HOME影音出版法扶報報
法扶報報
  • 淺談個人資料保護法/林泓帆律師
  • 2020/09/08
  • 淺談個人資料保護法

    文/林泓帆律師


    網路時代資訊流通便利,往往我們在網路申請商家會員或購買東西時,會被要求填寫個人資料,如果你跟大多數人一樣沒有時間和心力好好仔細看相關被要求同意的條文,那麼你至少可以多少了解一下所謂的「個人資料保護法」。

    立法沿革:從電腦資料保護,擴大到所有行列

    84年立法院先制定「電腦處理個人資料保護法」;然後在101年修正為「個人資料保護法」,有幾點不同的地方:擴大適用至所有行業、保護範圍不再限於「經電腦處理之個人資料」,提高賠償金額,舉證責任也從受害人移轉至被告。105年再次修正:將「病歷」從一般性個資料改列為敏感性個資,廢除間接蒐集而來之個人資料須於一年內告知之限制、僅須於處理利用前告知即可,並放寬同意之表達形式、不再限於「書面」,口頭或網頁確認皆可,但須由業者負舉證責任。此外,非意圖營利而違法使用個資者,僅保留民事賠償責任及行政罰、刪除了刑事責任。

    個人資料包含哪些?

    個人資料包含範圍很廣,像是自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料(第2條)。 而判斷基準則如同條文當中最末所述,在於「是否得以透過該資料,直接或間接辨識其所屬之個人」。

    而處理個資之基本原則,應依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯(第5條)。

    敏感性個人資料原則上不得蒐集、處理或利用

    前面在立法沿革當中有講到病歷被改列為敏感性個資,而所謂敏感性個人資料,以及一般性個人資料有甚麼不同呢?而敏感性資料又包含哪些呢?

    所謂敏感性個人資料,舉例來說像是病歷、醫療、基因、性生活、健康檢查及犯罪前科都是屬於敏感性個人資料,原則上是不得蒐集、處理或利用。例外情況則為法律明文規定或當事人自行公開以及當事人書面同意(第6條)。

    而一般性個人資料,以蒐集處理利用的單位來區別,公務機關原則上須於執行法定職務必要範圍內、或經當事人同意、或對當事人權益無侵害(第15條);而非公務機關則另可自一般可得之來源或當事人自行公開(第19條)。


    Image by Gerd Altmann from Pixabay

    資訊自主權

    或許你會想問,那個資給出去之後,個資擁有者就無從置喙了嗎?其實法律上面還是有給出一些基於「資訊自主權」的主張空間,像是可以要求:(一)查詢或請求閱覽。(二)請求製給複製本。(三)請求補充或更正。(四)請求停止蒐集、處理或利用。(五)請求刪除。(第3條)

    損害賠償主張

    那麼如果相關單位沒有在授權範圍來蒐集處理利用我們的個人資料,我們可以怎麼主張呢?

    最基本的是民事賠償責任,得請求回復名譽之適當處分,並請求精神慰撫金;如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件五百元以上二萬元以下計算。若同時造成多數人權利受侵害,損害賠償金額原則上以二億元為上限(第28條)。要提醒的是這樣的損害賠償請求權,也是有請求時限,從你知道有損害及賠償義務人時起,因二年間不行使而消滅;自損害發生時起,逾五年者,亦同(第30條)。

    相關案例的實務狀況

    實務上這樣的案件常常和隱私權遭侵害一併請求,但通常最終獲償金額並不高,例如:臺北地院107年訴字第4260號民事案件,原告求償100萬元、僅獲判5萬元,判決摘要:「…查被告張貼如附表編號3 所示之系爭言論及照片,其內容既包括原告之真實姓名及臉部照片,已足以使不特定多數人識別關於原告之個人資料,自屬前揭法律明文規定之個人資料…」;臺南地院108年度訴字第1886號民事案件,原告請求10萬元、卻僅獲判8,000元,判決摘要:『…是被告黃OO將原告之照片、姓名等屬於個資法第2條第1款所規定之個人資料,未予適當遮掩即公開貼文在Facebook「三元坊(手製布丁‧泡芙)」粉絲專頁,使不特定多數人得以知悉原告之個人資料,侵害原告之「隱私權」…』。

    而如果是公部門的行政單位,在行政責任上面則有按次處二萬元以上二十萬元以下罰鍰之規定(第48條及第49條)。而在民事及行政責任之外,也有刑事責任的風險,視情節輕重分別處二年以下及五年以下有期徒刑(第41條及第42條);且原則上須告訴乃論(第46條)。例如:臺南地方法院109年度訴字第332號刑事案件,被告因違反個資法第41條之非公務機關未於蒐集特定目的必要範圍內利用個人資料罪、處有期徒刑肆月,判決摘要:『…陳OO自徐OO處獲悉後再於同日上午9時43分許,以LINE回傳內容為「南區明興路2號(戶政事務所),目前為失蹤人口」、「之前住新都路353巷2弄」予余OO,洩漏應秘密之林OO個人住所資料,並足以生損害於林OO…』。

    個人資料保護從日常作起

    從法規到實務案例,多少可以看出〈個人資料保護法〉,從個人資料的定義、資料授權方式、是否符合單位職權或原始使用目的、權益保障、責任及懲處都有作概要的規範,如果您自己或所處組織單位在日常工作時會經手這樣的個人資料,其實很值得用上述法條及實務案件的角度再次檢視相關蒐集處理及利用的作法,以免不小心觸法而不自知喔!而即便你只是一般的大眾,希望也能夠透過本篇文章的介紹,了解到個人資料受到法律的保障,從而提升自己的權利意識。