內容簡介:
個人資料保護法係以「人格隱私權」概念中之「個人資料保障」為出發點,規範個人資料之蒐集、處理、合理利用、告知義務等程序事項;以及個人資料之當事人權利維護等實體事項。本書以個人資料保護法之整體架構為脈絡,劃分為九章節,各就實務操作所產生適用上疑義,以法律制定及政府機關、學理、企業應用等面向切入,提供務實面的法律解析意見,並輔以簡易事例說明。
本書目標為期透過精鍊文字完整說明個資法之精要,冀使讀者只需透過本書即可細膩掌握個資法的全貌。


本書特色
「隱私」與「個人資料」是相同的概念嗎?「公務機關」與「非公務機關」怎麼區別?書面同意是什麼意思?違反個資法除了賠償之外,會有刑事責任嗎?個人資料保護1.0,保護個資一點就靈!!




作者簡介:
資訊工業策進會科技法律研究所簡介
緣起
1989年,資訊工業策進會在資訊市場情報中心之下,正式編制「資訊法律研究小組」,協助資訊產業掌握全球脈動,追求卓越的國際競爭力。1996年,在經濟部科技專案支持之下,研究團隊轉型成為獨立編制的「科技法律中心」(Science&Technology Law Center),並自2011年起更名為「科技法律研究所」(Science&Technology Law Institute, STLI),以承先啟後開拓創新之精神,在瞬息萬變的科技洪流中,引領科技產業走向另一波高峰。
目標
自誕生之日起,科技法律研究所即肩負科技及產業政策法制智庫、產業共通性法律制度推手的重責大任。面對資訊化、科技化及全球化的強勢挑戰,本所堅持以精深的法律專業提供務實的解決方案,多年來持續協助政府打造優質的科技與新興產業發展法制環境,引領我國接軌國際、佈局全球。為將法制策略能力轉化為影響世界版圖的嶄新行動,本所並規劃延伸專業觸角,擴大國際交流與合作的範圍,冀望本所能成為科技與法律的匯集點,更要成為促進台灣與世界連結的標竿型研究重鎮。
研究領域
本所由不同專業背景之成員所組成,兼具人文與科技的多元特質,厚實因應挑戰的能力。本所成員具有國內外相關科系之博、碩士學位,熟悉先進國家科技與新興產業法制。本所研究領域包含個人資料保護法制、電子商務法制、科技研發法制、科技專案法制、資通訊法制、電子化政府法制、資訊安全法制、生物科技法制、文化創意法制及智慧財產權法制等。
個人資料保護法施行前,本所即長期致力於協助政府機關與民間企業處理個人資料保護相關計畫,包括提供法遵建議,參與國際重要個資隱私研討會議,辦理教育訓練課程,受邀至政府機關、公司演講等。並且於2010年起,受經濟部商業司委託建置推動「臺灣個人資料保護與管理制度」(Taiwan Personal Information Protection and Administration System,TPIPAS)」,以我國個資法制為基礎,結合國際潮流與產業個人資料保護之需求,將專業的法律要件轉化為企業內部管理流程,以協助產業建立有效的內部個人資料管理制度。




內文試閱:
第二章 個資法保護了什麼?
個資法通過施行後,對你我的生活都造成了影響。個人資料保護的意識提升,反應在此次的修正,使我們有更多的權利可以主張,另一方面,相對也加重了政府以及企業的責任。前面一章從較廣的面向認識個資法,接下來,則我們要介紹,究竟個資法保護的內容是什麼。

在進入個資法之前,最先要了解的應該是什麼叫做個人資料?個人資料一直是一個爭執不休的議題。舉例來說,電話號碼是不是個人資料?電話號碼是一連串數字的集合,所以早期並不認為電話號碼是個人資料,但現在新法已經明文規定聯絡方式也是個人資料的一種。由此可知,個人資料的定義是與時俱進,而非一成不變。本章將帶領讀者認識,要具備哪些條件才算是個資法所要保護的個人資料?個人資料檔案定義為何?以及個人資料當中,某些被歸類為「特種個資」的資料,在個資法上究竟有什麼特殊之處?
Q1、什麼是個人資料?

