我国台湾地区

在个人信息的范围界定方面，我国台湾地区采列举定义的方法，其“个人资料保护法”第2条将“个人资料”定义为“指自然人之姓名、出生年月日、国民身份证统一编号、护照号码、特征、指纹、婚姻、家庭、教育、职业、病历、医疗、基因、性生活、健康检查、犯罪前科、联络方式、财务情况、社会活动及其他得以直接或间接方式识别该个人之资料”。

我国台湾地区“个人资料保护法”实际上来源于“电脑处理个人资料保护法”，该法适用主体为公务机关和非公务机关，但是非公务机关仅限于征信业、医院、学校、电信业、金融业、证券业、保险业及大众传播业八大行业及其他经“法务部”会同“中央目的事业主管机关”指定的事业、团体或个人。适用对象仅限于电脑处理的个人资料，排除人工处理个人资料的适用。2010年修正公布的“个人资料保护法”扩展了适用范围，从非公务机关的范围扩展至公务机关以外的自然人、法人或其他团体。新修正的“个人资料保护法”适用的对象将人工处理的个人资料纳入，同时扩大了个人资料的范围，将护照号码、医疗、性生活、健康检查、犯罪前科、联络方式及其他得以直接或间接方式识别的个人资料均纳入个人资料的范围。除非法律另有规定，任何人不得收集、处理或利用有关医疗、基因、性生活、健康检查及犯罪前科等个人资料。另外，新修正的“个人资料保护法”在附则第51条规定了两种不适用该法的情形，即自然人为单纯个人或家庭活动之目的，而收集、处理或利用个人资料；于公开场所或公开活动中收集、处理或利用之未与其他个人资料结合之影音资料。

（一）立法沿革

1990年9月，我国台湾地区“行政院”明确要求“法务部”制定“资料保护法”，并在制定立法草案的过程中，先参考经济合作与发展组织（OECD）1980年《关于保护隐私和个人数据跨国流通指导原则》（Guidelines Governing the Protection of Privacy and Transborder Flows Personal Data）所明确的八大原则，制定《“行政院”暨所属各级行政机关电脑处理个人资料保护要点》作为过渡。

1991年9月“法务部”成立审议小组起草委员会，在1992年5月完成“个人资料保护法草案”初稿后，即向各有关机关及社会各界广泛征询意见，并在召开学者专家座谈会后，于1992年6月递交“行政院”审查。经该院召开多次审查会，将草案名称修正为“电脑处理个人资料保护法”，于1993年送“立法院”审议。“立法院”于1995年7月12日表决通过，自1995年8月11日起施行。随后，“法务部”于1996年5月1日制定“电脑处理个人资料保护法实施细则”，一并成为台湾个人资料保护的基本规范。然而，自该法实施以来，对于个人资料保护的成效颇具争议。随着互联网的普及、信息政府的建立、电子商务的发展，各种个人资料搜集范围扩大，各类个人资料电子数据库上网的概率增大，个人资料泄露及其衍生的犯罪问题也变得越来越严重。在这种情况下，“电脑处理个人资料保护法”的各种弊端也越发显著，专家学者针对如何修正完善该法展开了广泛的讨论。学者们的探讨主要在于欠缺主管机关、宣导教育与民众自决不足、个人资料的范围不足、八大非公务机关范围狭小、罚则不足等方面，这些观点为该“法”的修订提供了参考。

为了因应信息社会的快速发展，我国台湾地区“法务部”自2001年拟订修法计划，积极推动相关修法工作。2001年10月“法务部”举办四场公听会，广泛邀请专家学者及各政府机关与民间业界代表出席，提供改进现行实务缺失与修法意见。随后“法务部”召集研修本法会议，拟定修法原则与方向，并搜集外国立法例及草拟本法修正草案初稿。2002年10月“法务部”邀请专家学者成立修法专案小组，定期开会研讨修法事宜，经过12次会议深入讨论后，于2003年5月完成“电脑处理个人资料保护法修正草案初稿条文”，并再次广泛征求各界意见后，于2003年12月正式完成“电脑处理个人资料保护法修正草案”，并报“行政院”审查。2004年9月“行政院”院会完成审查，以优先法案函请“立法院”审议。该法案先后经历二次的“届期不续审”，“行政院”三读送至“立法院”；2010年4月20日“立法院”二读通过，针对二读条文中极具争议的民意代表和大众传播媒体在处理和利用个人资料的“免告知条款”先行复议后，最终于2010年4月27日三读通过，称为“个人资料保护法”。

