【法律一分鐘】間接識別及去識別性個人資料
作者:劉孟哲律師/施佩均
個人資料的保護一向是各領域以及國際間關注的議題,我國在將「電腦處理個人資料保護法」翻修為「個人資料保護法」(下稱個資法)後,更強化了對個人資料保護的力道,但事實上個人資料保護法的立法初衷除了加強個人資料的保護以外,也希望能兼顧個人資料的合理使用,所以並非所有與個人相關的資料皆為個人資料保護法的保護客體。較值申述者為間接識別及去識別性個人資料:
依個資法第2條第1項,個人資料指自然人之姓名、國民身分證統一編號、護照號碼、病歷、犯罪紀錄等得以直接或間接方式識別該個人之資料。 就此等間接識別個資而言,目前法務部法律字第10303513640號函認為:是否為間接識別個資需從「利用人本身」(亦即蒐集、處理及利用個資者)綜合各種情況與事證判斷,宜於個案中加以審認,然個案上法院見解仍有歧異。
以行動電話號碼為例,臺北地方法院103年度訴字第255號民事判決以:「間接識別個資應以合理、可能、容易之方法為限,行動電話號碼僅為數字之組合,且因號碼申辦幾無資格限制,是一人同時擁有多數門號者有,甚或借用、冒用他人名義抑或虛捏身分亦所在多有,故不易與其他資料對照、組合、連結方式而識別特定個人」,否定電話號碼為間接識別個資;然而臺北地方法院104年度再微字第1號民事判決則以,「電話號碼本身雖僅係一連串數字組合,但一旦與其他個人資料,如姓名、國民身分證字號,及其他社會活動資料相互比對、組合,即得以間接方式識別特定自然人」,肯定電話號碼受個資法保護。
去識別性個人資料部分,例如依個資法第6條第1項但書第4款、第16條第1項但書第5款、及第20條第1項但書第5款等條文,均有「為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人」之規定,此種資料即為去識別性個資。此類資料依個資法施行細則第17條,係指個資以代碼、匿名、隱藏部分資料或其他方式,無從辨識該特定人者。是故,此類資料並非個資法之保護客體。
就此類資料,最高行政法院106年判字第54號之見解認為,需利用人「完全切斷資料內容與特定主體間之連結線索」且僅「單方擁有還原個人資料之能力」,該資料始為去識別性個資。故是否能歸類為去識別性之資料,仍須就個案判斷。
個資法施行細則 在 [解釋]17個常見個資法問答題- 看板LawsuitSug 的推薦與評價
https://ppt.cc/8ce6 (pdf)
一、如何判定是否為個人資料?
新修正個資法針對個人資料之定義為自然人之姓名、出生年月日、國民
身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、
醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務狀況、社會活
動及其他得以直接或間接方式識別該個人之資料。
何謂可間接識別之個人資料?依據法務部所提出之立法說明,由於社會
態樣複雜,有些資料雖然沒有直接指名道姓,但是一經揭露後,仍可能識別
出某一特定人,則仍屬於可間接識別之個人資料。個資法施行細則針對間接
方式識別之定義為僅以該資料不能識別,須與其他資料對照、組合、連結等,
始能識別該特定個人者。
所謂「得以間接方式識別」之個人之資料是用來補強「得以直接方式識
別」的不足。而當要判斷該個人資料是不是屬於個資法所保護之「得以間接
方式識別」之個人資料,必須判斷這個資料是不是可藉由資料持有者所保有
之其他資料互相對照、組合、連結然後指涉到某個特定的人。例如,線上遊
戲的情形,玩家通常會註冊ID並使用暱稱在虛擬世界裡活動,而僅以 ID
與暱稱通常無法識別出特定之人,但是,透過對照、組合、連結(如遊戲公
司的資料庫內有 ID或暱稱使用者之真實姓名),可以特定出個人時,此時,
ID就會是個資法所稱的可間接識別之個人資料。
二、 是否所有的個人資料均為個資法所規範?
