依民国99年5月26日修正公布之个人资料保护法第2条第1款规定,个人资料为自然人之姓名、出生年月日、国民身分证统一编号、护照号码、特征、指纹、婚姻、家庭、教育、职业、病历、医疗、基因、性生活、健康检查、犯罪前科、联络方式、财务情况、社会活动及其他得以直接或间接方式识别该个人之数据。
依该次修正理由所述,因社会态样复杂,有些数据虽未直接指名道姓,但一经揭露仍足以识别为某一特定人,对个人隐私仍会造成侵害,因此在个人资料定义加上「其他得以直接或间接方式识别该个人之数据」的概括规定,以充分保护人格权。因此,依照上开规定,只要足以识别某特定人的数据,就有可能经法律评价为个资。
但依一般民众理解,自然人之姓名、出生年月日、国民身分证统一编号、护照号码、特征、指纹、婚姻、家庭、教育、职业、病历、医疗、基因、性生活、健康检查、犯罪前科、联络方式、财务情况等信息,因具有隐私之合理期待,不欲为外人得知,该等资料属于个资,较无疑义,但条文提及之「社会活动」、「得以直接或间接方式识别该个人之数据」,其意涵为何,较不明确,导致民众或企业管理者,恐误判个资法对个资保护之范围,不得不提醒留意。
移动电话号码属于个资
以移动电话号码是否属于个资为例,虽有主张,移动电话号码本身仅系一串数字组合,无特定识别性,非个人资料云云。惟现今民众已手机不离身,加上行动支付普及,各种商业APP盛行,移动电话已与民众日常生活密不可分,除艺人大S曾因移动电话号码20年未更换,使许久未联系之前男友得以联络外,电信业者推出之号码转携服务,使门号经特定民众长期使用,促成移动电话号码与个人之高度连结,具专属性、独特性,得直接识别出特定个人,故司法实务肯认移动电话号码属于个资(台湾高等法院台南分院105年度上易字第393号刑事判决意旨),应无疑义。
值得注意的,移动电话号码所属的「电信业者别」(如中华电信、台湾大哥大、远传等),是否属于个资?司法实务认为,电信业者别是个人电话号码之附属数据,得与其他个人资料如姓名、国民身分证统一编号等数据,相互比对、组合、链接及勾稽后,据以作为「间接识别」特定个人之「社会活动」资料之一,亦属个资法所定「联络方式」之个人资料(台湾台北地方法院103年度小上字第155号民事判决意旨参照)。即「电信业者别」透由与其他信息链接,得以「间接识别」方式,推知某特定人使用某电信业者提供之服务,为该个人之「社会活动」,故电信业者别属于个资。
个资认定向客观说靠拢
此种以「间接识别」特定人「社会活动」,即肯认属于个资,似有调整过往对于个资认定采主观说(即视该搜集者有无可能与所有之其他信息链接后识别特定个人)的见解,而逐渐与欧盟一般数据保护规范(GDPR)所采取的客观说(即视该数据客观上有无可能与其他数据链路而识别特定个人)靠拢,值得观察。以公司内部分机表为例,若公司未对外公开,于判断是否属于个资层次,因分机表可透由与其他个人资料(如:姓名等)相互连结,而以间接识别方式,得知某人于公司内从事何特定职务之社会活动,采客观说下,即有认定属个资之高度可能性。
最后,即便就个资法所称之个资采取客观说下,非公务机关符合告知义务、目的原则限制及合法要件等,仍得搜集、处理及利用。在我国个资法下,最明确的阻却违法方式,是「经当事人同意」,但应注意目的外利用之同意,系指经搜集者明确告知特定目的外之其他利用目的、范围及同意与否对其权益之影响后,单独所为之意思表示;而特种个资之同意并限于书面方式。因此,公司于搜集、处理及利用个资时,透由专业人士撰拟同意文件,善尽告知义务并取得个资所有人之事前同意,并留下日后可供检验之证据,即可避免衍生日后纠纷。
本文发表于工商时报_名家评论专栏:https://view.ctee.com.tw/tax/48700.html