（二）立法体例

我国台湾地区2010年新修正的“个人资料保护法”共6章56条。第一章为“总则”，包括立法宗旨、名词定义、资料当事人权利、基本原则等方面；第二章为“公务机关对个人资料之搜集、处理及利用”，对公务机关关于个人资料搜集、处理以及利用的条件作了规定；第三章为“非公务机关对个人资料之搜集、处理及利用”，对非公务机关关于个人资料搜集、处理与利用的条件做出规定，同时规定了非公务机关维护个人资料安全的义务与违法之处分；第四章为“损害赔偿及团体诉讼”，规定了资料当事人的损害赔偿请求权、损害赔偿金额的标准以及团体诉讼的相关程序；第五章为“罚则”，主要为对违反个人资料保护法，构成犯罪的行为进行刑事处罚的规定；第六章为“附则”，主要对不适用该“法”情形、委托办理、特定目的与个人资料类别、制定实施细则等相关问题做出规定。

（三）我国台湾地区个人信息保护基本原则

我国台湾地区“个人资料保护法”的立法原则也深受经济合作与发展组织1980年《关于保护隐私和个人数据跨国流通指南》所规定的个人信息保护八大原则影响，虽然并未明确集中规定基本原则，但是通过具体条文体现了这八大原则，即限制收集原则、资料内容完整正确原则、目的特定原则、限制利用原则、个人参与原则、公开原则、安全保护原则和责任原则。

限制收集原则分散体现在台湾地区“个人资料保护法”第6条、第15条第2款和第19条第5款。根据这些规定，个人资料的收集应当尊重当事人的权益，依诚实及信用方法为之，公务机关和非公务机关收集或处理个人资料，非有特定目的，需满足的要件之一为“经当事人书面同意”。资料内容完整正确原则体现在“个人资料保护法”第3条和第11条。第3条规定，当事人就个人资料有“请求补充或更正”的权利。第11条第1款规定，“公务机关或非公务机关应维护个人资料之正确，并应主动或依当事人之请求更正或补充之”。

目的特定原则体现在“个人资料保护法”第5条、第15条、第16条、第19条、第20条和第53条。根据这些规定，公务机关和非公务机关对于个人资料的收集、处理或利用应有特定目的，不得逾越特定目的的必要范围，并应与收集目的具有正当合理的关联。

限制利用原则与目的特定原则紧密相关，共同构成对个人资料搜集与利用进行规范的基石。“个人资料保护法”第16条、第19条规定了对于个人资料的利用，公务机关应于执行法定职务必要范围内，并与收集的特定目的相符，非公务机关应于收集的特定目的必要范围内。限制于特定目的之内而利用个人资料也有例外情况，第16条和第19条分别规定了公务机关与非公务机关得于特定目的之外利用个人资料的情形，如依法律规定、为了公共利益、为了当事人或他人权益、学术研究、经当事人书面同意等。

个人参与原则主要体现在“个人资料保护法”第3条规定的资料当事人的参与权益，如查询或请求阅览、请求复制给复制本、请求补正或更正、请求停止收集、处理或利用、请求删除等。公开原则体现在“个人资料保护法”第17条，即公务机关应将个人资料档案名称、保有机关名称及联络方式、个人资料档案保有之依据及特定目的和个人资料的类别等事项公开于网站，或以其他适当方式供公众查阅。

安全保护原则体现在“个人资料保护法”第18条和第27条，公务机关或非公务机关保有个人资料档案的分别应指定专人办理安全维护事项或采行适当的安全措施，以防止个人资料被窃取、篡改、毁损、灭失或泄露。

