據法、民刑事責任之歸屬、資訊隱私權與個人資料保護、著作權法、公平交易法等問題，然而國內迄今仍欠缺相關探討文獻及案例，十分可惜，這也是本文的研究動機所在。本文嘗試提供個人淺見，期望能對雲端運算法律問題的探討貢獻一份心力。 本文第二章先就雲端運算的概念及分類作一簡單說明。其次，為了搶佔市場商機，許多IT廠商開始投入雲端運算的發展，並競相推出各式各樣的雲端運算產品和服務。本文將簡介一些和雲端運算相關的廠商及產品，讓讀者對雲端運算的發展現況及商業模式有初步了解。 本文第三章在說明教育雲的概念及發展現況，包含世界各國及我國教育雲的發展現況。本文所稱的教育雲，包含一切使用雲端運算技術的教育服務在內，包含電子教科書、數位學習、未來教室、雲端資料庫…等，不限於名稱上有標示教育雲的教育服務。 本文第四章在討論教育雲所可能面臨的相關法律問題，由於目前尚無具體案例事實發生，因此本文會先假設幾個案例，再藉由案例去討論教育雲的相關法律問題，讓讀者能簡單了解。隨著教育雲的持續發展，本文所假設的幾個案例將來都有可能發生，本文嘗試拋磚引玉，對相關法律爭議提出個人淺見，希望引發社會對雲端運算法律問題的討論。 本文第五章在討論雲端運算時代下的隱私權及個人資料保護。從網際網路時代走向雲端運算的發展趨勢，個人資訊隱私權被侵害的型態，或個人對隱私權的合理期待是否有別於過去，勢必會成為受關注的議題。在雲端運算時代，雖然使用者在網路上公私領域的界限逐漸模糊，使得對所謂合理隱私權的期待保護程度有所爭議。本文以為，回歸到最根本隱私權的核心概念，確保不受監視的個人自由，以保護個人的意志自主與根本尊嚴，屬於憲法保障的個人基本權利。另外本文也討論世界各國及我國對於個人資料保護的規定，及教育雲所面臨的資訊安全與個人資料保護問題。 為因應我國雲端運算產業未來發展，本文在第六章會檢討現行法規，並提出若干修法意見，供政策制定者、立法者做為將來修法參考。第七章則提出本文結論。

雲端運算

教育雲

法律問題

資訊隱私權

個人資料

著作權

求職者個人資訊保障之研究 / A Study on the Protection of Job Applicants’ Informational Privacy