個人資料一詞顧名思義,就是與個人有關的一切資訊。舉凡大家最熟知的姓名、電話、住址等資訊,以至於病歷、學歷、工作履歷等等經歷等等,都可以是所謂的個人資料。舉例而言,個人在申請行動電話時,需要附上雙證件,並填寫姓名、聯絡市話、戶籍地址、帳單地址、身分證號及生日等資料,所以實際上個人資料的範圍十分的廣泛,而不僅限於法條所例示的文字。就個資法上來說,個人資料的定義可以分析如下:

1.與自然人相關

「個人資料」是與人有關的一切資料,凡可以直接或間接連結到特定人的資料,都是個資法所定義的個人資料。但是,究竟什麼樣的人才是個資法中所指的「人」?

在個資法中,只有「自然人」的個資是需要保護的。所謂的「自然人」,即是法律賦予權利以及負擔義務之個人。簡單來說,所謂的自然人就是生存的個人。民法規定人之權利「始於出生,終於死亡」。因此,死亡之後的人不是法律上所稱之人。換句話說,已死亡之個人,其個人資料不屬於個資法所保護。不過,這並非指已死亡之個人就其個人資料權利可主張,而是指無法依個資法來主全權利,此點應特別注意。

以多年前曾轟動一時之誹韓案為例,韓愈第三十九代的直系血親控告某人寫文章指稱韓愈染上風流病,妨害其名譽。如果我們從個資法的角度來看,風流病在個資法的定義上,可將之視為一種個人的醫療資訊。醫療資訊雖是個資法上定義之個人資料,但因為定義中已經說明個資法所保護的個人資料,限自然人之個人資料,因此韓愈的個人資料並不適用個資法加以保護。但是,韓愈的名譽或韓愈親族的名聲還是有其他法條可以加以規範。
另外,法律上所說的人除自然人外,還包括法人。法人是指法律上具有人格的組織,它們就像自然人一樣享有法律上的權利與義務。換言之,法人就是自然人以外,具有權利能力的社會組織。簡單來說,法人並非「人」,而是一個「團體」的代稱。在法律上,我們將法人當作是人,讓它可以和自然人一樣,從事買賣或是其他相關法律行為,負擔一定的責任,享受一定的權利。然而,由於個資法是以個人人格、隱私等專屬於自然人之權利為出發點,因此法人的資料在個資法中並不受到保護。舉例來說,財團法人資訊工業策進會,所在地是台北市大安區XX路XX號,這些資料的內容並不受到個資法所保護。不過,如同前段所說,法人的資料的權利依然可以透過其他法律,例如營業秘密法加以保障。
最後,尚有一點值得釐清。在法人團體登記的相關資料中,通常都會包括其負責人的資料,包括其姓名、電話,甚至還有身分證字號等較為敏感的資料,究竟這是否屬於法人的資料而不在個資法適用範圍內呢?對於法人來說,負責人是誰固然屬於其法人資料的一部分,但是對於負責人本身來說,他所留下的資料只要是專屬於其個人的,例如姓名或是身分證字號,當然是不折不扣的個人資料。

2.資料內容包含:姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料

個人資料的種類,在個資法中明文列舉出的有19種。除此之外,個資法針對個人資料還有一個概括的定義,即「其他得以直接或間接方式識別」之個人資料。所謂「其他得以直接或間接方式識別」之個人資料,將個人資料的範圍擴大。由此可知,個資法想要儘量的把可能成為與「人」有關的資料通通納入規範。從姓名、國民身分證統一編號等直接可以與個人相連結之資料,乃至財務情況、社會活動等與人的作為相關聯的資料,甚或是其他得以直接或間接方式識別該個人之資料都包括在個人資料的範疇內。

所謂「得以直接識別」之個人資料,其資料本身必定具有高度辨識性,可以直接指涉到個人,如上述所舉之姓名、國民分證統一編號等等均屬之。由於這些資料具有直接識別的特性,一旦有問題,容易使當事人之隱私或生命、身體、財產安全有機會遭到侵犯,因此保護此種資料符合個資法的目的,所以「得以直接識別」之個人資料當然屬於個資法中應受保護之資料。

