《個人資料保護法》(下稱個資法)自101年10月1日第1次修法上路以來，雖歷經3次修正，惟在實務上仍有諸多疑義。

重要實務見解

一、加密個資屬於《個資法》保護範圍

　　加密後之資料雖不能直接識別特定當事人，但若可對照、組合、連結識別特定個人，仍屬《個資法》所稱之個資。如金融機構上載經加密之自然人存款餘額查詢結果至財金公司之平臺暫存，再由行政執行署透過應用程式介面API介接，即時或疑義解析批次自平臺取得資料及進行解密，即使因加密而無法知悉其內容，但該餘額查詢結果仍屬經對照、組合或連結後，得以識別特定當事人者，仍屬《個資法》之個資。

二、消費者信用卡卡號屬於《個資法》保護範圍

　　依據《個資法》第2條第1款規定，個資指自然人之姓名⋯⋯及其他得以直接或間接方式識別該個資；另同條第3款規定，蒐集指以任何方式取得個資，如店家欲透過取得消費者信用卡卡號以確認特定自然人身分，屬《個資法》上蒐集個資行為，自應符合《個資法》第19條第1項各款有關非公務機關（指公務機關以外之自然人、法人或其他團體）蒐集個資合法事由規定。

　　非公務機關向當事人蒐集個資時，除有《個資法》第8條第2項得免為告知之情形者外，應依法履行告知義務，告知方式得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之，而告知方式亦非以書面為限，且未要求當事人簽署。

三、個資當事人得授權他人代為行使其權利

　　個資當事人對保有其個資之公務機關或非公務機關有查詢、請求閱覽之權利，除有《個資法》第10條但書所列得拒絕提供之情形者外，前述機關應依當事人請求，就所蒐集之當事人個資答覆查詢、提供閱覽。另依《民法》第103條第1項規定，代理人於代理權限內，以本人名義所為之意思表示，直接對本人發生效力。故當事人自得授權其代理人行使上開權利，惟有關代理權限之有無及其範圍，則屬個案事實認定。

四、檢舉人不得要求公務機關提供被檢舉人違反行政罰之受裁罰法條及罰鍰金額

　　《個資法》第3條第1款係保障個資當事人對其個資之使用有知悉權，僅由該筆個資之當事人所享有，亦即僅賦予個資之本人查詢、閱覽及複製其個資之權利，並未賦予人民得請求公務機關提供他人個資之權利。公務機關蒐集、處理被檢舉人裁罰之相關資料，原係基於行政裁罰、行政調查之特定目的，如擬提供非該裁罰案件之當事人查詢，則屬特定目的外之利用，應有《個資法》第16條但書所列各款情形之一（如法律明文規定、經當事人同意等），始得為之。

五、公務機關或非公務機關不得逕依當事人請求即刪除其個資

　　《個資法》第3條第5款僅規定當事人就其個資之刪除權不得預先拋棄或限制，有關當事人行使刪除其個資之權利，仍應依《個資法》第11條第3項規定辦理，亦即個資蒐集之特定目的消失或期限屆滿時，應主動或依當事人之請求，刪除、停止處理或利用該個資，但因執行職務或業務所必須或經當事人書面同意者，不在此限。

有關前項但書於《個資法施行細則》第21條明定3種情形：
(一)有法令規定或契約約定之保存期限；
(二)有理由足認刪除將侵害當事人值得保護之利益；
(三)其他不能刪除之正當事由。

　　如蒐集個資之特定目的消失或期限屆滿時，當事人就其個資雖有請求刪除之權利，惟「有法令規定之保存期限」，公務機關或非公務機關仍得拒絕當事人刪除之請求，上述保存期限宜注意《個資法》第5條比例原則，避免對於個資為不必要之蒐集、處理或利用。

六、公務機關不得請電信公司提供行動用戶資料進行電話訪問

　　依據司法院釋字第631號解釋理由書，《憲法》第12條規定人民有秘密通訊之自由，⋯⋯國家若採取限制手段，除應有法律依據外，限制之要件應具體、明確，不得逾越必要之範圍，所踐行之程序並應合理、正當。如《電信法》第7條第1項規定，電信事業或其服務人員對於電信之有無及其內容，應嚴守秘密；另《電信管理法》第9條第1項亦明文，電信事業對於用戶之通信紀錄及帳務紀錄，應予保密。準此，電信公司所掌有之行動電話用戶資料係屬人民秘密通訊自由之基本權保障範疇，電信事業負有保密義務。

　　依《個資法》第5條規定，公務機關或非公務機關蒐集、處理或利用個資應符合比例原則之要求，其所採取之方法應有助於目的之達成(適當性)，應選擇對人民權益損害最少(必要性或侵害最小性)，且對人民權益造成之損害不得與欲達成目的之利益顯失衡平(衡量性或狹義之比例原則)。