詹岱蓉, Jan, Day Rong

Unknown Date

雇主在招募過程中，為了提高企業的生產力或行政組織的效率，防免契約、侵權責任的發生，必須謹慎挑選人才，因此通常會以詢問或檢測（如人格測驗）盡量蒐集與求職者相關的資訊，來遴選合適員工。但是，雇主得要求應徵者揭露多少資訊？求職者在雇主的要求下，為了提高獲聘的機會，是否只能拋棄個人的隱私利益？這些疑惑均值得思考，從中也顯現出了雇主與求職者間利益衝突的問題。 關於求職者個人資訊的保障，我國目前的基本規範為「個人資料保護法（簡稱個資法）」及「就業服務法（簡稱就服法）第5條第2項第2款」。雇主如欲蒐集求職者的個資，除必須符合個資法的特定條款外，假若涉及隱私資訊，尚須通過就服法第5條第2項第2款「就業所需」的檢驗。 在這看似簡明的基本架構中，事實上存有許多令人困惑的地方，以個資法特定條款的蒐集事由為例，如：「執行法定職務必要範圍內」的意涵具體所指為何；「與當事人有類似契約之關係」是否包含雇主可請求當事人以外的第三人（如：前雇主）協助為履歷調查；以及「經當事人同意」在勞動關係不對等時其有效性的爭議等。而就服法第5條第2項第2款最讓人頭痛之處則為應如何詮釋「就業所需」。是以，我們須要更多的實務及學說見解來填充個資法與就服法勾勒出的雇主與求職者間利益權衡框架。 本文將先探討雇主通常是基於什麼考量而對求職者為哪些詢問及檢測；而應徵者面對這些詢問及檢測往往會有什麼憂慮。接著借鏡美國法制，剖析我國針對求職者個人資訊保障的判準，並關注在個資法修正與就服法第5條第2項第2款增訂後，過往的實務見解是否依舊恰當或有所革新。最後比較美國與我國法制的異同，提出檢討與建議，期望能在保障求職者個資的同時，也兼顧到雇主的利益。 / In the hiring process, employers need to select workers cautiously in order to improve the productivity and efficiency of their enterprises, and to avoid the potential liability caused by reckless employees. To screen out the best possible candidate for a particular job, employers usually wish to gather as much information about job applicants as possible by making oral or written inquiries, or conducting different kinds of employment tests (such as personality tests). However, what kind of information can employers legally require job applicants to disclose? Do job applicants have no choice but to relinquish their personal privacy if they want to be employed? To answer these questions, we need to carefully balance the competing interests between employers and job applicants. In Taiwan, “Personal Information Protection Act (PIPA)” and “Employment Service Act (ESA) §5II②” form the basic framework of protecting job applicants’ informational privacy. Employers need to obey specific provisions of the PIPA before they can collect job applicants’ information; and if private information is to be collected, employers should further confirm their collecting actions meet the “job-related” requirement specified by §5II② of the ESA. This legal framework seems simple and clear, but there are many questions remain to be answered. For example, what is the exact scope of the term “within the scope of job functions provided by laws and regulations” of the PIPA? Does the condition “quasi-contractual relationship between the Parties” specified in PIPA allow employers to contact third parties (such as job applicants’ former employers) and conduct a reference check? Further, since there is a serious power-imbalanced problem in the employment relationship, can we truly expect the job applicants to offer a free and valid consent when they are requested to provide their personal information? Last but not the least, what is the precise meaning of the term “job-related” of §5II② of the ESA? More studies and court judgments are needed to delineate the boundaries between what employers are entitled to know and what job applicants should be able to keep private. This thesis begins with analyzing why employers need/hope to gather information about job applicants and what screening tools they prefer to use. It then discusses job applicants’ concerns when they face employers’ inquiries or employment tests. By comparing relevant U.S. legislation and judicial decisions regarding the protection of job applicants’ informational privacy, this thesis examines the standards used in Taiwan’s case-law when balancing employers’ and job applicants’ interests. Special attentions are paid to the issue whether these standards are still appropriate or should be updated in light of the latest amendments to the PIPA and ESA. Finally, through concrete cases, this thesis tries to provide practical recommendations on how we can better protect job applicants’ privacy while respecting employers’ legitimate interests in knowing their future employees.

求職者

隱私權

資訊隱私權

就業所需

個資法

反歧視法

job applicant

privacy

informational privacy

job-related

personal information protection act

anti-discrimination law

公務機關之間傳輸個人資料保護規範之研究－以我國、美國及英國法為中心 / A Comparative Study of Regulations for the Protection of Personal Data Transmitted between Government Agencies in Taiwan, the U.S. and the U.K.

