重要實務見解
一、加密個資屬於《個資法》保護範圍
加密後之資料雖不能直接識別特定當事人,但若可對照、組合、連結識別特定個人,仍屬《個資法》所稱之個資。
二、消費者信用卡卡號屬於《個資法》保護範圍
依據《個資法》第2條第1款規定,個資指自然人之姓名⋯⋯及其他得以直接或間接方式識別該個資;另同條第3款規定,蒐集指以任何方式取得個資,如店家欲透過取得消費者信用卡卡號以確認特定自然人身分,屬《個資法》上蒐集個資行為,自應符合《個資法》第19條第1項各款有關非公務機關蒐集個資合法事由規定。
三、個資當事人得授權他人代為行使其權利
個資當事人對保有其個資之公務機關或非公務機關有查詢、請求閱覽之權利,除有《個資法》第 10 條但書所列得拒絕提供之情形者外,前述機關應依當事人請求,就所蒐集之當事人個資答覆查詢、提供閱覽。
四、檢舉人不得要求公務機關提供被檢舉人違反行政罰之受裁罰法條及罰鍰金額
公務機關蒐集、處理被檢舉人 裁罰之相關資料,原係基於行政裁罰、行政調查之特定目的,如擬提供非該裁罰案件之當事人查詢,則屬特定目的外之利用,應有《個資法》第16條但書所列各款情形之一(如法律明文規定、經當事人同意等),始得為之。
五、公務機關或非公務機關不得逕依當事人請求即刪除其個資
《個資法》第 3 條第 5 款僅規定當事人就其個資之刪除權不得預先拋棄或限制,有關當事人行使刪除其個資之權利,仍應依《個資法》第11條第3項規定於個資蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個資。
六、公務機關不得請電信公司提供行動用戶資料進行電話訪問
依據司法院釋字第 631 號解釋理由書,《憲法》第12條規定人民有秘密通訊之自由,⋯⋯國家若採取限制手段,除應有法律依據外,限制之要件應具體、明確,不得逾越必要之範圍,所踐行之程序並應合理、正當。如《電信法》第7條第1項規定,電信事業或其服務人員對於電信之有無及其內容,應嚴守秘密,故電信公司不得提供相關資料使公務機關進行電話訪問。
七、業者以贈品誘使學童提供個資應善盡告知及取得同意
業者基於當事人同意,蒐集未成年學童之個資,除應注意以贈品誘使學童提供個資,是否已違反《個資法》第5條之誠實信用原則外;另應踐行《個資法》第8條第1項相關法定應告知事項,告知方式應符合學童之年齡、生活經驗及理解能力,以容易理解、清楚簡單之語言或文字為之,並使該學童得以充分瞭解其個資之後續利用,倘業者未完整踐行告知,或其告知對象無法充分瞭解其個資之後續利用,即不符合《個資法》第 7 條第 1 項所稱同意之規定,而業者就當事人同意合法要件之事實亦應負舉證責任。此外,關於未成年人行使《個資法》上相關權利,應回歸適用《民法》有關行為能力之一般性規定。
八、公務機關調閱學員出入境資料似不符特定目的外利用之要件
公務機關蒐集、處理或利用個資,應符合《個資法》第5條及《行政程序法》第7條比例原則之要求,於執行法定職務「必要範圍內」為之,且不得逾越特定目的之「必要範圍」,而所採取之方法,應符合適當性、必要性及狹義之比例原則。是以,公務機關若為調查學員有無申請不實事假違反請假規定,並以避免影響學員全體權益及日後民眾權益等為由,請內政部移民署提供特定學員申請事假期間之出入境資料,藉以作為提報公務人員保障暨培訓委員會廢止該員受訓資格之關鍵證明文件,似未達「重大」危害之程度。
九、個人架設線上族譜網站並不適用《個資法》第51條排除條款
依《個資法》第51條第1項第1款規定,自然人為單純個人或家庭活動之目的,而蒐集、處理或利用個資,不適用《個資法》規定。若個人架設線上族譜網站雖與其職業或業務無關,惟該網站係供不特定人瀏覽,且內容涉及族譜成員之工作地、配偶、子女、戶籍地址及連絡電話等詳細資料,此依《個資法》第 5 條規定,恐已逾越單純個人或家庭活動目的之必要範圍,而難認有《個資法》第 51 條之適用。
結語
誠如司法院大法官所見,隱私權為不可或缺之基本權利,故屬 《憲法》所保障者,其中就個人自主控制個資之資訊隱私權而言,乃保障人民決定 是否揭露其個資、及在何種範圍內、於何時、以何種方式、向何人揭露之決定權, 並保障人民對其個資之使用有知悉與控制權及資料記載錯誤之更正權。透過本文可知,個資保護並非僅是法令條文,而是攸關每個人權益,大眾均應建立正確認識並且知法守法。