　　綜上，為保障人民秘密通訊自由，且電信公司對於行動電話用戶資料應負保密義務，故電信公司不得提供相關資料使公務機關進行電話訪問，而公務機關雖得以蒐集或處理個資，然應以對個資當事人權益侵害較小之方式為之。故公務機關若請電信公司提供行動用戶資料進行電話訪問，已逾越執行法定職務之必要範圍。

七、業者以贈品誘使學童提供個資應善盡告知及取得同意

　　業者基於當事人同意，蒐集未成年學童之個資，除應注意以贈品誘使學童提供個資，是否已違反《個資法》第5條之誠實信用原則外；另應踐行《個資法》第8條第1項相關法定應告知事項，告知方式應符合學童之年齡、生活經驗及理解能力，以容易理解、清楚簡單之語言或文字為之，並使該學童得以充分瞭解其個資之後續利用，倘業者未完整踐行告知，或其告知對象無法充分瞭解其個資之後續利用，即不符合《個資法》第7條第1項所稱同意之規定，而業者就當事人同意合法要件之事實亦應負舉證責任。

　　《個資法》第7條第3項明定，公務機關或非公務機關明確告知當事人第8條第1項各款應告知事項時，當事人如未表示拒絕，並已提供其個資者，推定當事人表示同意。是以，若業者欲透過「推定同意」之方式取得個資，除應盡告知義務且明確告知外，尚須符合「當事人未表示拒絕」及「當事人已提供其個資」兩項要件，始得為之。所謂「當事人未表示拒絕」，指當事人在正面選擇同意與否之模式下進行，否則有「預設同意」之虞；所稱「當事人已提供其個資」，係當事人有自行提供個資之積極行為，倘預設自動上傳而取得個資，縱當事人未表示拒絕，仍不符合推定同意之要件。此外，關於未成年人行使《個資法》上相關權利，應回歸適用《民法》有關行為能力之一般性規定。

八、公務機關調閱學員出入境資料似不符特定目的外利用之要件

　　《個資法》第16條但書第4款所稱「為防止他人權益之重大危害」屬不確定法律概念，應依具體個案情形認定之，例如醫院為免除病人生命、身體之危險，向戶政事務所請求提供無自主能力之患者親屬戶籍資料，以通知患者親屬協處相關事宜，若戶政事務所提供患者親屬戶籍資料，可認係為防止患者權益之重大危害。

　　公務機關蒐集、處理或利用個資，應符合《個資法》第5條及《行政程序法》第7條比例原則之要求，於執行法定職務「必要範圍內」為之，且不得逾越特定目的之「必要範圍」，而所採取之方法，應符合適當性、必要性及狹義之比例原則。是以，公務機關若為調查學員有無申請不實事假違反請假規定，並以避免影響學員全體權益及日後民眾權益等為由，請內政部移民署提供特定學員申請事假期間之出入境資料，藉以作為提報公務人員保障暨培訓委員會廢止該員受訓資格之關鍵證明文件，似未達「重大」危害之程度。

九、個人架設線上族譜網站並不適用《個資法》第51條排除條款

　　依《個資法》第51條第1項第1款規定，自然人為單純個人或家庭活動之目的，而蒐集、處理或利用個資，不適用《個資法》規定。其立法理由係自然人為單純個人（如社交活動等）或家庭活動（如建立親友通訊錄等）而蒐集、處理或利用個資，因屬私生活目的所為，與其職業或業務職掌無關，如納入《個資法》之適用，恐造成民眾之不便亦無必要，爰予以排除。

　　若個人架設線上族譜網站雖與其職業或業務無關，惟該網站係供不特定人瀏覽，且內容涉及族譜成員之工作地、配偶、子女、戶籍地址及連絡電話等詳細資料，此依《個資法》第5條規定，恐已逾越單純個人或家庭活動目的之必要範圍，而難認有《個資法》第51條之適用，故相關資料之蒐集、處理及利用應依《個資法》第19、20條規定（如經當事人同意）辦理。

結語

　　誠如司法院大法官所見，隱私權為不可或缺之基本權利，故屬《憲法》所保障者，其中就個人自主控制個資之資訊隱私權而言，乃保障人民決定是否揭露其個資、及在何種範圍內、於何時、以何種方式、向何人揭露之決定權，並保障人民對其個資之使用有知悉與控制權及資料記載錯誤之更正權。透過本文可知，個資保護並非僅是法令條文，而是攸關每個人權益，大眾均應建立正確認識並且知法守法。



---本文轉自法務部調查局清流月刊---