林美婉, Lin, Mei Wan

Unknown Date

政府利用公權力掌握之個人資訊包羅萬象，舉凡姓名、生日、身分證字號、家庭、教育、職業等。科技進步與網際網路發達，使原本散置各處之資料，可以迅速連結、複製、處理、利用；而為了增加行政效率與減少成本，機關透過網路提供公眾服務日益頻繁，藉由傳輸共用個人資料等情況已漸成常態。這些改變雖然對政府與民眾帶來利益，但是也伴隨許多挑戰，尤其當數機關必須共用資訊時，將使管理風險更添複雜與難度，一旦過程未加妥善管制，遭人竊取、竄改、滅失或洩露，不僅當事人隱私受損，也嚴重傷害政府威信。因此，凡持有個人資料的政府機關，均必須建立適當行政、技術與實體防護措施，以確保資料安全與隱密，避免任何可能危及資料真實之威脅與機會，而造成個人人格與公平之侵害。 　　隨著全球經濟相互連結以及網路普及，個人資料保護如今已是國際事務，這個趨勢顯現在愈來愈多的國家法律與跨國條款如OECD、歐盟、APEC等國際組織規範。而在先進國家中，美國與英國關於資訊隱私法制發展有其不同歷史背景，目前美國聯邦機關持有使用個人資料必須遵循的主要法規為隱私法、電腦比對與隱私保護法、電子化政府法、聯邦資訊安全管理法，以及預算管理局發布的相關指導方針；英國政府則必須遵守人權法與歐盟指令架構所制定的資料保護法，並且受獨立資訊官監督審核。此外，為了增加效率，減少錯誤、詐欺及降低個別系統維護成本，公務機關之間或不同層級政府所持有之個人資料流用有其必要性，故二國在資料傳輸實務上亦有特殊規定或作業規則。相較之下，我國2012年10月1日始施行的「個人資料保護法」對於公部門間傳輸個人資料之情形並無具體規定，機關內外監督機制亦付之闕如，使個人資料遭不當使用與揭露之風險提高。 為了保障個人資訊隱私權，同時使公務機關之間傳輸利用個人資訊得以增進公共服務而不違反當事人權益，本研究建議立法或決策者可參酌美國與英國法制經驗，明定法務部負責研擬詳細實施規則與程序以供各機關傳輸個人資料之遵循，減少機關資訊流用莫衷一是的情況；而為保證個人資訊受到適當保護，除了事先獲得當事人同意外，機關進行資料共用之前，應由專業小組審核，至於考慮採取的相關重要措施尚有：（1）建置由政策、程序、人力與設備資源所組成之個人資訊管理系統（PIMS），並使成為整體資訊管理基礎設施的一部分；（2）指派高階官員負責施行及維護安全控制事項；（3）教育訓練人員增加風險意識，塑造良好組織文化；（4）諮詢利害關係人，界定共用資料範圍、目的與法律依據；（5）實施隱私衝擊評估（PIA），指出對個人隱私的潛在威脅並分析風險減緩替代方案；（6）簽定正式書面契約，詳述相關權利與義務；（7）執行內外稽核，監督法規遵循情況，提升機關決策透明、誠信與責任。 關鍵詞：個人資料保護、隱私權、資訊隱私、資料傳輸、資料共用 / Governments have the power to hold a variety of personal information about individuals, such as the name, date of birth, I.D. Card number, family, education, and occupation. Due to advanced technology and the use of the Internet, personal data stored in different places can be connected, copied, processed, and used immediately. It is relatively common for government agencies to provide people with services online as well as transmit or share individual information to improve efficiency and reduce bureaucratic costs. These changes clearly deliver great benefits for governments and for the public, but they also bring new challenges. Specifically, managing risks around sharing information can sometimes become complicated and difficult when more than one agency is involved. If the government agency which keeps personal information cannot prevent it from being stolen, altered, damaged, destroyed or disclosed, it can seriously erode personal privacy and people’s trust in the government. Therefore, each agency that maintains personal data should establish appropriate administrative, technical, and physical safeguards to insure the security and confidentiality of data and to protect against any anticipated threats or hazards to the integrity which could result in substantial harm on personality and fairness to any individual . As the global economy has become more interconnected and the Internet ubiquitous, personal data protection is by now a truly international matter. The trend is fully demonstrated by the growing number of national laws, supranational provisions, and international regulations, such as the OECD, the EU or the APEC rules. Among those developed countries, both the U.S. and the U.K. have their historical contexts of developing legal framework for information privacy. The U.S. Federal