個人資料保護法第六條規定註釋-特種個人資料之保護
個人資料保護法第6條規定:
有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:
一、法律明文規定。
二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。
依前項規定蒐集、處理或利用個人資料,準用第八條、第九條規定;其中前項第六款之書面同意,準用第七條第一項、第二項及第四項規定,並以書面為之。
說明:
按個人資料中有部分資料性質較為特殊或具敏感性,如任意蒐集、處理或利用,恐會造成社會不安或對當事人造成難以彌補之傷害。是以,一九九五年歐盟資料保護指令(95/46/EC)、德國聯邦個人資料保護法第十三條及奧地利聯邦個人資料保護法等外國立法例,均有特種(敏感)資料不得任意蒐集、處理或利用之規定。經審酌我國國情與民眾之認知,爰規定有關醫療、基因、性生活、健康檢查及犯罪前科等五類個人資料,其蒐集、處理或利用應較一般個人資料更為嚴格,須符合所列要件,始得為之,以加強保護個人之隱私權益。
又所稱「性生活」包括性取向等相關事項,併予敘明。有關醫療、基因、性生活、健康檢查及犯罪前科等五類個人資料,原則上不得任意蒐集、處理或利用,惟如有法律明文規定者,自不在此限,爰為第一款之規定。
蒐集、處理或利用前述之特種資料,係屬公務機關執行法定職務或非公務機關履行法定義務,例如:檢警機關偵辦犯罪,蒐集或利用涉嫌人之犯罪前科資料;醫生發現疑似法定傳染病,蒐集相關醫療資料通報主管機關等,公務機關或非公務機關自得依法為之,且依相關法令規定提供適當安全維護措施,爰仿一九九五年歐盟資料保護指令第八條(95/46/EC)及德國聯邦個人資料保護法第二十八條等外國立法例,而為第二款之規定。
當事人已自行公開或其他合法公開之個人資料,隱私已無被侵害之虞,爰為第三款之規定。基於統計或學術研究之目的,經常會蒐集、處理或利用前述之特種資料,惟為避免寬濫,並加強保護特種或敏感個人資料,特規定適用本款限於為基於醫療、衛生或犯罪預防等特定目的,且於統計或學術研究而有必要之範圍內,並經一定程序而為蒐集、處理或利用之個人資料,始得蒐集、處理或利用,爰為第四款之規定。
為確保依本條第一項第五款規定所為因醫療、衛生或犯罪預防等目的而提供之個人資料,其提供者在合法必要範圍內提供,而蒐集者所蒐集之個人資料能獲得適當之安全維護,特種資料之提供者於其利用前,應特別審酌資料之提供範圍,以及提供時應經一定程序為之。由於前開範圍、程序及其他應遵行事項,涉及個人資料是否經匿名化處理或依其揭露方式無從識別特定當事人,或者是否應得當事人明示之書面同意等之慎重考量,故授權由特種資料之中央目的事業主管機關會同法務部訂定相關特種資料之保護管理規範,以保障當事人之特種個人資料。
另按「個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。」、「有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:、法律明文規定。公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。當事人自行公開或其他已合法公開之個人資料。公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。依前項規定蒐集、處理或利用個人資料,準用第8條、第9條規定;其中前項第6款之書面同意,準用第7條第1項、第2項及第4項規定,並以書面為之。」個人資料保護法第2條第1款、第6條分別有明文規定。而上開規定所稱之犯罪前科,依個人資料保護法施行細則第4條規定,係指經緩起訴、職權不起訴或法院判決有罪確定、執行之紀錄。立法理由明確指出:「本法第2條第1款所稱之犯罪前科,除法院判決有罪確定之部分外,依刑事訴訟法第253條及第253條之1規定,亦包括檢察官參酌刑法第57條所列事項及公共利益之維護,認以不起訴或緩起訴為適當者,得為不起訴處分或緩起訴處分等有罪認定部分。此外,有關上開有罪判決或有罪認定之執行之紀錄,亦屬之,以保護當事人之個人資料隱私權益,爰為第6項規定。」經查,系爭報導指稱「張淑晶前科洋洋灑灑,包括稅捐稽徵法、侵占、毒品、偽造文書、背信、妨害自由、恐嚇、毀損、重利、傷害」等語,依上訴人之本院被告前案紀錄表所示,上訴人於105年8月5日時報周刊第2007期雜誌為系爭報導之前,所涉犯侵占、毒品、背信、恐嚇、詐欺、重利、傷害、妨害自由等罪嫌,經檢察官以犯罪嫌疑不足為不起訴處分,另有一傷害犯行,因撤回告訴或逾告訴期間經檢察官為不起訴處分。至其餘涉犯偽造文書、妨害自由、毀損、違反稅捐稽徵法部分,雖經法院判處罪刑確定,惟均屬已公開之個人資料,此有謝明俊自司法院網路搜尋提出之判決書在卷可佐,均非個人資料保護法規定之範疇,或屬公開之資料。是上訴人主張被上訴人為前揭刑案紀錄之報導,違反個人資料保護法之規定,應負賠償責任云云,尚乏依據(臺灣高等法院107年度上易字第957號民事判決)。