凡與個人有關,得以直接或間接識別個人之資料,皆屬於個人資料的範
疇。然而,個人資料在日常生活中,被蒐集、處理、利用的樣態實在多不勝
數,上至基於公務或商業之原因,下至人民的一般日常作息,都可能會包含
了個人資料。姑且不論個資法是否真的能夠做到滴水不漏的保護到每一種個
資的蒐集、處理、利用,過多的規範有時可能會使原本避免人格權受侵害的
出發點,遭到了扭曲,而因此會對民眾的日常生活帶來不便。
據此,依個資法第 51 條之規定,有兩種情形不適用個資法之規定:
(一)自然人為單純個人或家庭活動之目的,而蒐集、處理或利用個人資料。
舉例言之,你我將家人或朋友的電話號碼抄寫整理成電話本或記錄在手
機通訊錄中,此種單純為日常生活所需而接觸到的個人資料之情形,並
不適用於個資法。
(二)公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合
之影音資料。例如,在街道路口所架設之監視器,雖然將行經的路人拍
攝下來,但是在其尚未與其他資料結合時,則不適用個資法。
三、 外國人是否適用個資法?
法律的空間效力,基本上係以屬地原則為主。所謂屬地原則,意思就是,
凡是在本國領域內的行為,無論行為人或行為對象係本國人、外國人或無國
籍人,均適用之,此亦為國家主權的展現。以個人資料保護法而言,只要是
在我國領域內所進行的蒐集、處理或利用個人資料,無論是我國國民或是外
國人,均為個資法所規範。
四、 在國外進行的蒐集、處理或利用是否適用個資法?
在國外蒐集、處理或利用個人資料,是否因為不在中華民國領域的範圍,
而不適用個人資料保護法?依照個人資料保護法第51 條第 2 項:公務機關
或公務機關,在中華民國領域外對中華民國人民個人資料蒐集、處理或利用
者,亦適用本法。
由此可見,只要是對中華民國人民個人資料蒐集、處理或利用,即便是
在中華民國領域外為之,亦適用個人資料保護法。舉例而言,今天若有人在
國外蒐集我國人民的個人資料,此時即應受我國個資法的規範。
五、 蒐集、處理以及利用個人資料時,須注意哪些規定?
(一)應有特定目的,並符合下列情形:(個資法第 19 條)
1. 法律明文規定。
2. 與當事人有契約或類似契約關係。例如公司與員工的僱傭契
約,公司於僱傭契約的範圍內蒐集員工的資料。而類似契約
關係則係指例如在契約撤銷後為返還物品、價金,而需要交
易雙方個人資料之情形或者是訂約前之磋商亦屬之。
3. 當事人自行公開或其他已合法公開之個人資料。
4. 學術研究機構基於公共利益為統計或學術研究而有必要,且
資料經過提供者處理後或蒐集者依其揭露方式無從識別。例
如,研究機構為了統計我國因癌症死亡之機率,而蒐集相關
醫療資訊。如果可連結特定當事人之資料,如姓名、住址、
病歷編號等等,均未提供給研究機構,由於無法識別特定當
事人,即符合此款規定之情形。
5. 經當事人書面同意。書面同意,依照施行細則第 14條,亦
可以電子文件為之。
6. 與公共利益有關。
7. 個人資料取自於一般可得之來源。但當事人對該資料之禁止
處理或利用,顯有更值得保護之重大利益者,不在此限。個
資法第 19 條修法說明指出,由於資訊科技及網際網路之發
達,個人資料之蒐集、處理或利用甚為普遍,尤其在網際網
路上張貼之個人資料其來源是否合法,經常無法求證或需費
過鉅,為避免蒐集者動輒觸法或求證之行為曠日費時,明定
個人資料取自於一般可得之來源者,亦得蒐集或處理。
(二)應明確告知當事人下列事項:(個資法第 8 條)
1. 公務機關或非公務機關名稱。
2. 蒐集之目的。
3. 個人資料之類別。
4. 個人資料利用之期間、地區、對象及使用方式。
5. 當事人依第 3 條規定得行使之權利及方式。
6. 當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
以網路訂房為例,業者應告知之事項有:當事人資料(蒐集者為
XX公司),蒐集目的(提供飯店業者做訂房之用),資料類別(包括
姓名、連絡方式等),使用個人資料之期間(訂房時起至入住完成),
當事人可依業者所提供的方式行使權利,以及若不同意蒐集其個資將
無法提供服務等說明。
(三)下列情形,始得為目的外利用:(個資法第 20 條)
1. 法律明文規定。
2. 為增進公共利益。
3. 為免除當事人之生命、身體、自由或財產上之危險。
4. 為防止他人權益之重大危害。
5. 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式
無從識別特定之當事人。
6. 經當事人書面同意。
六、 何種情況下得不為個資法之告知義務?