责任原则主要体现在“个人资料保护法”第四章“损害赔偿及团体诉讼”和第五章“罚则”中，规定了公务机关和非公务机关违反该“法”规定，不当收集、处理和利用他人个人资料，损害他人权益时应当承担的民事责任、行政责任和刑事责任。^[27]

【注释】

[1]畅秀平．公平信用报告法（FCRA）对我国信用建设的启示［J］．会计之友，2009（10）：108．

[2]Department of Justice．Overview of the Privacy Act of 1974［EB／OL］．（2010－06－30）［2014－06－08］http：／／www．doncio．navy．mil／ContentView．aspx？ID＝1935．

[3]罗杰、孔令杰．美国信息隐私法的发展历程［J］．湖南社会科学，2008（12）：156．

[4]郎庆斌．国外个人信息保护模式研究［J］．信息技术与标准化，2012（1）：22－24．

[5]徐春尧．加拿大个人信息保护法律制度及借鉴［J］．韶关学院学报，2008（11）：17－20．

[6]周建．加拿大《隐私权法》与个人信息的保护［J］．法律文献信息与研究，2001（1）：2．

[7]徐春尧．加拿大个人信息保护法律制度及借鉴［J］．韶关学院学报，2008（11）：17－20．

[8]Office for the Privacy Commissioner of Canada．Privacy Impact Assessments［EB／OL］．［2013－12－01］http：／／www．priv．gc．ca／．

[9]郎庆斌．国外个人信息保护模式研究［J］．信息技术与标准化，2012（1）：22－24．

[10]王利明 ．论个人信息权的法律保护——以个人信息与隐私权的界分为中心［J］．现代法学，2013（4）：62．

[11]李翔 ．浅谈欧盟个人信息保护的法律救济体系——以新通过的欧盟数据保护基本条例为视角［J］．法制博览，2014（3）：26．

[12]齐爱民．拯救信息社会中的人格——个人信息保护法总论［M］．北京大学出版社，2009：48．

[13]王利明 ．论个人信息权的法律保护——以个人信息与隐私权的界分为中心［J］．现代法学，2013（4）：62．

[14]Schimmel／Steinmueller，Rechtspolitische Problemstellung des Datenschutzes／／Dammann／Karhausen／Muller／Steinmueller（Hrsg．）．Datenbank und Datenschutz，Frankfurt／New York，1974．

[15]Podlech，Prinzipien des Datenschutzes，in：Killian／Lenk／Steinmuller（Hrsg．），Datenschutz，10．Brunnstein in Hoffmann／Tietze／Podlech，Numerierte Burger，Wuppertal，1975．

[16]蒋舸．个人信息保护立法模式的选择——以德国经验为视角［J］．法律科学，2011（2）：116．

[17]Zoellner，RDV 1985．转引自：蒋舸．个人信息保护立法模式的选择——以德国经验为视角［J］．法律科学，2011（2）：116．

[18]蒋舸．个人信息保护立法模式的选择——以德国经验为视角［J］．法律科学，2011（2）：116．

[19]郎庆斌．国外个人信息保护模式研究［J］．信息技术与标准化，2012（1）：25．

[20]齐爱民，侯巍．电子化政府与个人信息的法律保护［M］．法律出版社，2005：62．

[21]谢青．日本的个人信息保护法制及启示［J］．政治与法律，2006（6）：152－153．

[22]［日］奥平康宏．知情权［M］．东京：岩波书店，1981：384．

[23]谢青．日本的个人信息保护法制及启示［J］．政治与法律，2006（6）：152－153．

[24]香港政制及内地事务局 ．检讨《个人资料（私隐）条例》的公众咨询报告［R］，香港政制及内地事务局，2010：144．

[25]齐爱民，陈星　．海峡两岸及港澳地区个人信息保护立法比较研究［J］．经济法论坛，2013（1）：140－152．

[26]齐爱民，陈星　．海峡两岸及港澳地区个人信息保护立法比较研究［J］．经济法论坛，2013（1）：140－152．

[27]齐爱民，陈星　．海峡两岸及港澳地区个人信息保护立法比较研究［J］．经济法论坛，2013（1）：140－152．