壹、國際個資保護發展趨勢
  ★ 各國隱私法規與個資保護要求簡介
    ◆ 雖然隱私的維護要求並沒有國界之分，但各國對於隱私維護所制訂的法規卻有所不同。
    ◆ 以歐盟為例，它採用了廣泛性的一般適用原則，但歐盟各國仍然保有其自主彈性的空間，可依據本身的國情與民眾的期待，實施所需的個人資料保護作法，以達成歐盟對於隱私維護的精神。
    ◆ 美國，則是以不同的產業要求作為區分，不同的產業都有其所屬行業要求的法規，並沒有非常明確的國家法律來要求所有組織都要遵守才行。
    ◆ 至於加拿大和澳洲，其個人資料保護是由各個產業發展出必須要遵守的一套標準，然後再交由隱私的專責機構（資訊隱私委員會）來做統一監督，確保隱私維護與個資保護的相關規定，能
      夠在所有的行業中都予以落實。    
  ★ OECD的隱私保護原則
      在1980年，由美國、日本和歐洲國家所組成的經濟合作與發展組織(OECD），公布了一項名為保護隱私與跨境傳輸個人資料的隱私指導原則，成為了世界各國最廣泛認可的實務參考，同時也受到美
      國聯邦貿易委員會（FTC）的支持，它提出了以為制定隱私保護政策時的參考。
   1.限制蒐集原則：強調個人資料的蒐集應受到限制，並且要在公平合法的情況下被取得，同時以適當的方式來取得當事人的同意。
   2.資料品質原則：個人資料的內容應與蒐集的目的有關，或是符合其使用目的而產生的必要性，個人資料的內容必須確保正確與完整性，並且及時地更新。 
   3.目的明確原則：個人資料的蒐集目的，必須在開始蒐集時即明確指出，隨後在利用這些個人資料時，也必須限制在目的之內，日後若需要變更時，更要明確指出其變更後的利用目的為何。
   4.利用限制原則：個人資料不應在指定目的之外被揭露或利用，除非已事先獲得當事人的同意或有相關法律作為依據。
   5.安全措施原則：針對個人資料可能發生遺失、不當存取、使用、修改、損毀及揭露的風險，應採取相對適當的安全控制措施，以降低可能的風險。
   6.公開原則：對於個人資料的發展、實務和政策的制定，應依據公開的原則來進行，針對個人資料持有的種類和使用目的，以及資料控管者的連絡方式，應公開並且易於讓當事人知悉。
   7.個人參與原則：個人資料的當事人，應保有以下的權利：
     (a)有權利向資料控管者或持有之組織，確認是否保有和其有關的個人資料；
     (b)在合理的時間和費用範圍內，以合理的方式和可了解的形式，向組織查詢和其有關的個人資料；
     (c)針對所提出的查詢或主張的權利若遭到拒絕時，可以提出異議要求說明；
     (d)若所提出的異議成立時，可要求組織刪除、變更、修改、補充其個人資料。
   8.責任原則：個資的控管者必須負起相關責任，並要求落實以上提到的各項隱私保護原則。
 ★ APEC的隱私保護綱領 
   對亞太地區而言，於1989年成立的亞太經濟合作組織，則是扮演了重要的經濟與文化交流的推手，針對隱私維護與個人資料保護的要求，在2003年所成立的隱私保護小組也致力於此項議題的發展，並
   於2004年11月正式通過了隱私保護綱領（APEC Privacy Framework），包含了以下九項的隱私保護原則。
  1.損害避免原則：針對當事人對於其個人資料的合理期待，針對可能損及當事人權益的風  險，採取適當的風險處理措施以避免損害。
  2.告知原則：在蒐集個人資料時，應告知當事人被蒐集的目的、資料類型、蒐集者的聯絡方式與當事人可主張的權利。
  3.限制蒐集原則：個人資料的蒐集應與被告知的目的相關，要求採取公正的方式進行，並且限制其所蒐集的範圍。
  4.利用原則：個人資料的利用應獲得當事人的同意，並且僅限於當初所蒐集的目的範圍內，不可任意作為其他的用途。
  5.選擇原則：當事人應被提供可選擇的權利，能夠針對其個人資料的蒐集、處理和揭露，主張其個人的意願和選擇。
  6.完整原則：個人資料務必確保其正確與完整，並且要持續地更新以維護當事人的權益。
  7.安全原則：保有個人資料的組織，應針對可能的安全風險，實施對應的安全控制措施，以避免個人資料受到不當的揭露與損毀。
  8.存取和更正原則：組織應提供個人資料的當事人，可在合理的時間內，以適當的方式對其個人資料提出查詢和閱覽的請求，並且不得無故拒絕其補充或更正的申請。 
 
