個人資料保護法第二條規定註釋-用詞定義

02 Nov, 2017

個人資料保護法第2條規定:

 

本法用詞,定義如下:

一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。

二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。

三、蒐集:指以任何方式取得個人資料。

四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。

五、利用:指將蒐集之個人資料為處理以外之使用。

六、國際傳輸:指將個人資料作跨國(境)之處理或利用。

七、公務機關:指依法行使公權力之中央或地方機關或行政法人。

八、非公務機關:指前款以外之自然人、法人或其他團體。

九、當事人:指個人資料之本人。

 

說明:

 

本條係解釋本法重要用詞定義。凡可識別自然人之資料,均屬本法所稱之個人資料,爰為第一款之規定。本法所用個人資料檔案、個人資訊及電腦處理三詞,均有其特定涵義,有規定必要。個人資料之蒐集與利用係本法所規範之重要行為,其涵義有加以定義之必要。

 

個人資料之處理,因公務機關與非公務機關之性質不同,而宜作不同規範,爰於第七款及第八款分別規定公務機關及非公務機關之定義,並以能否行使公權力為區別之界限,分別規定在第二章及第三章。其中非公務機關之範圍,包括不涉行使公權力之公立醫院、公立學校、公營事業等在內。至於非公務機關之事業、團體或個人除第八款第一目及第二目所列舉者外,如因社會演進而有規範必要時,亦得指定其為第三目之非公務機關而適用本法之規定。當事人一詞在本法係指個人資訊之本人。

 

參考日本法第二條及德國法第三條及英國一九八四年制定之個人資料保護法(以下簡稱英國法)第一條等立法例。本法所保障之法益為人格權,惟個人資料種類繁多,第一款關於「個人資料之定義」,除原條文例示之日常生活中經常被蒐集、處理及利用之個人資料外,另增加護照號碼、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式等個人資料,以補充說明個人資料之性質。此外,因社會態樣複雜,有些資料雖未直接指名道姓,但一經揭露仍足以識別為某一特定人,對個人隱私仍會造成侵害,爰參考一九九五年歐盟資料保護指令(95/46/EC)第二條、日本個人資訊保護法第二條,將「其他足資識別該個人之資料」修正為「其他得以直接或間接方式識別該個人之資料」,以期周全。四、為配合本法將非經電腦處理之個人資料納入規範之修正意旨,爰修正第二款關於「個人資料檔案」之定義。五、由於蒐集個人資料之行為態樣繁多,有直接向當事人蒐集者;有間接從第三人取得者,為落實保護個人資料隱私權益,爰參考德國聯邦個人資料保護法第三條規定,修正第四款「蒐集」之定義。

 

原條文「電腦處理」之定義包括資料之傳遞,易遭誤解為傳遞給外部之第三人,而與「利用」行為發生混淆。爰將「傳遞」修正為「內部傳送」,以資明確。七、原條文第五款對於「利用」之定義,係將保有之個人資料檔案為內部使用或提供當事人以外之第三人。惟直接對當事人本人使用其個人資料(如對當事人從事行銷行為),是否屬本法所稱之利用行為,滋生疑義。準此,爰參考德國聯邦個人資料保護法第一條規定,並將文字予以精簡,修正「利用」之定義。八、原條文第九條、第二十四條規定之「國際傳遞」究屬機關內部之「資料傳送」?抑或為「提供當事人以外第三人之利用」?易滋生疑義。爰將各該條規定之「國際傳遞」一語修正為「國際傳輸」,並增訂第六款「國際傳輸」定義規定。不論是機關內部之資料傳送(屬資料處理),例如:總公司將資料傳送給分公司、公務機關將資料傳送給國外辦事處等;或將資料提供當事人以外第三人(屬資料利用),例如:母公司將資料提供給子公司或他公司、公務機關將資料傳送給他公務機關,只要該資料作跨國(境)之傳輸,不論是屬處理或利用行為,皆屬本法所稱之「國際傳輸」。

 

由於執行公務爾後將不限中央或地方機關,行政法人之組織型態亦將成為其中之一,爰將原條文第六款公務機關之定義,納入行政法人,以期周全,為配合本法放寬規範主體之修正意旨。本條係定義規定,而「特定目的」及「資料類別」之指定,並非屬定義事項。

