生活與法律-個人資料是甚麼?法律提供那些保障?

一、「個人資料」包括哪些?

依照個人資料保護法第2條第1款的規定，個人資料是指「自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料」
以上只是例示，重點只要該資料可以直接或間接「連結」到資料的主人，才有保護的必要。
其中「病歷、醫療、基因、性生活、健康檢查及犯罪前科」等五類個人資料，較諸一般資料具特殊或敏感性，如任意蒐集、處理或利用，恐會造成社會不安或對當事人造成難以彌補之傷害，所以其蒐集、處理或利用應較一般個人資料更為嚴格，屬於特別(敏感性)個人資料，特別(敏感性)個人資料，除了法律特別許可的情形外，原則上禁止任何機關蒐集、處理或利用。

二、對於個人資料，法律做了哪些方面的限制?

法律針對資料的三個態樣規範：
(一)資料蒐集(以任何方式取得個人資料)
(二)資料處理(為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。)
(三)資料利用
指將蒐集之個人資料為處理以外之使用。包含直接對當事人本人使用其個人資料（如對當事人從事行銷行為。
針對三種態樣列出不同的要件
不論公務機關非公務機關對於個人資料的蒐集、處理或利用都須依照法律規定進行，但兼顧資料利用及人格權保障，法條規定雖將「當事人同意」列為許可內容。但不同內容的「當事人同意」有不同強度的規定。
1.就個人資料的「蒐集、處理」中的當事人「同意」，指當事人經蒐集者告知本法所定應告知事項後，所為允許之意思表示。
但如果公務機關或非公務機關在「蒐集」資料時，已經明確告知當事人

• 一、公務機關或非公務機關名稱。
• 二、蒐集之目的。
• 三、個人資料之類別。
• 四、個人資料利用之期間、地區、對象及方式。
• 五、當事人依第三條規定得行使之權利及方式。
  (可以查詢或請求閱覽、請求製給複製本、請求補充或更正、請求停止蒐集、處理或利用、請求刪除、當事人得自由選擇提供個人資料時，不提供將對其權益之影響。)
  當事人如未表示拒絕，並已提供其個人資料者，推定當事人對於資料的蒐集、處理已表示同意。

2.就個人資料的「利用」中的當事人「同意」，則特別要求蒐集者明確告知當事人除了蒐集處理目的外之其他利用目的、範圍及同意與否對其權益之影響後，單獨所為之意思表示。
另外，蒐集者就本法所稱經當事人同意之事實，應負舉證責任。
上面這些條款通常會用條列式的方法附記在蒐集個人資料的問卷上
一旦民眾填寫時沒有特別勾選「不同意」，就表示已經同意蒐集者為資料的處理及利用。

三、對於個人資料，法律提供哪些保護?

(一)個人請求權
1.資料請求權
除非有法律規定，原則上蒐集資料的機關應依當事人之請求，就其蒐集之個人資料，答覆查詢、提供閱覽或製給複製本。
2.資料更正補充權
蒐集資料的機關應維護個人資料之正確，並應主動或依當事人之請求更正或補充之。
3.刪除、停止處理或利用請求權
除非有法律規定，個人資料蒐集之特定目的消失或期限屆滿時，應主動或依當事人之請求，刪除、停止處理或利用該個人資料。
(二)法律責任包含
1.行政責任。
違法蒐集、利用、處理個人資料部分，依法裁處罰鍰或行政處分
2.損害賠償責任。
個人資料遭不法蒐集、處理、利用或其他侵害當事人權利時，公務機關適用國家賠償法之規定，非公務機關適用民法之規定對個人負損害賠償責任。
3.刑事責任。
行為人意圖為自己或第三人不法之利益或損害他人之利益，對於個人資料不法蒐集、處理、利用或對於個人資料檔案為非法變更、刪除或以其他非法方法，致妨害個人資料檔案之正確時，或處五年以下有期徒刑，得併科新臺幣一百萬元以下罰金；或處五年以下有期徒刑、拘役或科或併科新臺幣一百萬元以下罰金。
**關於個人資料保護法第41條所稱之「利益」，是否僅限於財產上之利益？
最高法院刑事大法庭在109年12月9日以109年度台上大字第1869號作出裁定，認為個人資料保護法第41條所稱「意圖為自己或第三人不法之利益」，應限於財產上之利益；至所稱「損害他人之利益」，立法目的原係為避免人格權受侵害以觀，此部分應不限於財產上之利益。

法律問題Q&A
Q1、「個人資料」包括哪些?
A：
依照個人資料保護法第2條第1款的規定，個人資料是指「自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料」
以上只是例示，重點只要該資料可以直接或間接「連結」到資料的主人，才有保護的必要。
其中「病歷、醫療、基因、性生活、健康檢查及犯罪前科」等五類個人資料，較諸一般資料具特殊或敏感性，如任意蒐集、處理或利用，恐會造成社會不安或對當事人造成難以彌補之傷害，所以其蒐集、處理或利用應較一般個人資料更為嚴格，屬於特別(敏感性)個人資料，特別(敏感性)個人資料，除了法律特別許可的情形外，原則上禁止任何機關蒐集、處理或利用。

Q2、法律怎麼給保護?
A：
分成三個方面蒐集、處理及利用
但民眾要特別注意的是
只要有當事人「同意」，不論蒐集、處理及利用都是法律所許可的。一般民眾在填寫問卷(不論實體或式網路上)一定要特別注意後面連結的「個資說明書」，現行實務上常見到個資說明書上就會有
一、公務機關或非公務機關名稱。二、蒐集之目的。三、個人資料之類別。四、個人資料利用之期間、地區、對象及方式。五、當事人依第三條規定得行使之權利及方式。等項目，上面這些條款通常會用條列式的方法附記在蒐集個人資料的問卷上，後面再帶一個小小的選項 ⼞同意 ，在網路上如果沒勾選同意可能無法操作下一個步驟，很多民眾因為急著進行下一步就隨意的勾選了同意。
一旦民眾填寫時沒有特別勾選「不同意」，就表示已經同意蒐集者為資料的處理及利用。在法律上規定，當事人如未表示拒絕，並已提供其個人資料者，推定當事人對於資料的蒐集、處理已表示同意。而您的個人資料也就這樣外流。