貳、我國個人資料保護現況
  1.電子商務個資外洩問題受到矚目
     現階段我國電子商務最受矚目的爭端型態，莫過於個人資料遭不當外洩產生的隱私保護問題，2007年12月行政院消費者保護委員會發布的「年度10大熱門消費新聞」中，個人資料外洩問題即高居首
     位。自此，電子商務個人資料外洩問題不斷發生，突顯落實電子商務個人資料保護工作，建置一個值得民眾安心信賴的交易環境，實刻不容緩。
  2.無店面零售業指定適用電腦處理個人資料保護法
     鑑於包括電子商務在內之無店面零售業個人資料外洩問題頻傳，但因目的事業主管機關難以確定導致問題難以處理。為此，行政院特別協調各單位透過指定方式，將相關產業列入現行電腦處理個人
    資料保護法之適用。包括網路購物與型錄購物的部分，經濟部已與法務部於2010年2月9日共同指定無店面零售業，自同年7月1日起適用現行電腦處理個人資料保護法。

叁、企業個資相關問題
    Q1、企業是否可以拒絕個人提出的個資處理請求？
         有三種情況下是可以的：(個資法第十條)
            1.妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益 。
            2.妨害公務機關執行法定職務。
            3.妨害該蒐集機關或第三人之重大利益。
    Q2、企業必須多快回應個人提出的個資處理請求？
         對於個人要求查詢、瀏覽或複製的請求，企業必須在15天內決定是否同意，若要拒絕得書面說明理由，最多可再延長15天。若是請求補充或更正，則可在30天內答覆，最多再延長30天。(個資
        法第十三條)
    Q3、若個人要求企業刪除個人資料，但另有法律規定要求企業保存，企業該如何處理？
         若有其他法律規定，就可以拒絕個人的刪除請求。個資法規定，企業可依其他法律的規定或法定義務來蒐集、處理和利用個資。
    Q4、個資法的主管機關為何？
         每個行業的目的事業主管機關就是個資法主管機關，或者說，企業向哪個機關登記註冊，該機關就是個資法主管機關。若牽涉到多個主管機關或者主管機關不清楚時，則透過公務機關的協調聯
         繫機制決定如何共同執行或由誰主管監督，若無法決定則交由行政院決定。

 
肆、從4個方面快速認識個資法
    1.人肉搜索-是關於網友時常發動的人肉搜索，究竟有無個資的問題呢？
    2.生活影像紀錄-我們在路上隨手拍的照片，與行車記錄器畫面，是否侵害了入鏡者的個資？
    3.網路個資防護-在網路相簿及論壇網站的使用上，保護個資又是誰的責任？
    4.受害求償-針對購物而來的詐騙，要了解相關法規，才能確保自身權益，並適時求償。
 
伍、何謂個人資料?
    所謂的個人資料，舉凡自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情
    況、 社會活動及其他得以直接或間接方式識別該個人之資料者均屬之。

陸、當事人就其個人資料享有什麼樣的權限
    1.查詢或請求閱覽。
    2.請求製給複製本。 
    3.請求補充或更正。 
    4.請求停止蒐集、處理或利用。
    5.請求刪除。


柒、國內實務遭遇問題

    1.個人資料保護法規定複雜，企業因應困難。
       國內大部分企業，過往都不適用電腦處理個人資料保護法。而電子  商務產業即便於7月1日指定適用，使其有機會可以先行檢視自身個人資料管理之情況，惟新法對於企業之要求遠比舊法嚴格而
       複雜，故包括電子商務產業之各行  業已普遍表達因應條文規範之困難，亟需相當的輔導與協助。

    2.產業及消費者對於個人資料保護之觀念未臻清晰  
       由於過往我國個人資料相關法制落實範圍有限，產業界與消費者對於正確的個人資料保護觀念並不清晰。以產業而言，許多對於個人資料蒐集與利用的習慣，不但不符合個人資料保護法之要求，
       並容易產生對於個人資料的過度利用及外洩風險。以消費者而言，對於如何自主管理個人資料，避免過度提供並不明瞭，同時亦不知道對於自己的個人資料可以對於蒐集者要求查詢、閱覽、更
       正、停止利用或刪除等權利。因此實務上因為個資外洩問題所產生的交易糾紛層出不窮，需要從根本上強化個人資料保護觀念。

