現代社會個資種類繁多,到底哪些情況才適用「個人資料保護法」?

現代社會個資種類繁多,到底哪些情況才適用「個人資料保護法」?
Photo Credit:depositphotos.com

我們想讓你知道的是

本文將和各位說明如何判斷什麼是受個人資料保護法所保護的「個人資料」以及認為散布哪些「一般性個資」以及「敏感性個資」會受到個人資料保護法的處罰。

文:林煜騰 (台大法碩士、執業律師)

個人資料的種類眾多,雖然個人資料保護法第2條已經列舉了許多事項,但仍留有「其他得以直接或間接方式識別該個人之資料」的概括條款。因此,什麼樣的資料,受到個人資料保護法的保護,就有相當大的解釋空間。

再者,個人資料保護法把個人資料區分成第6條原則上不可以蒐集的敏感性資料,即有關病歷、醫療、基因、性生活、健康檢查及犯罪前科等個人資料,以及本條以外的一般性個人資料。

而一般性的個人資料,則必須要符合個資法內其他細部有關公務機關(個人資料保護法第15~16條)和非公務機關(個人資料保護法第18~19條)個別的規定才能蒐集、處理或利用。如果違反這些規定,則會依據個人資料保護法第41條處以刑罰。

此部份本文,將和各位說明如何判斷什麼是受個人資料保護法所保護的「個人資料」以及認為散布哪些「一般性個資」以及「敏感性個資」會受到個人資料保護法的處罰。

個人資料的「直接識別性」與「識別之重要性」

個人資料保護法的立法目的,是在於保障個人資訊,避免受到公務機關或非公務機關的侵害。而保護的前提必須在這些資料可以「連結」到資料的主人,才有保護的必要。

如果從資料本身根本無從或難以識別這些資料的擁有者是誰?或縱使依據客觀方式進行推測,也無法確定究竟是何人的資料,這些資料就不屬於個人資料。

對於該資訊的蒐集、處理或利用,即不會侵害特定個人,自然也不用透過個人資料保護法來保護。反之,若就資訊本身進行觀察,已足以辨識、特定具體個人的資訊,此時就涉及個人資料的保障,自然有個人資料保護法的適用。

至於如何確定「資訊」與「特定個人」間,具有足以連結的相關性?法院認為,重點必須要放在「直接識別性」與「識別之重要性」這二個基礎之上。

「直接識別性」是指資料必須要可以直接與個人連結。只有姓名、國民身分證統一編號、護照號碼、指紋等資料具有直接特定個人識別性;至於個人資料保護法第2條所規定第一款的其他例示性資料,單獨提出沒有辦法特定個人,一定要與前面的資料結合,或有複數的資料一起呈現,才能識別出特定個人。

只要不足以表現或特定個人的資料,不管如何利用都沒有侵害個人資料的問題(臺灣高等法院104年度上訴字第1393號刑事判決)。

例如:只提出「有一個人有竊盜前科、有心臟病病史」,並不足以認定究這個資料指的是誰,自然就沒有無侵害特定個人隱私權的問題;因此,個人資料保護的重點在於資料與個人間的相連與識別性,而不是單純資料本身。如果與個人脫鉤的資料,不能稱為個人資料,只能稱為「統計數字」,此時就要考慮這些資料有沒有「識別重要性」。

「識別重要性」,是指資料本身能不能「間接」識別出資料的擁有者的程度。如果該資料經過比對、連結、勾稽,可以達到直接識別出資料的擁有者,此份資料就具有個人資料保護的價值和意義。如果這份資料,欠缺「關鍵」或「重要性」的價值,無法特定出某一個人,就屬於無用的個人資料,不受保護。

綜合上述說明,法院認為,個人資料保護法的個人資料,必須配合此法律的規範目的,限縮是用的範圍(目的性限縮解釋)。

除了國民身分證統一編號、護照號碼、指紋具有直接識別性外,其他資料必須建立在藉由複數資料群比對而能特定個人、進而導致有個人隱私權遭侵害的危險時,才屬於個人資料保護法所要保護的範圍(臺灣高等法院104年度上訴字第1393號刑事判決)。

舉例而言,在一則散布猥褻影像的案例中,法院認為男方將與前女友交往時,經女方同意所拍攝的裸露胸部、生殖器官及兩人為性行為的猥褻影像張貼在網站上。但並沒有張貼照片當事人的姓名、國民身分證統一編號、護照號碼、指紋或其他可以直接特定個人識別性的個人資料,一般人無法單以觀覽照片的方式,就可以直接識別照片中的人是誰。