個人資料保護法規範之個人資料,係指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料,此觀諸該法第2條第1款規定甚明;又有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用,同法第6條第1項前段亦定有明文。被告所張貼告訴人之上開告訴人之犯罪前科紀錄,均屬上開個人資料保護法所規定得以識別告訴人之個人資料,又被告並非公務機關,對於前開個人資料之利用,依同法第19條第1項第7款之規定:非公務機關對個人資料之蒐集或處理,除第6條第1項所規定資料外,應有特定目的,並符合下列情形之一者:「個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。」關於限制個人資料之蒐集,依99年05月26日修正第19條之法務部立法說明載明:由於資訊科技及網際網路之發達,個人資料之蒐集、處理或利用甚為普遍,尤其在網際網路上張貼之個人資料其來源是否合法,經常無法求證或需費過鉅,為避免蒐集者動輒觸法或求證費時,明定個人資料取自於一般可得之來源者,亦得蒐集或處理,惟為兼顧當事人之重大利益,如該當事人對其個人資料有禁止處理或利用,且相對於蒐集者之蒐集或處理之特定目的,顯有更值得保護之重大利益者,則不得為蒐集或處理,仍應經當事人同意或符合其他款規定事由者,始得蒐集或處理個人資料,爰參考德國聯邦個人資料保護法第28條規定,增訂第7款之規定。依該條款立法說明所示,為避免蒐集者動輒觸法或求證費時,明定個人資料取自於一般可得之來源者,不在限制之列。本件被告僅係張貼告訴人之前科紀錄,而上開前科紀錄係有關告訴人之法院判決及檢察官不起訴處分書的所涉罪名概要而已,這些資料來源通常法院或檢察署都會將判決書或不起訴處分概要公告,明顯是一般可得之來源。再法院的判決或檢察機關的起訴或不起訴結果,新聞媒體也常常加以報導,網路上搜尋亦非困難,一般社會通念也不會認為這對當事人有何更值得保護之重大利益,否則新聞媒體報導當事人之法院判決或檢察機關之起訴或不起訴內容都更為詳盡,勢將動輒觸法並都因此違反個人資料保護法,豈非箝制人民的言論自由與表意自由,莫此為甚。是依上開說明,本件被告上開行為顯與個人資料保護法第19條第1項第7款之規定無違。個人資料保護法第41條第1項原係規定:「違反第6條第1項、第15條、第16條、第19條、第20條第1項規定,或中央目的事業主管機關依第21條限制國際傳輸之命令或處分,足生損害於他人者,處2年以下有期徒刑、拘役或科或併科新臺幣20萬元以下罰金。」第2項規定:「意圖營利犯前項之罪者,處5年以下有期徒刑,得併科新臺幣1百萬元以下罰金。」然於104年12月30日修正公布,並於105年3月15日施行之現行同法第41條已修正(並刪除原第2項)為:「意圖為自己或第三人不法之利益或損害他人之利益,而違反第6條第1項、第15條、第16條、第19條、第20條第1項規定,或中央目的事業主管機關依第21條限制國際傳輸之命令或處分,足生損害於他人者,處5年以下有期徒刑,得併科新臺幣1百萬元以下罰金。」亦即,修正後個人資料保護法,已刪除修正前第41條第1項規定,並將修正前第41條第2項構成要件中之「意圖營利」文字修正為「意圖為自己或第三人不法之利益或損害他人之利益」,條項編排上亦移置為同條第1項。觀其修正內容,顯有限縮非法使用他人個人資料之刑事處罰範疇,對於「無意圖為自己或第三人不法之利益或損害他人之利益」而違反個人資料保護法第20條第1項規定之行為,廢止其刑罰之規定。是以現行個人資料保護法第41條,係以行為人意圖為自己或第三人不法之利益或損害他人之利益而違反第41條所列各該規定、命令或處分,足生損害於他人為要件。至於何謂「意圖為自己或第三人不法之『利益』或損害他人之『利益』」,參酌個人資料保護法第41條之修正立法理由,提案立法委員認為:「無不法意圖而違反本法相關規定,原則以民事賠償、行政罰等救濟為已足。惟若行為人如有意圖為自己或第三人不法利益而違反本法相關規定,仍有以刑罰處罰之必要。」(見立法院第8屆第6會期第8次會議議案關係文書第討482頁至第討483頁),復參酌修法過程中機關代表即法務部之說明:「本次修正重點:2、第41條:非意圖營利部分而違反本法相關規定,原則以民事損害賠償、行政罰等救濟為已足,且觀諸按其他特別法有關洩漏資料之行為縱使非意圖營利,並非皆以刑事處罰,再則非意圖營利違反本法規定之行為,須課予刑責者,於相關刑事法規已有規範足資適用,為避免刑事政策重複處罰,爰將第1項規定予以除罪化,並將第2項移為本條內容,酌作文字修正」(參見立法院第8屆第6會期第8次會議議案關係文書第討443頁至第討445頁)。依上所述,堪認現行個人資料保護法第41條所定「意圖為自己或第三人不法之利益或損害他人之利益」,文義解釋雖無法完全排除該條所謂「利益」包含「非財產上利益」之可能性,然依前述修法歷程及目的觀之,違反個人資料保護法相關處罰規定之行為,本質上即屬客觀侵害人格權之行為,若解釋上將意圖要件即「意圖為自己或第三人不法之利益或損害他人之利益」,及於人格權(如隱私權、名譽權等)等非財產上之利益,則因違反個人資料保護法相關處罰規定之行為,本亦容易合致前開意圖要件,而將大幅擴及至立法者原先不欲以刑罰處罰之範圍,也牴觸同法第19條第1項第7款之規定,反而無法達到修正後個人資料保護法第41條限縮處罰範圍之修法目的。從而,由修法之精神以觀,前開法條文字所謂「利益」,應予以目的性限縮,僅限於「財產上之利益」,不得任意擴張及於侵害精神、人格等非財產利益之情形,始符合修法之旨(臺灣高等法院108年度上更一字第71號刑事判決)。
瀏覽次數:1773