agency use of personal information is governed primarily by the Privacy Act of 1974, the Computer Matching and Privacy Protection Act of 1988, the E-Government Act of 2002 , the Federal Information Security Management Act of 2002, and related guidance periodically issued by OMB. The U.K. government has to comply with the Human Rights Act and the Data Protection Act of 1998 which implemented Directive 95/46/EC. Its use of individual data is overseen and audited by the independent Information Commissioner. Further, because interagency data sharing is necessary to make government more efficient by reducing the error, fraud, and costs associated with maintaining a segregated system, both countries have made specific rules or code of practice for handling the transmission of information among different agencies and levels of government. By contrast, Taiwan Personal Information Protection Act of 2010 which finally came into force on 1 October 2012 contains no detailed and clear provisions for data transmitted between government agencies. Moreover, there are also no internal or external oversight of data sharing practices in the public sector. These problems will increase the risk of inappropriate use and disclosure of personal data. To protect individual information privacy rights and ensure that government agencies can enhance public services by data sharing without unreasonably impinging on data subjects’ interests, I recommend that law makers draw on legal experiences of the U.S. and the U.K., and specify that the Ministry of Justice has a statutory duty to prescribe detailed regulations and procedures for interagency data transmission. This could remove the fog of confusion about the circumstances in which personal information may be shared. Also, besides obtaining the prior consent of the data subject and conducting auditing by a professional task force before implementing interagency data sharing program, some important measures as follows should be taken: (1) Establish a Personal Information Management System which is composed of the policies, procedures, human, and machine resources to make it as part of an overall information management infrastructure; (2) Appoint accountable senior officials to undertake and maintain the implementation of security controls; (3) Educate and train personnel to raise risk awareness and create a good organizational culture; (4) Consult interested parties and define the scope, objective, and legal basis for data sharing; (5) Conduct privacy impact assessments to identify potential threats to individual privacy and analyze risk mitigation alternatives; (6) Establish a formal written agreement to clarify mutual rights and obligations; (7) Enforce internal as well as external auditing to monitor their compliance with data protection regulations and promote transparency, integrity and accountability of agency decisions. Key Words: personal data protection, privacy rights, information privacy, data transmission, data sharing