因此,雖然其散布猥褻影像行為觸犯,散布猥褻物品罪,但並不觸犯個人資料保護法(臺灣高等法院104年度上訴字第1393號判決)。

一般性個人資料

個人資料保護法施行至今,法院已經處理過許多典型的案例,認為公布只要將這些特定的個人資料公布在網站上,就很有可能觸犯個人資料保護法。如:公布個人的姓名、車牌號碼、地址、身分證字號、電話。

舉例而言,在一則感情糾紛中,男方不滿其女友的前男友,在Facebook「動態時報」上,將其女友的前男友,車牌號碼後4碼、車款、顏色、活動區域、姓名、照片等資料,張貼在上開動態時報上,並留言內容:「我覺得此人太畜牲,而且打死不承認拿女友錢買車,好可憐啊!叫他還錢又不敢回。」後來被法院認為違法散佈個人資料,違反個人資料保護法第41條,應予處罰(臺灣高雄地方法院 105年度簡字第2432號刑事判決)。

在另一則商業競爭的案例,被告從事機場接送服務業,不滿另外一名司機以低於行情價提供機場載送服務,在行動電話LINE群組內,張貼載有該名司機姓名、行動電話門號、車牌號碼的資訊貼文寫:「…《大王》干師傅、Jarvis,都搶大陸單,如果無法洗包車趟,就放500順風群,作賤各位司機以500跑接送機,然後自己賺差價天天約人打麻將,你們的血汗都是他的麻將本啊,0000000***、0000000***,開現代九座starex及白色CRV,車號0000,姓名:○○○,電話0000000***,各位如果不想被糟蹋就轉出去吧!」等文字,法院認為是這是違法散佈個人資料,違反個人資料保護法第41條,應予處罰(新北地方法院105年度審簡字第1650號刑事判決)。

而在一則公寓大廈糾紛裡,被告雖然只公布住戶居住樓層和車位,但被法院認為此資料可以識別出特定個人,而被認定有罪。

案件中,被告辯稱在Facebook上貼出肇事車主是「H1-2F、第254車位」的住戶。法院認為,雖然被告沒有無特定指明某一樓某一樓層內之某一住戶也沒有公布車牌號碼,但被告是在社區的臉書上公布此資訊,社區住戶可以很輕易的透過此資訊得知「H1-2F、第254車位」是表示住在該社區H1棟2F、地下停車位第254車位的人。

此資訊,不論由直接或間接的方式均可以特定出個人身分,屬個人資料保護法所保護的範圍。此種資料,不像是在公路上或其他公開場合看到特定車牌號碼的單一資訊,在未有其他資訊輔助下,不足以指向特定某個人所得比擬(臺灣桃園地方法院104年度易字第653號刑事判決)。

敏感性個人資料

個人資料保護法第6條的敏感性資料,包括病歷、醫療、基因、性生活、健康檢查及犯罪前科。這些資料必須要在符合,本條文第一項的各種例外規定,才可以加以蒐集、處理或利用。

在一則公寓大廈糾紛中,被告因與另一名住戶有訴訟糾紛,取得該住戶的學歷和病歷資料。因此,製作指涉該住戶「小學肄業謊騙大學畢業」、「患焦慮症、憂慮症」等涉及教育與病歷的個人資料,投遞在社區內每個住戶的信箱。

法院認為雖然被告是在民、刑事訴訟中,依訴訟法相關規定到庭應訊、聲請閱卷等方式合法取得這些資料。但取得這些資料的目的不是要讓他可以散佈於眾,因此違反個人資料保護法第41條(臺灣高等法院105年度上易字第788號刑事判決)。

同樣是公寓大廈糾紛,被告在多數住戶及不特定訪客得以共見共聞的大廈公共電梯內及各樓層樓梯口,張貼有關另一明住戶的資訊,寫道:「OOO有暴力傾向……法院判刑拘役30天,不得再上訴」、「3F住戶OOO傷害罪判刑拘役30天,不得再上訴……有『暴力傾向』人資料……」等內容包括內容包括該住戶姓名、犯罪前科等個人資料。

法院認為,紙條上所載的姓名及犯罪前科,可以識別出特定人,被告違法散佈個人資料,因此違反個人資料保護法第41條(臺灣高等法院104年度上易字第2289號刑事判決)。

除了這本週提到的這些案例,另一種常見的案例是公布判決書或政府文書的法律責任,此部份會在下週跟大家說明。

本文經極憲焦點授權轉載,原文發表於此

責任編輯:孫珞軒
核稿編輯:翁世航