個資法要求個人資料蒐集單位在做直接、間接蒐集的時候必須履行告知
義務。某些例外情形下,告知義務可以免除,其可因直接或間接蒐集而有所
不同。
(一)直接/間接蒐集均適用之免告知情形
1. 依法得免為告知。
2. 個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。例如稅務機關蒐集納稅人的所得資料。
3. 告知將妨害公務機關執行法定職務。例如告知將妨害偵查機關進行偵查工作之情形。
4. 告知將妨害第三人之重大利益。
5. 當事人明知應告知之內容。
(二)僅間接蒐集始得適用之免告知情形
1. 當事人自行公開或其他已合法公開之個人資料。
2. 不能向當事人或其法定代理人為告知。
3. 基於公共利益為統計或學術研究之目的而有必要,且該資料須經提供者處理後或蒐集者依其揭露方式,無從識別特定當
事人者為限。
4. 大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。
七、 書面同意,是否一定要以紙本書面為之?
個資法有不少條文都有提到「書面同意」,例如涉及蒐集、處理合法化
要件的第 15、19 條,以及涉及特定目的外利用之第 16、20條均為適例。一
般人看到「書面」,很可能會直接聯想到紙本,不過,根據個資法施行細則
第14條的規定,書面意思表示,依電子簽章法章規定,亦得以電子文件為
之。
而電子簽章法第4條規定,經相對人同意者,得以電子文件為表示方法。
依法令規定應以書面為之者,如其內容可完整呈現,並可於日後取出供查驗
者,經相對人同意,得以電子文件為之。
因此,書面同意並不限於紙本;在蒐集者及個資當事人均同意之狀況下,
如為電子文件,只要其內容可完整呈現,並可於日後取出供查驗,亦符合書
面之要求。例如,電子商務業者以電子郵件所取得之當事人同意,只要符合
上述要求,雖為電子文件而非紙本,亦屬個資法所稱「書面」。
八、 否以網際網路公告或新聞媒體作為蒐集、處理、利用個資時告知當事人之方
式?
個資法第8 條、第 9 條、第54 條規定,在蒐集、處理、利用個人資料
時,應明確告知當事人相關事項,按照個資法施行細則第16 條的定義,告
知之方式,得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其
他適當方式為之。
而個資法第12 條規定,公務機關或非公務機關違反本法規定,致個人
資料被竊取時,應查明後以適當方式通知當事人。所稱適當方式通知,根據
施行細則第22 條,係指即時以言詞、書面、電話、簡訊、電子郵件、傳真、
電子文件或其他足以使當事人知悉或可得知悉之方式為之。但耗費過鉅者,
得斟酌技術之可行性及當事人隱私之保護,以網際網路、新聞媒體或其他足
以使公眾得知之方式為之。
據此,個資法第 8 條、第9 條、第 54 條「告知」之方式,並沒有如個
資法第12 條以網際網路、新聞媒體之「通知」方式等規定。故可否以網際
網路或新聞媒體作為個資法第8 條、第 9 條、第 54 條告知之方式?