個人資料保護

隱私權

資訊隱私

資料傳輸

資料共用

personal data protection

privacy rights

information privacy

data transmission

data sharing

從生物辨識應用探討隱私權之保護 / The privacy protection issues of biometric application

游璿樺, Yu, Hsuan Hua

Unknown Date

自從美國911恐怖攻擊事件後，生物辨識技術受到世界各國重視，使得生物辨識應用大鳴大放，涵蓋範圍非常廣泛，從國家的入出境管理、國民身分證，到公司或住家的門禁管理、安全監控，乃至於個人身分確認，如電腦開機登錄、隨身碟資料加密。然而生物辨識應用，會涉及個人生物特徵之蒐集與相關個人資料之運用，一方面為生活上帶來便利，另一面也無聲無息為個人隱私帶來衝擊與威脅。本文從生物辨識技術之研究，藉由分析指紋辨識、臉型辨識及DNA辨識之應用所引發的隱私權問題，以及相關法令規範之探討，最後從法制面、政策面與執行面上提供建議，希望藉由完備的法令規範，評估各種應用可能引發之隱私爭議，建立完善的管理制度與監督機制，將生物辨識應用之隱私侵害與疑慮降到最低，得以享受生物辨識應用所帶來的安全性與方便性。

生物辨識

生物特徵

資訊隱私權

隱私權

指紋辨識

臉型辨識

DNA辨識

biometrics

biometric characteristic

information privacy

privacy

fingerprint recognition

face recognition

DNA recognition

電子化/網路化政府資訊內容隱私權之研究

紀佳伶

Unknown Date

電子化/網路化政府是政府再造中非常重要的一項工作，企圖藉由政府中各項資訊系統的使用，使行政效率提昇及行政運作更為便利，在資訊科技引進政府公部門的同時，也產生了許多問題，如資訊貧富差距、資訊不對稱以及資訊內容隱私權的侵害等問題，其中後者的嚴重性及廣泛性更是前二項所不能比擬，當政府結合各項行政資訊系統以快速、便捷的提供服務時，在運用關於民眾個人的資訊及資料上，可能產生資訊隱私權侵害的情形。這是由於政府為了達到效率與行政便利、公共利益、國家安全或是資訊公開等行政目標、價值，運用各項新興行政資訊系統時，忽略了考量其他價值所產生的問題。 以往在個人資訊隱私權侵害的案例上，往往是私人間的問題，私人對私人的侵害，但事實上此種侵害可分為兩種形式，一為私人間的侵害，另一則為政府對人民的侵害，後者的範圍及情形往往更為嚴重。因此本文擬將焦點置於國家與政府機關，探討資訊隱私權的意涵、起源、保障基礎，針對我國在推動電子化/網路化政府所欲追求的目標中，有哪些與民眾資訊隱私權相互衝突，其衝突點為何，進行深入分析，並嘗試運用四項政策工具—技術、法律、社會及文化，建構一個安全的資訊隱私環境。首先探討此四項政策工具的理論性內涵，並實際對照目前我國政府行政機關運用這四項政策工具的情形，有何缺失，並嘗試提出改善建議。最後並以行政院研考會規劃推動的國民卡計畫為例，探討政府實際對人民資訊隱私權侵害的可能性，及如何運用這些政策工具來降低侵害的產生。因此本研究的主要研究問題即為： 1、政府在採行業務電腦化，並進一步拓展為電子化/網路化政府時，對人民資訊隱私權侵害的可能性及型態為何？ 2、人民資訊隱私權與政府引進資訊科技從事公務運作所追求的行政價值間衝突為何？ 3、如何運用四項政策工具—技術、法律、文化及社會—來調和並建構健全的資訊隱私環境？ 在主要問題之下，次要研究問題則有： 1、資訊隱私權的意涵為何？ 2、資訊隱私權的保障基礎為何？ 3、我國政府行政機關實際運用四項政策工具保障民眾資訊隱私權的現況如何？ 各章節內容要點概說如下： 第壹章　緒論：旨在闡述本研究之研究動機與目的、研究範圍與限制、研究方法與流程、研究架構及相關重要名詞釋義。 第貳章　資訊隱私權與行政價值間的衝擊：其中先對資訊隱私權此一概念從事文獻檢閱，瞭解其目前學術及實務發展狀況，之後探討其意涵、保障基礎、侵害型態等，最後並針對政府機關引進資訊科技時所欲追求的目標、價值與資訊隱私權間的衝突進行深入分析。 第參章至第伍章屬於本研究的主要架構，分別探討建構健全資訊隱私環境的四項政策工具。 第參章　建構安全資訊隱私環境之技術面保障：探討保障資訊隱私的可行技術，主要分三部分來說明，使用者認證機制與防火牆、加密技術以及數位簽章與公開金鑰認證機構。 第肆章　建構安全資訊隱私環境之法律面保障：探討相關的法律規定，主要分為二部分，分別為各國相關法律規範及國際組織保障新趨勢。 第伍章　建構安全資訊隱私環境之其他層面保障：主要探討文化面及社會面的保障，文化面即公務人員資訊倫理文化之培養；社會面則為外部保障監督機制的設置。 第陸章　我國安全資訊隱私環境之現況分析：針對上述三章的討論內容，分析我國實際應用情形，並指出其問題所在。 第柒章　個案分析：以國民卡專案計畫為例，針對其所引發的一些資訊隱私權爭議進行分析，並且嘗試提出運用上述四項政策工具加以改善的建議。 第捌章　結論與建議：內容包含研究發現、研究建議以及後續研究建議等。

電子化政府

網路化政府

資訊內容隱私權

資訊隱私權

隱私權

資訊科技

國民身份識別證卡合一

國民卡

由病人資訊隱私權觀點論我國全民電子病歷政策 / An analysis for Taiwan national electronic medical record system: from the perspective of patients' information privacy