然而,因為社會態樣複雜,有些資料雖未必可以直接可以辨識為某個特定個人,但只要依據蒐集者所持有之其他資料可以互相對照、組合後然後連結到某特定個人時,也有可能使當事人上述權利遭到侵犯,因此這種資料也會被認為是個資法當中所定義的個人資料。這種需要與其他資料對照組合進而連結到特定當事人的個人資料,就是所謂的「得以間接識別」的個人資料。「得以間接識別」之個人資料,有什麼樣具體的例子可以想像呢?以特徵為例,某人在公車上、是男性(性別)、打有領帶(特徵)、帶有眼鏡(特徵)且坐在駕駛座上(特徵),以上各個資料獨立時並無法確認到底是誰,但將上述資料結合起來後,就可以確認到底所指稱的對象為何人。這些資料就是個資法所指之「得以間接識別」的個人資料。又例如電話或地址等資訊,如果結合姓名,也就是電話或住址的所有人時,此時,這些資料之結合可以連結到特定人,因此像是電話或是住址就是「得以間接識別」之個人資料。由於這種「得以間接識別」之個人資料一經揭露仍可以識別當事人是誰,對個人隱私會造成衝擊。所以,個資法也保護了「得以間接識別」之個人資料。

關於「其他得以直接或間接方式識別該個人之資料」實務上有哪一些情況呢?我們以下面這個例子來作討論。

線上遊戲是現在很多人的休閒活動。玩線上遊戲的時候,玩家通常會以ID註冊並使用暱稱在虛擬世界裡行動。ID與暱稱可代表玩家當事人本人,如果以個資法的定義來看,線上遊戲的「暱稱」跟「ID」到底是不是個人資料?

從個資法的角度加以觀察,所謂「得以間接方式接識別」之個人之資料是用來補強「得以直接方式識別」的不足。而當要判斷該個人資料是不是屬於個資法所保護之「得以間接方式接識別」之個人之資料,必須判斷這個資料是不是可藉由投蒐集者所保有之其他資料互相對照、組合、連結然後指涉到某個特定的人。因此,線上遊戲的「暱稱」跟「ID」雖然可能無法直接識別出特定的人,但是透過其他的方式(如遊戲公司的資料庫內有ID或暱稱使用者的真實姓名),如果可以把「暱稱」或「ID」的持有者加以結合得出特定個人時,該「暱稱」跟「ID」就會是個資法所稱的個人資料。

Q2、有沒有不適用個資法之個人資料?
依據個資法所定義出來的個人資料,原則上在蒐集、處理、利用都應該有一定的規範,且都需要被適當的保護。我們接下來要繼續討論,是不是所有屬於個資法定義的個人資料都應該被個資法所規範?

凡與個人有關,得以直接或間接識別個人之資料,都是屬於個人資料的範疇。然而,個人資料在日常生活中,被蒐集、處理、利用的樣態實在多不勝數,上至基於公務或商業之原因,下至人民的一般日常作息,都可能會包含了個人資料。姑且不論個資法是否真的能夠做到滴水不漏的保護到每一種個資的蒐集、處理、利用,但要知道的是,過多的規範,有時可能會使原本避免人格權受侵害的出發點,遭到了扭曲,而因此會對民眾的日常生活帶來不便。
為避免衝擊過鉅,個資法第51條第1項即規定了二種不適用個資法的情形:

1.自然人為單純個人或家庭活動之目的,而蒐集、處理或利用個人資料

自然人因為單純的個人活動或家庭活動,而蒐集、處理或利用個人資料,若是要求其依照個資料法的規範,例如,告知蒐集之目的、取得當事人同意、通知義務,甚至在未履行義務時處以相關罰則等,勢必會造成民眾極大的不便。

什麼樣的個人資料是「自然人為單純個人或家庭活動之目的,而蒐集、處理或利用個人資料」?例如:社群網站Facebook推出的標記功能,可以將個人活動照片上傳,並標記參與活動的朋友。這種屬於社會活動的個人資料,在個資法的定義之中,為個人資料,此點無庸置疑。然而,試想在資訊技術發達的現代,為了分享自己與朋友間的互動,而標記了好友姓名時,這種標記行為提供了好友的個人資料,屬於個人資料利用行為的一種。此時若個資法還是要求人民對於利用個人資料的行為,遵守一定的規範,否則將會被處以高額罰款時,這樣的法律規定豈不造成人民的生活極大的不便利。