按個資法第8 條、第 9條、第54 條的告知,告知之目的在使當事人知
悉其個人資料將被蒐集或已被蒐集、處理,以及後續與其個人資料利用相關
之事宜,以期能防杜其個人資料遭不法濫用,必須使當事人清楚明白其個人
資料即將被蒐集或已經被蒐集,故須以「告知」為之,務必要使當事人接收
到該等訊息。
而個資法第12條的通知,其目的則是為了當個人資料發生外洩事故時,
能夠即時通知當事人,避免損害的擴大,因著重於即時性,故於例外情形下
可以使用網際網路、新聞媒體之方式,來進行「通知」,以達成其即時性。
「告知」與「通知」,看似相同,實則為不同的概念,網際網路、新聞
媒體之方式,並無法確保當事人清楚明瞭該事項,且即便是講求即時性的「通
知」,亦僅在特殊情形下始可採用網際網路的方式,因此,實不應以網際網
路或新聞媒體等方法,來作為「告知」當事人之方式。
九、 個人資料保護法對國際傳輸的規定為何?
我國個資法目前針對跨境傳輸之規定主要可見於第21條。從法條觀之,
基本上國際傳輸行為係被允許的,僅於涉及國家利益、國際條約或協定有特
別規定、接受國對於個人資料未有完善之法規以及以迂迴方法向第三國(地
區)傳輸個人資料規避本法等四種情形時,中央目的事業主管機關得限制之。
據此,只有違反上述四種情形時,非公務機關才會被禁止將個人資料傳輸至
台灣以外之地區。
事實上,電腦處理個人資料保護法對於國際傳輸個人資料已有相關規定,
過去電腦處理個人資料保護法第24 條規定,非公務機關為國際傳遞及利用
個人資料,而有涉及國家重大利益者、國際條約或協定有特別規定者、接受
國對於個人資料未有完善之法令致有損於當事人權益之虞者以及以迂迴方
法向第三國傳遞或利用個人資料規避本法等四種情形時,目的事業主管機關
得予以限制之。以國家通訊傳播委員會(NCC)發佈通傳營字第 10041054820
號公告為例,該公告依循電腦處理個人資料保護法第24 條第 3 款之規範,
預告訂定「限制非公務機關國際傳遞個人資料之命令」,衡酌大陸地區之個
人資料保護法令尚未完備,擬限制通訊傳播事業經營者將所屬用戶之個人資
料傳遞至大陸地區。因此,此一命令若正式實施,將個人資料傳遞至大陸地
區就會受到限制。
未來,業者須密切注意目的事業主管機關是否有做出關於國際傳輸限制
的命令,以免誤觸法網。
十、 受政府委託的業者應如何遵守個資法?
個資法第 4 條規定,受公務機關或非公務機關委託蒐集、處理或利用個
人資料者,於本法適用範圍內,視同委託機關。施行細則第7 條亦規定,受
委託蒐集、處理或利用個人資料之法人、團體或自然人,依委託機關應適用
之規定為之。
由此可知,業者雖原屬於非公務機關,一旦接受公務機關委託,則在委
託範圍內,視同委託機關,此時,在個資法的適用上,就必須遵守第二章對
公務機關的規定。
十一、 面對委託機關的指示應如何處理?
業者既然接受政府機關委託,原則上即應依照委託機關的指示辦理。施
行細則第8 條亦規定,受託者僅得於委託人指示之範圍內,蒐集、處理或利
用個人資料。
然而,當委託機關之指示有違反個資法之情形時,依照施行細則第8
條規定,受託的業者應該立即將該情形通知委託機關。一方面提醒委託機關
其指示違法,另一方面,受託人亦可透過通知委託機關的動作,作為日後訴
訟上減輕或免除責任的舉證,以保障自己的權益。
十二、 將個人資料複委託其他機關蒐集、處理或利用,事後發生資料外洩等情
形時,業者是否仍須負法律責任?
