在什麼情況下，才能夠「合法利用」他人的個人資料？

文：林煜騰 （台大法碩士、執業律師）

個人資料保護法，並非是限制個人資料不能使用，而只是要求個人資料被「合理使用」。個人資料保護法，把使用個人資料的情況，區分為蒐集、處理或利用三種態樣：

1. 蒐集，是指以任何方式取得個人資料；
2. 處理，是指為了建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
3. 利用，是指將蒐集之個人資料為處理以外之使用。

因此，就算被認定為「個人資料」依照個人資料保護法，在特定條件下，也可以使用個人資料。一般人在網路上最常遇到，將他人的姓名、電話、地址公布在網路上就是屬於「利用」行為。本篇先跟大家談，在什麼情況下，才能夠合法「利用」他人的個人資料。

可以合法利用個人資料的情形

個人資料保護法，先將個人資料分成「一般性資訊」、「敏感性資訊」，進而區分使用人為「公務機關」以及「非公務機關」而有不同規範。

1. 「一般性資訊」於蒐集目的範圍內使用

如果是一般性資訊（即非病歷、醫療、基因、性生活、健康檢查及犯罪前科）在特定條件下，原則上都可以合法利用。

個人資料保護法第5條規定：「應尊重當事人之權益，依誠實及信用方法為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。」

另外，在個人資料保護法第16條規定「公務機關對個人資料之利用…應於執行法定職務必要範圍內為之，並與蒐集之特定目的相符。」、同法第20條也規定：「非公務機關對個人資料之利用…應於蒐集之特定目的必要範圍內為之。」

這兩個條文的意思是，要使用個人資料，必須要在蒐集此資料的「目的」範圍內使用；若超出使用範圍就是違反個人資料保護法。而法院認為所謂特定目的「必要」範圍，其內涵就是比例性原則。

在比例原則的操作下，使用個人資料時，必須同時審視使用個人資料的情形，是否符合合適性原則、必要性原則及狹義比例原則：

• 合適性原則，指資料利用人使用個人資料的方法，可以達成當初取得該資料的目的；
• 必要性原則，指必須要在所有可能達成目的方法中，選擇對當事人（即個人資料之本人）最少侵害的手段；
• 狹義比例原則，指資料利用人所欲完成的目的及使用手段，不能與因此造成當事人的損害或負擔不成比例（臺灣高等法院臺中分院104年度上易字第885號刑事判決）。

舉例而言，民事判決書上的個人資料，是為了向法院聲請民事執行或行使訴訟上權利使用，但若資料利用人未隱蔽判決上所載相關人士姓名、地址等個人資料，即複印發送給各住戶以及公眾，就逾越此份資料可以使用的目的，違反個人資料保護法第41條第1項（臺灣高等法院臺中分院104年度上易字第885號刑事判決）。

2. 敏感性個人資料原則上不得使用，例外應於蒐集目的範圍內利用

至於有關病歷、醫療、基因、性生活、健康檢查及犯罪前科等個人資料，原則上都不能自由蒐集、處理或利用，必須要符合個人資料保護法第6條的六種情形才可以，分別是：

1. 法律明文規定；
2. 公務機關執行法定職務或非公務機關履行法定義務必要範圍內，且事前或事後有適當安全維護措施；
3. 當事人自行公開或其他已合法公開之個人資料；
4. 公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人；
5. 為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內且事前或事後有適當安全維護措施；
6. 經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用，或其同意違反其意願者，不在此限。

舉例而言，個人前科資料屬於敏感性個人資料；但如果是因為資料利用人，於他案件中依法到庭應訊、聆判、收受判決、查悉判決已否確定等，因而蒐集到，當事人的犯罪前科個人資料，就沒有未違背個人資料保護法第6條第1項。

不過法院認為，就算符合個人資料保護法第6條第1項，而合法取得這些資訊，如果要利用這些資料，也必須要符合，在「蒐集此資料的目的」範圍內使用。若超出使用範圍，就必需要符合同法第16條（公務機關）和第20條（非公務機關）的例外規定，否則就是違反個人資料保護法（臺灣高等法院刑事判決104年度上易字第2289號）。

3. 目的範圍「外」使用

蒐集個人資料的目的範圍「外」使用，個人資料保護法區分「公務機關」以及「非公務機關」，分別規定在同法第16條（公務機關）和第20條（非公務機關）。但條文內容其實是大同小異。

公務機關如果要在蒐集該資料目的的範圍外，利用個人資料必須要符合個人資料保護法第16條的規定，分別是：

1. 法律明文規定；
2. 為維護國家安全或增進公共利益所必要；
3. 為免除當事人之生命、身體、自由或財產上之危險；
4. 為防止他人權益之重大危害；
5. 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人；
6. 有利於當事人權益；
7. 經當事人同意。

而非公務機關如果要在蒐集該資料目的的範圍外，利用個人資料必須要符合個人資料保護法第20條的規定。此條文跟第16條相比，只有將「為維護國家安全」（仍保留為增進公共利益所必要）的事由刪除。

從上面的事由可以看出，除了「經當事人同意」這款事由外，其他的事由都不是一般人可以一望即知是否符合規定。因此，若要在蒐集個人資料的目的範圍外，使用他人的個人資料，最保險的作法，還是只有經過當事人同意一途。

Photo Credit：截自復興高中網站

法院認為哪些案件可以使用個人資料？

除了法條的規定外，法院已經累積了許多認定合法使用個人資料的判決。若依循法院的認定結果操作，也可以相當程度避免觸法。

1. 只公布姓名

比較典型的案件，是只公布姓名而沒有添加其他資訊。法院認為「姓名」存在的目的是為了要特定他人身分，因此資料利用人要告訴別人我在講「誰」而用到他人的姓名，就屬於在資料蒐集範圍內使用的情形。

舉例而言，在一則公布判決書的案件，因被告與其姊夫住在同一處，其姊夫時常以數位相機偷拍其沐浴過程，因此判刑。被告就將判決中其姊夫的年籍、住居處等資料刪除後，張貼在網路上並寫道：「你照樣過著神不知鬼不覺的生活，沒有任何親朋好友知道你到底是怎樣的人！我決定po上此通知書，讓大家知道此人實際上是怎樣的人！」

法院認為，此判決書上只有公布相關人士的姓名，也沒有將該案被告犯罪的時間地點貼出。同名同姓者不勝枚舉，一般人難憑姓名，就直接或間接得知判決書上寫的人是誰，因此此文字資料尚難構成個人資料保護法所保障得以直接或間接方式識別該個人資料（臺灣高等法院103年度上易字第2172號刑事判決）。

就算「姓名」屬於個人資料保護法所要保護的資料，被告刊登判決書的目的，是為了表示其遭人偷拍的真相，請他人洗澡時時需稍加注意，以免遭受偷拍。並非出於非法或不當的目的。