阿搙是一個從部落來到市區讀書的有為青年，一直都非常認真學習，就在今年鳳凰花開的季節，阿搙如願的從大學畢業了，心想趕快找一份工作，分擔父母的經濟重擔。很快地，阿搙如願找到一家大公司擔任業務人員，怎知公司人事部門要求阿搙要提供健康檢查報告，阿搙可以不提供嗎？ 又星期天阿搙與女朋友相約去逛百貨公司，遇到了一位銷售小姐，向阿搙二人推銷說只要填寫問卷表並留下姓名、電話、地址，就可以獲得一個小熊維尼公仔，阿搙看到女朋友好喜歡維尼公仔，心裡有點想填寫問卷，但又怕個人資料會被濫用，此時阿搙應該要注意什麼事項？ 扶寶寶律師の解析近年來詐騙案件幾乎每天占據媒體版面，不法集團之 行徑更為全民所痛惡。多數人在驚恐之餘，不禁納悶，為何 歹徒對其個人甚至家庭狀況能夠瞭若指掌，進而質疑個人資 料是否因公務機關或金融機構等單位洩漏所致。不僅如此，民眾透過網際網路輕鬆掌握便利生活的同時，也擔心相關資料會被不當蒐集利用，甚至洩漏牟利，導致日後飽受詐騙抑或推銷之困擾。有鑑於此，我國特於民國99年5月26日修正 個人資料保護法（下簡稱個資法），除第6、54條條文施行日期，由行政院定之外，其餘條文定自民國（下同）101年 10月1日施行，期能藉此補強電腦處理個人資料保護法之不足，俾能更加周延地保障人民之權益。影響層面廣泛，不單 公務機關、公司企業，甚至一般民眾都應有正確之認識。 個資法擴大個人資料的保護範疇至以任何型式管理的個人資料，而不再限於以電腦處理者，亦擴大了法律適用主體，至所有公務機關及自然人、法人及其他團體，而不再限於特定行業。為落實保護個人資料之目的，個人資料保護法於第１條即開宗明義地揭示本法之目的是規範個人資料之蒐集、處理及利用，以避免人格權受侵害，並促進個人資料 之合理利用，而非侷限於經電腦處理之個人資料。所謂個人資料，乃指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料，其範圍非常廣泛。個資法就個人資料的定義，係採取列舉加概括之方式，依個資法第2條第1款之規定，可將個人資料大分為「一般性資料」及「敏感性資料」。而所謂敏性資料係指「醫療」、「基因」、「性生活」、「健康 檢查」、「犯罪前科」等五大類。在案例中公司人事部門要求阿搙提供「健康檢查報 告」，係屬於敏感性資料，基於敏感性資料的高度隱密性，依個資法的規定，公司原則上禁止蒐集，只有符合個資法第6條法定例外事由之一時，才可以蒐集：一、法律明文規定。二、公務機關執行法定職務或非公務機關履行法定義務所必要，且有適當安全維護措施。三、當事人自行公開或其他已合法公開之個人資料。四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且經一定程序所為蒐集、處理或利用之個人資料。公司對於應徵者要求其提供健康檢查等資料之合法性判斷，因健康檢查係屬敏感性資料，依前述規定，縱經應徵者 同意也難認為已取得合法事由。因此，公司縱經阿搙同意始予收集其健康檢查資料，仍可能觸法。 又非公務機關利用個人資料時，原則上僅得於蒐集的特定目的範圍內為之，如欲將所蒐集的個人資料，作蒐集之特定目的範圍外之利用，應符合下列法律要件之一：一、法律明文規定。二、為增進公共利益。三、為免除當事人之生命、身體、自由或財產上之危險。四、為防止他人權益之重大危害。五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。 六、經當事人書面同意。原則上百貨公司若欲將個人資料為目的外利用，應經阿搙的「書面同意」，而且此書面同意須明確告知阿搙特定目的外之其他利用目的、範圍及同意與否對其權益之影響後，經阿搙所為之同意方可為目的外之利用。
 
相關法條
● 個人資料保護法第2條：本法用詞，定義如下：一、個人資料：指自然人之姓名、出生年月日、國民身分證、統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識 別該個人之資料。二、個人資料檔案：指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。三、蒐集：指以任何方式取得個人資料。四、處理：指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。五、利用：指將蒐集之個人資料為處理以外之使用。
 ● 個人資料保護法第6條：有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得蒐集、處理或利用。 但有下列情形之一者，不在此限：一、法律明文規定。二、公務機關執行法定職務或非公務機關履行法定義務所必要， 且有適當安全維護措施。三、當事人自行公開或其他已合法公開之個人資料。四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且經一定程序所為蒐集、處理或利用之個人資料。前項第四款個 人資料蒐集、處理或利用之範圍、程序及其他應遵行事項之辦法，由中央目的事業主管機關會同法務部定之。
● 個人資料保護法第20條：非公務機關對個人資料之利用，除第六條第一項所規定資料外，應於蒐集之特定目的 必要範圍內為之。但有下列情形之一者，得為特定目的外之利用：一、法律明文規定。二、為增進公共利益。三、為免除當事人之生命、身體、自由或財產上之危險。四、為防止他人權益之重大危害。五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。六、經當事人書面同意。非公務機關依前項規定利用個人資料行銷者，當事人表示拒絕接受行銷時，應即停止利用其個人資料行銷。非公務機關於首次行銷時，應提供當事人表示拒絕接受行銷之方式，並支付所需費用。
 
 
---（本文轉載109年法務部網頁/ 法治視窗 / 法律推廣/ 法律電子教材 / 法律原來如此4）---