受委託機關發生個資外洩事件,首當其衝當然必須負責。然而,將個人
資料複委託給其他機關時,業者並不能因此即可認為並非自己將個人資料外
洩而主張無須負責。此觀諸100 年 10 月預告之「電腦處理個人資料保護法
施行細則」修正草案第7 條第 2 項:「當事人行使本法之權利,應向委託機
關為之」自明,其修正理由指出,受委託蒐集、處理或利用個人資料之法人、
團體或自然人,依本法第4條規定,於本法適用範圍內視同委託機關,亦即
仍以委託機關為權責歸屬對象。而 101 年公告之施行細則雖未如此規定,惟
其本意乃當事人向何人行使權利全憑當事人決定,而無須由法律規定。再者,
法務部 99 年 8 月19日法律決字0999028404號函亦指出:「高公局委託遠通
電收公司代收通行費,遠通電收蒐集當事人之車號及車主姓名資料等,遠通
電收有違法蒐集、處理、利用,均由貴局依電腦處理個人資料保護法第 27
條、第 30 條規定(新個資法第 28 條、第 31 條)負國家賠償責任」。因此,
委託機關仍須未受託機關的行為負責。
其次,非公務機關違反個資法規定,致個人資料遭不法蒐集、處理、利
用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,
不在此限。由此可知,非公務機關欲免除損害賠償責任,必須舉證證明自己
並沒有故意或過失。並非僅稱已複委託給其他機關即可主張免責。
另一方面,施行細則中亦規定,委託機關應對受託者為適當之監督。且
其監督事項至少應該包括預定蒐集、處理或利用個人資料之範圍、類別、特
定目的及其期間……等等。而當委託機關已經對於受託者盡到監督義務,則
相對的更能夠證明自己並無故意或過失,而主張免責,或得以減輕損害賠償
責任。
十三、 當事人向公司請求閱覽、查詢、製給複製本、刪除或更正其所留存之資
料時,公司得否拒絕?
當事人請求閱覽、查詢、製給複製本等,乃個資法第3 條所明文賦予之
權利,所以若當事人行使權利時,原則上是不得拒絕的,只有在例外情形下
始得拒絕,例如,妨害國家安全、外交及軍事機密、妨害公務機關執行法定
職務、妨害蒐集機關或第三人之重大利益(個資法第 10 條)。而對於此請求,
應於 15 日內為准駁之決定;必要時,得予以延長,但延長不得逾15日,並
應將延長原因告知當事人(個資法第 13 條第 1 項)。
個人資料蒐集、處理、利用之機關,對於個人資料有維持其正確性之義
務。個人資料是否正確,必須由當事人決定,因此個資法將更正、補充列為
當事人權利之一。當事人於發現其個人資料有誤時,可請求補充、更正之;
若機關自行發現資料有誤,則應主動補充、更正。
因此,當事人要求補充、更正時,原則上亦不得拒絕之。只有在正確性
有爭議時,才可以暫時不為更正,而此時則應主動停止處理、利用個資,等
爭議調查清楚之後,再行更正、補充個資之內容(個資法第 11條第 1、2 項)。
除此之外,當個人資料蒐集之特定目的消失或期限屆滿時,應主動或依
當事人申請,刪除該個人資料。同樣的,此亦為當事人可行使之權利之一,
若當事人提出刪除的請求時,原則上不得拒絕。若因執行職務或業務所必須
又或是經當事人書面同意者,則不在此限(個資法第11 條第 3 項)。
而對於當事人所提出的更正、補充、刪除等請求,應於30 日內,為准
駁之決定;必要時,得予以延長,延長期間不得逾30 日,並應將其原因以
書面通知當事人(個資法第13條第2 項)。
十四、 當事人得否以電話請求更正或刪除資料?