    

按本法用詞,定義如下:一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。…五、利用:指將蒐集之個人資料為處理以外之使用。非公務機關對個人資料之利用,除第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:一、法律明文規定。二、為增進公共利益所必要。三、為免除當事人之生命、身體、自由或財產上之危險。四、為防止他人權益之重大危害。五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。六、經當事人同意。七、有利於當事人權益。個人資料保護法(下稱個資法)第2條第1款、第5款、第20條第1項定有明文。隱私權係由二個核心部分構成,一為個人生活私密領域,即個人得自主決定是否及如何自公眾引退、幽居或獨處,而保有自我內在空間即空間隱私,另一係資訊自主,即得自主決定是否及如何公開關於其個人資料即資訊隱私。㈡次按因故意或過失,不法侵害他人之權利者,負損害賠償責任。不法侵害他人之身體、健康、名譽、自由、信用、隱私、貞操,或不法侵害其他人格法益而情節重大者,被害人雖非財產上之損害,亦得請求賠償相當之金額。民法第184條第1項前段、第195條第1項前段亦有明文。查,被上訴人併列上訴人及其家庭、親友之姓名於上述網頁,足以直接識別上訴人個人資料,侵害上訴人自主決定是否及如何公開其家庭成員與社交活動資料之資訊自主權,已逾蒐集特定目的之必要範圍而侵害隱私權,被上訴人辯稱僅姓名非隱私云云,為無可採。復查無個資法第20條第1項但書所列各款情形,被上訴人上開所為具不法性,侵害上訴人隱私權致受損害,而本院刑事庭亦為相同之認定,判處被上訴人有罪在案,有本院106年度上易字第1882號刑事判決足稽。是被上訴人侵害上訴人隱私權之侵權行為,應負侵權行為損害賠償責任(臺灣高等法院108年度上易字第923號判決)。

 

按「個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料」、「個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯」、「非公務機關對個人資料之蒐集或處理,除第6條第1項所規定資料外,應有特定目的,並符合下列情形之一者:....二與當事人有契約或類似契約之關係,且已採取適當之安全措施....」、「....非公務機關依第19條規定向當事人蒐集個人資料時,應明確告知當事人下列事項:一公務機關或非公務機關名稱。二蒐集之目的。三個人資料之類別。四個人資料利用之期間、地區、對象及方式。五當事人依第三條規定得行使之權利及方式。六當事人得自由選擇提供個人資料時,不提供將對其權益之影響。有下列情形之一者,得免為前項之告知:一依法律規定得免告知。二個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要。三告知將妨害公務機關執行法定職務。四告知將妨害公共利益。五當事人明知應告知之內容。六個人資料之蒐集非基於營利之目的,且對當事人顯無不利之影響」、「非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任」,個資法第2條第1款、第5條、第8條、第19條第1項第2款及第29條第1項本文分別定有明文。又「本法第19條第1項第2款所定『契約關係』,包括本約,及非公務機關與當事人間為履行該契約,所涉及必要第三人之接觸、磋商或聯繫行為及給付或向其為給付之行為。本法第19條第1項第2款所稱『類似契約之關係』,指下列情形之一者:一非公務機關與當事人間於契約成立前,為準備或商議訂立契約或為交易之目的,所進行之接觸或磋商行為。二契約因無效、撤銷、解除、終止而消滅或履行完成時,非公務機關與當事人為行使權利、履行義務,或確保個人資料完整性之目的所為之連繫行為」,個資法施行細則第27條亦有明定。查系爭業務電話係上訴人專用,彰化銀行對系爭業務電話通話內容進行錄音存檔,因每個人之聲紋並不相同,該錄音所記錄、留存之聲音,乃上訴人重要之生理特徵,自屬得以直接或間接識別上訴人個人之資料,而為個資法第2條第1款規範之「個人資料」,惟彰化銀行對該個人資料之蒐集,若符合上述第5條、第8條、第19條第1項所定得為蒐集之要件者,即不具違法性(臺灣高等法院108年度上易字第1012號民事判決)。