    3.中小企業無力負荷建置個人資料管理制度
       個人資料相關法制規範主要係維護個人對於其資料的資訊自主，雖仍需要資訊系統安全之協助，但資訊安全管理制度之導入成本，對於中小企業而言係極大之負擔。故部分國家已就個人資料保護
       部分另外研議管理制度，期以最切合需要  的制度及合理的成本協助企業保護個人資料。以日本為例，其為ISO 27001導入最大宗之國家，導入家數至2010年7月底止，計有3,572家，但其所建立
       的個人資料管理制度(P-Mark)，導入並通過驗證者，同一時期即達11,562家。足見對於產業而言，要考量仍在於成本與法制遵循之需求。

    4.各國個人資料法制規範與環境之不同，相關制度無法直接移植供國內產業應用
       目前國際間包括日本、德國、韓國、英國等相關組織，皆對於個人資料保護，建立相關管理或審驗制度。惟由於各國法制規範以及所面臨之環境不同，相關制度內涵未必可以直接移植於國內使
       用。以德國及英國而言，由於其隸屬歐盟體制，故其管理標準或法制內容，必須依循歐盟指令之要求加以研訂。日本與韓國，則與台灣相同，為APEC之會員國，故制度規範要符合APEC之要求。惟
       仍因企業體制及法律細部規範之不同而於制度面有所歧異。故即便有相關制度可資參考，但仍須建立配合國內法制以及實務發展狀況的制度，方能達到本計畫之目的。
 
捌、個資法與BS 10012之比較
   1.相同點
      BS 10012和臺灣新版個資法都同樣參照OECD和APEC的隱私權綱領制定的，兩者在法案的精神上，可說是師出同門。
   2.不同點
      個資法法條的制定往往是比較提綱挈領式的闡述法條的精神，也相對抽象；但是BS 10012則是一個具有P（計畫）、D（執行）、C（查核）、A（矯正）流程審視企業如何保護個人資料的過程，也
      會建議一些執行步驟和處理方式，相較法條而言，BS 10012相對具體可行。 

玖、罰則訴訟問題

   Q1、發生個資損害時，賠償金額有多少？
        若損害金額不易估算時，每人每一件可賠償500～20,000元，最高2億元賠償。涉及利益超過2億時，就按實際利益計算。

   Q2、企業違反個資法時，老闆會被判刑嗎？
        若企業違反個資法而導致顧客損失時，企業主必須面對最高2年以下的有期徒刑。若老闆為了營利而違反個資法時，刑期還會加重到最高5年以下有期徒刑。

   Q3、若發生個資損害時，當事人求償的時效多久？
        當事人必須在事件發生5年內提出求償，或者當事人知道損害事件後，在2年內要提出，超過時間就不能再請求賠償。

拾、臺灣個人資料保護與管理制度-TPIPAS

       1.行政院2008年9月3日交經濟部研議協助民間產業建立個人資料保  護管理系統標準與隱私權標章驗證制度，並積極推動。
 
       2.2009年1月行政院核定「國家資通訊安全發展方案（98 年至101  年）」，揭示「安全信賴的智慧台灣，安心優質的數位生活」之願景，並規劃「提供可信賴的資訊服務」及「建構資安文化發
        展  環境」等四大政策目標。

       3.2009年8月行政院「塑造資安文化、推升資安產值」產業科技策略  會議，決議推動電子商務個人資料管理暨資訊安全行動方案。

       4.2009年12月行政院核定「塑造資安文化、推升資安產值」關鍵推動方案（99年至102年）， TPIPAS係於該方案架構下所規劃推動措施之行動計畫。

 
拾壹、輔導認證流程

       第一階段【輔導準備】
          1. 輔導合約簽訂   2. 現有廠區診斷   3. 成立個資管理推動小組   4. 個資管理教育訓練

       第二階段【系統建置】
          5. 個資管理規劃整合   6. 程序 / 辦法編製   7. 個資管理手冊編製   8. 作業指導書編製   9. 表單彙整

       第三階段【 推動展開】
         10. 文件系統說明會宣導   11. 全面試行實施   12. 各階文件試行後檢討修訂   13. 內部稽核   14. 個資管理審查

       第四階段【驗證作業與頒證】
         15. 提出驗證申請   16. 預評   17. 正評
 
拾貳、個資輔導特色
      1資深.ISO顧問背景    2.搭配IT解決方案     3.從律師角度解套