同公务机关处理利用个人资料一样,在一些例外情况下,非公务机关处理利用的个人资料亦可排除目的明确原则的适用。我国台湾“资料法”第23条规定,非公务机关对个人资料之利用,应于收集之特定目的必要范围内为之。
但有下列情形之一者,得为特定目的外之利用:
1为增进公共利益者;
2为免除当事人之生命、身体、自由或财产上之急迫危险者;
3为防止他人权益之重大危害而有必要者;
4当事人书面同意者。
以上目的明确原则的例外情形可归纳为两个方面:法律授权和当事人授权。其中法律授权又可分为为了公益的授权和为了防止私益的授权,除此之外,要排除目的明确原则的适用,还须遵守比例原则,即只有利用个人资料所得到的利益明显大于资料本人因此受损害的利益时,才能为特定目的外之目的处理利用个人资料。
四、目的明确原则的意义
目的明确原则,贯穿于个人资料保护的整个过程,是个人资料保护法的基本原则。该原则强调资料处理主体收集个人资料时有明确的目的,处理利用时目的不能任意变更。这使资料在整个处理过程中得以保持品质(因为资料始终用于该特定目的,不会出现用于其他目的而断章取义或不完整的情况)。目的明确原则不排除在当事人同意或法律授权的情况下利用目的的变更,这一方面充分尊重了资料的本人资料权,另一方面又使得个人资料处理利用的成本降低,满足了社会和国家利用个人资料的需要,解决了本人利益与国家利益、社会利益相互冲突的问题,为两者的协调共存找到了平衡点。
(第三节)安全原则
一、安全原则的概念
安全原则,也称安全保护措施原则,是指对个人资料应采取合理的安全保护措施,以防止资料的丢失、非法接触、毁损、利用、修改和揭露等危险的发生。资料安全指一切关于资料的安全,包括两类,即资料本身的安全和资料媒体安全。针对这两类安全,安全原则强调采取相应的保护措施。这些安全措施包括物理性措施(例如,锁门和身份识辨卡),组织措施(不同层次的使用资料的权限)和电脑系统中的信息措施(例如加密和针对异常行为的警告)。
需要强调的是,组织措施包括资料处理人员的保密义务。
二、国际组织、国家或地区现行法上的安全措施
“由于资料电子化之后,可以轻易而迅速地复制、清除,或不留痕迹地变更大量资料,如果未加妥善管制,对资料安全性会造成很大的风险。在网络化的情形下,由于大量资料将利用开放式公共网络进行传输,资料很容易在中途遭人截取,而数据库及内部网络亦可能遭黑客侵入,使个人数据保护威胁倍增。”因此,各国、各地区均十分重视技术规范的立法。
欧盟95指令第17条第1款规定,“保管人应设置适当技术及组织设施,以防止个人资料遭受灾害或不法破坏、灭失、篡改、无权揭露或存取,尤以经由网络传递及其他非法形式之处理。”(thecontrollermustimplementappropriatetechnicalandorganizationalmeasurestoprotectpersonaldataagainstaccidentalorunlawfuldestructionoraccidentallossandagainstunauthorizedalteration,disclosureoraccess,inparticularwheretheprocessinginvolvesthetransmissionofdataoveranetwork,andagainstallotherunlawfulformsofprocessing.)考虑到技术发展的原因,第1款强调保管人采取的安全措施必须与资料的性质和处理的风险相适应。
欧盟95指令规定得比较概括,而一些国家的立法则把技术规范直接法律化,使安全原则得以具体贯彻。
在这方面,德国立法较为先进。德国资料法第9条第一句,即要求“应采取技术上与组织上之必要措施,以确保本法之执行”,其附件对“自动化处理个人资料”更要求须依所保护个人资料之种类,采行下列“个别保护措施”:1入口管制:防止无权者擅入处理个人资料之数据处理设备内。
2出口管制:防止擅自阅读、复印、变更或搬走数据库。
3输入管制:防止擅自投入储存机及擅自认知、变更或消除已储存之个人资料。
4使用者管制:防止无权者擅自利用以资料传递设施传递资料之数据处理系统。
5取用管制:确保有权利用数据处理系统者只能取用其权限内之个人资料。
6传递管制:确保能检定并确认,个人资料经由资料传递设施可能传递至何处所。
7投入管制:确保事后能检定并确认,哪些个人资料于何时由何人投入数据处理系统。