此外,現代人分享個人生活的管道很多,我們經常會將聚會活動照片上傳到部落格,而照片中除了自己外,可能亦包括了其他人的個人資料(特徵)。既然牽涉到了其他人的個人資料,在拍照之前是不是應該要對他們進行告知,或者取得書面同意?如果答案是肯定的,你還會想跟朋友拍照嗎?又如,我們為了記下親朋好友的聯絡方式或其他資料,會在手機中保存其連絡方式,甚至以紙本記錄、整理相關的通訊錄等,凡此種種,若是亦適用個資法的規範,其影響可想而知。

正因為個資法所要求的規範較為複雜,影響層面太大,因此,立法者將這種單純為個人目的以及為了家庭活動所蒐集、處理或利用個人資料,排除在個資法的適用範圍之外,以免影響到一般人民的日常生活。但是這並不表示因為個人目的利用資料時,可以完全不用遵守其他保護隱私之基礎法律。近來很多社會新聞中會報導情侶或朋友基於炫耀或報復的心理,將曾拍攝的親密照片放在網站上供他人瀏覽,這樣的行為仍有可能觸犯刑法妨害秘密罪或是侵害當事人人格權而遭到求償,不可不慎!

2.公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料

在影音記錄設備發達的時代,藉由影音方式蒐集、處理或利用個人資料(影音紀錄中可能包含肖像、聲音個人的特徵,因此亦屬於個人資料)的情形時有所聞,有時是錄製日常生活,例如,出外遊玩時以攝影機拍攝遊玩過程。有時甚至還是依法律規定而為之,例如,刑事訴訟法第100條之1,訊問被告,應全程連續錄音;必要時,並應全程連續錄影。有時則是基於安全或蒐證等理由而為之,例如,街道路口的監視器、個人或商家的監視器等。既然有記錄下個人的特徵(胎記、刀疤、聲紋等)的可能,而個人特徵又屬於個人資料,就會產生適用個資法的可能。

然而,是不是所有錄到的影音資料,都必須遵守個資法的規範?答案是否定的,個資法第51條第1項第2款即規定,公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料,不適用本法之規定。

舉例來說,現在大多數的街道或店家都應該裝有監視器,這些監視器一天24小時記錄來來往往的行人,這些記錄其實都是當事人的個人的特徵,當然是個資法定義的個人資料。然而,如果使這些監視器錄製的個人資料都受個資法所規範,則表示店家必須針對每天路過的行人,履行其蒐集個人資料時所應盡的義務,比方說告知義務。因此,個資法也排除了這種個人資料,只要是在公開場所所蒐集的,例如路邊監視器錄製的,此時,這種影音資料如果沒有與其他個人資料結合,則這些監視器所錄下的影像即非個資法所規範。但如果警察機關為偵查犯罪,調閱監視器所錄下嫌犯之影音資料,並與其他偵查資料,如該嫌犯的姓名或綽號結合整理成偵查卷宗,則該影音資料於此時便成為應適用個資法之個人資料,應遵守個資法之相關規定。

又例如,今天我們到了知名的遊樂區遊玩,而且很開心的用DV錄下了美好的回憶,然而,由於人潮擁擠,難免會拍到在我們身旁經過的路人甲乙丙丁,對於這些路人甲乙丙丁,雖然我們可能拍下了能夠辨識他們的某個特徵,而有了蒐集個人資料的疑慮。這時候,我們要不要再對路人甲乙丙丁一個個進行告知,或取得其書面同意等等?放心,因為這是在公開場合中所蒐集得來,所以已經不是個資法的範圍。要不然,若是我們要分別對路人甲乙丙丁一個個為告知,或是取得書面同意,試問,我們還有心情拍DV嗎?但如某些報章雜誌所拍攝的路人或社會事件的照片,若在照片說明部分增加了當事人的姓名或其他關於該當事人之介紹時,此時又必須受到個資法的規範!



資料來源:http://www.taaze.tw/sing.html?pid=11304778241