劉汗曦, Liu, Han Hsi Indy

Unknown Date

我國全民健康保險制度自2004年1月1日開始使用健保IC卡後，醫療資訊電子化的趨勢，某種意義上來說，已經如凱撒（Gaius Julius Caesar）渡過盧比孔河（Crossing the Ribucon）時所說：「骰子已經投下（the die is cast）」一般，只能前進不能後退了！ 時至今日，電腦、網路連線、憑證簽章已經成為任何一間醫療院所從事醫療行為時的開門七件事之一，民眾用健保IC掛號、醫師用電腦下診斷作病歷、行政人員用健保VPN申報費用等，皆成為醫療實務中的標準模式。而我國衛生署也信心滿滿地希望能於2011年達到全國80%醫院實施電子病歷、60%醫院可為院際交換互動之目標。在此「全民電子病歷」旋將施行之當下，相關隱私權之配套對於病人之保障是否足夠，即成為該政策是否受到國人支持之關鍵所在。 本研究透過整理衛生署自2000年迄今所有與電子病歷相關之專案計畫，以及與電子病歷領域，產、官、學界共9位受訪者進行深度訪談後發現，我國現行電子病歷政策推廣有架構、標準、法制、補助、動機等五大問題，其中關於法制規範及隱私保障不足所造成的民眾疑慮與醫事人員躊躇，已成為電子病歷發展上的一大阻礙，而其中計畫推行的電子病歷索引交互中心，更可能對於病人資訊隱私權產生重大危害與影響。另一方面，若回頭省視司法院大法官釋字第603號解釋，大法官們其實已對涵蓋電子病歷等個人資料之資訊隱私權，有過相當明確的闡釋。其所強調「個人自主控制其個人資料之資訊隱私權」，若能配合2010年5月26日修正通過但尚未施行之個人資料保護法，並非不能為電子病歷提供一個基本、框架式的法律基礎。 在此前提之下，本文提出「電子病歷自主控制機制」之概念，主張在現行憲法資訊隱私權之精神下，應該讓病人在充分瞭解到其權益後，得以選擇「是否將病歷電子化」、「電子病歷儲存場所」、「是否放於交換區」、「是否留存索引紀錄」、「是否允目的外利用」，並能透過管道隨時查詢其「電子病歷使用紀錄」。本文並認為，藉由「推力理論（Nudge）」中「自動加入（Opt-in）」與「主動加入（Opt-out）」等「預設值（Default）」概念之運用，資訊科技中「隱私偏好選項（Privacy Preference）」與「電子病歷使用紀錄明細」等系統之設立與使用，以及國際相關隱私及安全規範之借鏡，與我國健保IC卡推行之在地經驗，或許能夠解決論者對於電子病歷自主控制機制，在參與度、決定能力、行政成本、法規及技術架構、多元價值上的各項疑慮與爭論，並進而證明該構想之初步可行性。 / After implementation of the National Health Insurance (NHI) IC Card on January 1, 2004, the trend of e-health, including enforcing a national electronic medical record (EMR) system in Taiwan, is reminiscent of Julius Caesar’s words when he crossed the Rubicon, “The die is cast.” The return point has been passed; there is no return. Nowadays in Taiwan it has become routine in hospitals and clinics for medical practitioners to use a digital authentication or signature transmitted via a computer scan of an NHI IC card to register patients for diagnosis and treatment, and for administrtive staff using Virtual Private Network (VPN) to file fee claims. Furthermore, the Taiwan Department of Health has announced its implementation of the EMR system and has pledged that, in 2011, 80 percent of hospitals and clinics will start to use a more comprehensive EMR system and 60 percent of hospitals will be able to exchange EMRs. However, while Taiwan’s government is very proud and eager to enforce the EMR system, an increasing number of people doubt that adequate regulations have been put in place to protect against the violation of patients’ information privacy rights. This paper first reviews all former DOH projects related to EMRs, and interviews nine industry, government, and academic professionals who have EMR experience. It next argues that the current laws and regulations in Taiwan cannot provide sufficient protection of patients’ privacy rights, especially with regard to information privacy and autonomy. This is a cause for concern for patients and practitioners who are leery of further EMR implementation or development. This paper proposes a controlling mechanism for patients’ autonomy that will empower patients to determine if they want to electronize their medical records, where they will store their EMRs, and if it is in their best interests to set up an index and allow the transmission of additional EMRs. Moreover, patients will have unrestricted access to a log of all users and uses made of their EMRs and be able to set up their own privacy preferences with opt-in and opt-out choices. This paper concludes that the controlling mechanism for patients’ autonomy will solve the current concerns about the implemenation of a national EMR system and improve patients’ ability to enforce their information privacy and information autonomy rights.