8委托管制:确保受委托处理之个人资料能仅依委托人之指示为处理。
9运送管制:防止在传递个人资料以及运送数据库时该资料被擅自阅读、变更或消除。
10组织管制:使官署或营业之内部组织能符合数据保护之特殊要求。
在国内,台湾地区的“立法”则为先驱。台湾“资料法”第17条规定:
“公务机关保有个人资料文件者,应指定专人依相关法令办理安全维护事项,防止个人资料被窃取、篡改、毁损、灭失或泄露。”依第26条,非公务机关准用第17条的规定。“个人资料保护法施行细则”第34条规定:“公务机关保有个人资料文件者,应订定计算机处理个人资料安全维护法令,其内容应包括资料安全、资料稽核、设备管理及其他安全维护等事项。”
为贯彻该“法”意旨,台湾地区各行政机关均采取了必要的措施。如台湾行政当局“使用个人资料计算机档案管理简则”规定:
1为防止不当使用暨保护向其他单位索取录制之个人资料计算机档案,特订定本管理简则。凡违反本简则者,限期改正,情节重大者会同政风单位查明后签报处理。
2个人资料计算机档案之安全维护规定如下:
(1)数据文件建置在可携带式储存媒体上者,应妥觅储置地点并上锁管制。
(2)数据文件建置在本处大型主机磁盘上者,应设置“使用者代码”及“识别密码”。识别密码应保密,并定期更新,不得与他人共享。管理者职务异动时,接办人应变更密码管理。
(3)数据文件建置在数据库上者,应制定使用范围及使用权限。
(4)数据文件如建置在个人计算机固定式硬盘上,该部计算机应专用并上锁。
3个人资料计算机档案之管理,应指定承办科及承办人员,当承办人员有数人时,应指定其中一人为档案管理人,并指定职务代理人。档案管理人之职责如下:
(1)个人资料计算机档案及其相关表件之保管。
(2)记录所管理数据文件每次使用之时间、人员及目的。
(3)职务有异动时,应将所保管之个人资料计算机档案及其有关资料列册移交。
4个人资料计算机档案之使用者,应遵守下列事项:
(1)非经主管长官允许不得查询或使用该数据文件。
(2)数据文件使用者应审慎运用,并负遭窃取、复录或泄露之责。
5个人资料计算机档案之其他安全维护事项:
(1)各管理科长应定期或不定期查核其所管理档案之使用情形。
(2)使用完竣且确无保存必要之个人资料计算机档案,应经签报核准后消磁。
6本简则签奉某“局长”核定后实施,修正时亦同。
该规定的安全措施十分详细,其包括了技术性措施(加密)、物理性措施(储存地点和上锁)、接触权限措施、管理人制度、使用人权限管制等,措施种类齐全,内容具体,可资内地立法借鉴。
虽然实践中有如此细致的安全措施,但仍十分概括,未如德国资料法规范细致,亦似未体会组织与技术上措施的科技性和发展性,对是否采取足够的技术、组织上之措施又无任何效果或监督规定,虽然电子化政府计划中也顾及信息安全之规划,但非以法制设计仅依赖行政机关的善意,是否足以保障个人资料的安全性,实堪怀疑。因此,建议采用更加具体的规定。
三、其他安全措施
1重要资料和网络隔离
由于计算机黑客可能会通过网络入侵计算机,造成个人资料隐私权之侵害。因此,计算机中有重要的资料时,最好的办法就是将资料和上网的联机切断。不过,这样也同时会使计算机连接网络的功能丧失,是不切实际的做法。
比较常用的做法是将重要的资料放在同一个计算机的另一个硬式磁盘驱动器(HardDisk)上。使用者不仅是在实体上将数据放到另一个储存的区间上,同时在逻辑上也要使用与安全相关的工具来控制这些重要资料的存取,而事实上在很多操作系统上也都有存取控制的安全机制。透过重要资料与网络的区隔,可以有效地避免黑客入侵所造成的个人资料隐私权侵害。
2封闭式网络
对于特别重要之信息传递,可以采用本机关或商业系统内的封闭式网络。
这样可以切断不必要的网络连接,减少网络危险。
安全原则在黑客盛行、信息脆弱、资料非法收集猖獗的时代意义重大,其不仅要求资料的收集、处理和利用人采取必要的安全措施保护个人资料,同时也要求资料本人对于其个人资料采取适当的安全措施,这样资料安全才有最终保障。
资料自决原则使资料本人直接支配控制其个人资料,保障了其人格利益的实现;目的明确原则为资料处理主体指明了方向和条件,使其可在特定目的范围内合法处理和利用个人资料;安全原则要求资料本人和资料处理主体对个人资料承担采取保护性技术措施的义务。这三个原则组成了个人资料保护的严密法网,是贯穿个人资料保护法,指导个人资料保护立法、司法、执法、解释的基本准则和理念。