筆者最近這一年的實務觀察，有以下兩點個人資料（以下簡稱個資）保護實務上常見議題，歲末將至，綜合分述如下供大家參考。
 

1. 當公司在與第三方共同或委託處理事務中，有牽涉到個資蒐集時，是要適用委託機關（controller）與受託機關（processor）關係或為委託機關（controller）對委託機關（controller）？
   關於何謂委託機關（controller），何謂受託機關（processor），以及相關權利義務可參考國家發展委員會的分析整理[1]。筆者原以為多半公司希望擔任controller，因controller可以控制個資蒐集的內容、範圍與使用目的。然實務上發現公司方面會考量是否得以確實控制processor，基於各國個資相關法律多半著重在規範controller應遵循的義務；因此如無法掌控合作夥伴，是否應將雙方關係界定在委託機關（controller）與受託機關的確值得考量。然不可否認需綜合評估利弊得失，因為如果雙方皆為controller地位，合作夥伴可決定為自己的目的蒐集其他更多的個資，是否符合個資當事人（data subject）於提供個資時的期待與理解應謹慎，並依法進行個資蒐集時充分與必要的揭露。
2. 個資與機密資訊的差別
   個資與機密資訊在定義上以及保護上似乎一直處於一個很混淆的狀態，甚至筆者先前在大學法律系開課預計開一門個資課程，最後也被要求開「營業秘密與個人資料保護」，讓筆者不禁莞爾。這兩者之間的關係是甚麼呢？ 營業秘密或是機密資訊保密方面，除了法律相關規範（刑法與營業秘密法），實務上締約雙方當事人關於保密義務的規範，多半使用保密契約或是保密條款針對揭露的機密資訊相關保密義務做規範（關於保密合約訂立要點可參筆者之前的文章討論）。 至於個資呢？放在一起討論是因為兩者都有秘密性？經濟性？還是都必須要有合理保密措施？或許在關於個資的安全維護有點類似於合理保密措施，但兩者保護目的不同，保護方式與機制的檢視標準也當迥異。 甚至筆者實務上看到的是，合約訂立時常直接把個資包含在機密資訊定義內，此方式筆者實在無法苟同。因為機密資訊的使用是符合雙方合意的目的，但個資的使用必須按照個資同意書同意的範圍。再者，機密義務通常是合約終止或屆滿後幾年內持續，然個資應符合個資同意書同意目的範圍內使用，於目的不存在後即應刪除。更重要的是，個資不屬於締約方（通常締約方是公司）任一方，而為個資主體（個人）所擁有。Controller和processor不會因為蒐集處理個資而變成擁有個資，然而筆者必須說實務上關於這點的「誤認」程度實在太嚴重也太荒謬。而且這樣的謬誤不僅發生在台灣公司之間的合約，筆者誠然覺得不可思議，只能說看來個資真的是新興法律領域，這樣的錯置與誤認幾乎舉世皆然！然法律人或許可以樂觀地看待，在個資法制健全方面要做與能做的事情還很多。而縱使台灣個資相關保護法律尚不夠健全，亦和世界主流個資法制規範不同軌，也無須妄自菲薄了！

 

---