 

按個人資料保護法所指「個人資料」,係指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料,個人資料保護法第2條第1款規定甚明。稽諸上開被告所張貼之護照擷取照片,其中關於告訴人程素真部分,被告已經遮隱該護照內告訴人程素真之護照號碼、身分證統一編號、出生日期之記載,且未顯現告訴人程素真之證件照片,僅餘「素真」二字,則一般人甚至是認識告訴人程素真者,是否可從該護照擷取照片中,直接或間接識別出該「素真」者即為告訴人程素真,尚非無疑。則衡諸上開規定,被告所張貼上開告訴人程素真之護照擷取照片,顯非個人資料保護法所指之個人資料,至為灼然。被告此部分所辯,應為可採(臺灣高等法院臺中分院108年度上訴字第1999號刑事判決)。

 

按個資法所稱之個人資料乃指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育....其他得以直接或間接方式識別該個人之資料。所謂得以間接方式識別,指保有該資料之公務或非公務機關僅以該資料不能直接識別,須與其他資料對照、組合、連結等,始能識別該特定之個人,個資法第2條第1款及個資法施行細則第3條分別明定。經查,被上訴人雖戴口罩,然依系爭照片旁加註「蔡女出示李聖傑妹妹探視小孩照片」等字樣,據此照片、加註之連結,已足使他人識別被上訴人身份,上訴人抗辯非屬個資法規範之資料云云,為不可採。上訴人辯以應所委任律師之要求瞭解案情始提供照片,不知律師用以召開記者會,及相片被部分媒體將被上訴人誤植為聖傑之母,其無利用意思等語。按律師受託處理事務,依法對於委託人不得有矇蔽或欺誘之行為,律師法第28條定有明文。查召開記者會,非屬訴訟上之行為,故如未經當事人同意或允諾,律師衡情無擅作主張召開記者會並提供相關照片之理,上訴人所辯,與經驗法則相違。參以媒體為求吸引民眾注意,採圖文並茂方式報導矚目新聞,為當今媒體常見,上訴人既提供照片供律師召開記者會,當預見媒體會加以援用報導。況照片刊登後,就律師助理劉唯翎抱怨提供相片時何以未交代抱小孩者為誰時,上訴人非但未質問為何召開記者會、使用相片,反答以為何沒先問清楚身分等語。凡此,足徵上訴人利用該個人資料(系爭照片)之意思與行舉甚明。上訴人此部分所辯,同非可採(臺灣高等法院高雄分院103年度上易字第416號民事判決)。

 

按「個人資料,指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。」「蒐集:指以任何方式取得個人資料」「處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送」「利用:指將蒐集之個人資料為處理以外之使用。」個人資料保護法第2條第1、3、4、5款分別定有明文。又就個人自主控制個人資料之資訊隱私權而言,乃保障人民決定是否揭露其個人資料、及在何種範圍內、於何時、以何種方式、向何人揭露之決定權,並保障人民對其個人資料之使用有知悉與控制權及資料記載錯誤之更正權(司法院釋字第603號解釋文參照)。查,本件告訴人係受個人資料保護法保護之自然人,其臉部容貌、聲音,均為足以具體識別其身分之特徵,要屬個人資料保護法第2條第1款所稱之個人資料,而為該法所規範之保護客體。縱該照片並未註記任何有關告訴人姓名、國民身分證統一編號、護照號碼、指紋等資料,然由其照片所顯示之告訴人臉部容貌,已足以區別與其他人容貌外型之不同而可資識別其個人,非必以據該照片即得以直接知悉該照片上之人為何姓名、為何具體之特定人為必要。被告以該照片並無告訴人姓名等,而否認屬個人資料保護法所規範之個人資料,並非可採。是被告經告訴人同意拍攝告訴人容貌、影像等屬個人資料之特徵,顯屬蒐集個人資料,而被告其後將所拍攝告訴人照片傳送予李宇雯,並非個人資料保護法所謂「處理」行為態樣之範疇,要屬就告訴人個人資料為處理以外之使用,當屬「利用」無訛(臺灣高等法院109年度上訴字第1020號刑事判決)。

 


瀏覽次數:2899


 Top