全民電子病歷

資訊隱私權

資訊自決權

電子病歷自主控制機制

隱私偏好選項

Information Privacy

Information Autonomy

Privacy Preference

網路企業自律機制對消費者信任影響之研究：隱私保護及交易安全認知觀點

潘兆娟, Pan,JJ,joujuan

Unknown Date

本研究之目的在於探究何謂完整之網路企業自律機制？目前廣為採用之信賴標章、規範承諾、網路評分等網路企業自律機制，何者能夠得到消費者信任？網路企業如何透過不同的自律機制，使得消費者認知其交易安全與資訊隱私已被保護？網路消費者如何經由認知其交易安全及資訊隱私已被保護，進而產生其對於網路企業之信任?信賴標章、規範承諾、網路評比等網路企業之自律機制，何者較能夠得到網路消費者的信任？ 過去研究極少著墨於網路自律機制對於消費者信任之影響，本研究除了希望對於缺乏資源及品牌聲譽之網路企業有所啟發外，也探討網路企業在既有的法律、管理及技術之環境架構下，應如何取得消費者信心，並以文獻探討、問卷分析及個案討論與分析等方法來驗證網路自律機制對於消費者信任之影響。 在文獻探討上，本研究針對國內外學者對保護資訊隱私及交易安全之制度及作法、企業自律機制之規範及作法、消費者信心等相關研究加以歸納，並輔以國內外個案研究，一方面摘要學者對以上議題的研究成果與看法，一方面彙整相關文獻，進而發展出本研究相關之研究假設。並從文獻彙整摘要中，提出研究架構及假設，並就各構面及假設之變數賦予操作型定義，選定適宜之統計方法予以檢測，且根據前測問卷之結果，於全省各地進行717份之問卷調查及回收作業。回收之問卷均透過檢查、編碼、整理，並進行樣本特徵、信度與效度分析，進一步驗證及解釋各研究假設。 除了定量分析外，本研究亦由十個與問卷相關的個案中，研究該些網路企業之營運模式、產品、服務及交易流程，了解其自律機制與消費者保護之作法，進而與統計分析相關的資料做交叉分析，並對應先前之研究假設，以進一步分析網路企業自律機制、消費者保護構面與消費者信任之間的關係。 本研究結果包含三部份，分別為自律機制(信賴標章、承諾規範、網路評比)與消費者保護(資訊隱私保護認知、交易安全保護認知)之關係、消費者保護與消費者信任之關係、自律機制與消費者信任之關係；最後提出五項管理意涵，包括網路企業得到消費者信任之重要因素及關鍵因素、網路企業如何建立專屬的自律機制及消費者保護機制、進而發展值得信賴的網路購物環境。 / The objective of this article is to study on what a complete self-regulatory mechanism of an internet business is, The article also explore if the existing online self-regulatory mechanisms including trustmarks, commitments and rankings are able to get trust of consumers, in order to let consumers recognize their personal data and security of online transactions being protected, thus consumers are able to trust the internet business they deal with? Which of the above existing self-regulatory mechanisms is more capable to get trust of consumers? Even though limited literatures focus on the impact of online self-regulatory mechanisms to trust of consumers, by methodology of literature reviews, quantitative research and case studies, this article not only contributes to internet businesses with limited resources and brand awareness, but also contributed to those internet businesses, under a framework of regulations, management and technology, willing to get trust of consumers. There are also hypotheses to testify relationships between online self-regulatory mechanisms, consumer protection (of personal data and security for online transactions) and trust of consumers. After reviews on literatures of various self-regulatory mechanisms, internet data privacy, transactional security, consumer protection, trust of consumers, this article proposes a research framework including 3 main hypotheses, 3 independent variables, 2 intermediary variables, 1 dependent variables and their operational model. To testify the hypotheses, this article collected 717 samples of survey around the island and 10 case studies. Utilizing multiple regressions and related statistics analyses, most of the hypotheses are supported. Comparing with 3 dimensions of transactional process, self-regulatory mechanisms and consumer protection, 10 cases are found similar to the testing result of hypotheses, but also remained spaces of improvement. At last, this article concludes with 5 managerial implications, including key successful factors and critical factors to get trust of online consumers, how to build a proprietary self-regulatory and a consumer protection mechanisms, thus to set up a complete trustworthy online shopping environment.

網路企業

自律機制

信賴標章

承諾規範

網路評比

資訊隱私保護

交易安全

消費者信任

internet business

self-regulatory

trustmark

commitment

ranking

internet privacy

online transactional security

consumer trust