個資法賦予當事人得行使查詢、閱覽、製給複製本、補充、更正、刪除,
以及停止蒐集、處理或利用個人資料等權利,且當事人的權利不得預先拋棄
或以特約限制之。除非有法律規定之情形,否則不得拒絕當事人之請求。
當事人行使其權利時,應以何種方式為之,法律並無明文規定,因此,
當事人以電話請求更正或刪除資料時,亦無不許之理。雖然,以電話的方式
難以證明是否確為當事人本人,然而,只要能夠確認為當事人本人,則並非
不能為之。舉例而言,公司可以於電話中,詢問來電者關於當事人相關之資
料,如身分證字號、地址、或當事人於公司所留存之驗證密碼等,均可作為
驗證當事人身分的依據,而在確認其身分後,則將可回應當事人之請求。
十五、 員工可否要求公司刪除一切個資?
公司為了內部的經營管理、新進人員之面試,或員工薪資的發放等目的
等,無可避免的會握有員工的個人資料。
員工,無論是否在職,均屬於個資法所欲保護的對象,依法擁有要求刪
除其個人資料之權利。而個資法第11 條第 3 項指出,個人資料蒐集之特定
目的消失或期限屆滿時,應主動或應當事人之請求,刪除該個人資料,但因
執行職務或業務所必須或經當事人書面同意者,不在此限。
據此,當員工的合約屆滿或另覓工作而離開公司時,此時即屬於特定目
的消失或期限屆滿之適例。然而,若是在職的員工提出刪除個人資料的要求
時,此時公司是否應為同意?
按公司握有在職員工的個人資料,其目的可能係為了公司內部的經營管
理,或為薪資的發放之目的。首先,公司對於員工之個人資料之蒐集目的尚
未消失或期限尚未屆滿;其次,若對員工資料予以刪除,將有可能會影響公
司業務的推行,因此,公司對於在職員工所提出之刪除個人資料請求,應得
予以拒絕。
十六、 違反個資法會有什麼樣的後果?
(一)民事責任:
因違反個資法而導致權益受損,被害人可請求損害賠償。雖非財
產上損害,亦得請求賠償相當金額,名譽若受有侵害,得請求回復名
譽之適當處分。若被害人不易或無法證明其實際損害額時,以每人每
事件新臺幣 500 元至2 萬元以下計算。所以,如果今天有 20個當事
人向非公務機關提起損害賠償訴訟,20 個當事人都不能舉證他們自
己所受到的實際損害額時,法院可以依侵害情節輕重,以 5 百元到 2
萬元乘以20人,也就是以總金額1萬元到40萬元計算損害賠償金額。
另一方面,對業者而言,基於同一原因事實對多數受害人所負擔。
(二)刑事責任:
違反個資法之規定者,最高可處 5 年以下有期徒刑、拘役或科或
併科新臺幣 100萬元以下罰金。
(三)行政責任:
非公務機關違反個資法時,由目的事業主管機關按次處新臺幣2
萬至 50 萬元之罰鍰;其代表人、管理人或其他有代表權人,除能證
明已盡防止義務外,並應受同一額度罰鍰之處罰。
十七、 公司應如何證明無故意過失而免除賠償責任?
個資法第29 條規定,非公務機關違反個資法規定,致個人資料遭不法
蒐集、處理利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無
故意或過失者,不在此限。由此可知,非公務機關欲免除損害賠償責任,必
須舉證證明自己並沒有故意或過失。
然而,在面臨當事人提起損害賠償請求時,應如何證明自己並無故意或
過失?此涉及訴訟攻防的概念,以個資法而言,公司可以舉證證明已經依照
個資法的相關規定為之,例如,已經依施行細則要求,建立安全維護的必要
措施;委託其他機關蒐集、處理或利用個人資料時,已做到施行細則之監督
要項等。都是公司於面對個資法時,所應遵守之規範。建議將相關紀錄存檔
備查,以因應將來個資侵害之訴訟,公司可舉證證明其並無故意過失。
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 1.34.153.98
... <看更多>