Q3、最近常見社會新聞版面有以肉搜方式鎖定人別，這樣有違反個人資料保護法嗎?
A：
所謂「肉搜」，指的是由網友們透過相互討論、搜尋、提供資料等方式，迅速串連各種線索，來找出特定人士之真實身分。依照法律規定，如果網友張貼的資訊已經足以是別特定個人，就已經涉及到個人資料保護法的問題，「肉搜」可分為二個步驟：「求解」以及「給解」，「求解」，一般是指某位網友將某一張自己蒐集到的照片或影片放到網路上，希望其他網友能替他回答這張照片或影片上的人是誰？這時候聽眾要注意的，除非放的是公開場合所拍攝的影片或相片，又是為了增進公共利益而張貼，有符合個人資料保護法就資料蒐集、利用的例外規定時，才沒有違反個資法的問題，但如果照片或影片是從網路上或其他地方任意擷取、任意貼文，可能就已經屬於個人資料的非法蒐集、利用，而有違反個資法的問題。
「給解」，更是透過網友提供特定人的姓名、就讀學校、甚至電話號碼等個人資料相互比對確認，但事實上這些行為都已經牽涉個人資料的蒐集、處理及利用，除非是由公務機關籲請民眾提供資訊涉及公共利益，否則一樣有觸法疑慮。所以，人肉搜索，不可不慎，小心違法喔！
 

Q4、因為和大樓裡的鄰居起爭執，大家已經都知道是哪個鄰居了，法院也寫在判決裡。把判決書公開貼給布告欄給鄰居看，會違反個人資料保護法嗎？那如果影印後投入信箱可以嗎?
A：
個人資料保護法的保護並沒有區分公開或非公開，只要涉及個人資料就會從三個方向來討論有無涉及不法。所以不論是公開張貼或是私下寄送都會有涉及是否違反個人資料保護法的討論。這個問題牽涉到兩個層次，包含個人資料的蒐集及利用。依個資法規定，當事人自行公開的個人資料，算是從合法管道取得或知悉，所以不能算是非法蒐集的個人資料，但判決書的內容並不能算是當事人自行公開，而是司法機關在處理案件(執行法定職務)的過程中所蒐集處理的資訊，民眾收到判決書是因為本身就是利害關係人經由司法機關執行法定職務而取得，也屬於蒐集的例外規定，而為法律所許可。但是，取得這些個人資料後的利用行為，仍然應該符合法律規定，並不是可以隨意利用。
判決書等司法文書內容如果有紀載足以識別特定人的資料，例如車號、姓名、住址及身分證字號等，除有合於個資法第20條第1項但書情形之外，都有可能觸法,而任意張貼、寄送，顯然不是一個誠實、信用之方式，依個資法第29條規定應負民事損害賠償責任，並有可能成立第41條所定刑責，可處5年以下有期徒刑。
縱使民眾主張張貼並不是圖自己的不法利益，但依照現行法條「意圖損害他人之利益」並不需要牽涉財產上利益，而張貼這些資訊本身就可以認為是一件為了損害他人做的事情，民眾仍必須負違反個資法相關民事或刑事責任。所以千萬以為從合法管道取得的個人資料，就可以隨意使用，仍有觸法可能。

Q5、一直接到行銷電話，對方就是不說怎麼取得我的個人資料，不想再接類似的電話了，該怎麼辦?
A：
現在有系統是以亂碼撥打方式進行盲目行銷，所以電話號碼未必能連結並確認特定個人。民眾接到行銷電話時，請先確認對方是否能掌握特定資訊，例如姓名或是特定資料，以了解可能自己是在哪個環節留下了自己的個人資料(有可能是書面問卷、行銷回覆或是網路連結)並確認撥打行銷電話的是哪一個公司、單位、團體後，依個人資料保護法第11條第3項、第4項用存證信函或是雙掛號郵件請求該公司、單位、團體刪除、停止處理或利用該個人資料。如該公司、單位、團體仍不停止使用，可以請求調解或式提起訴訟請求，如有損害也可依侵權行為訴請對方賠償。
按「個人資料之蒐集、處理或利用，應尊重當事人之權益， 依誠實及信用方法為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯」「個人資料蒐集之特定目的消失或期限屆滿時，應主動或依當事人之請求，刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者，不在此限。」、「違反本法規定蒐集、處理或利用個人資料者，應主動或依當事人之請求，刪除、停止蒐集、處理或利用該個人資料。」個人資料保護法第5條、第11條第3項、第4項定有明文。
而所稱特定目的消失係指特定目的已達成而無繼續處理或利用之必要、因執行職務或業務所必須，則包括「有法令規定或契約約定之保存期限、有理由足認刪除將侵害當事人值得保護之利益或有其他不能刪除之正當事由」，亦為個人資料保護法施行細則第20條第3 項、第21條所明定。
 

Q6、在網站購物，便利商店店員在取貨時可以要求出示證件檢查我的個人資料嗎? 要換貨時，業者可以直接把我的地址給宅配司機嗎?
A：
如果在網站購物時已同意便利商店取貨規範，則便利商店基於「消費者管理與服務」之特定目的（代號 090）且符合個資法第 19條各款情形之一者，自得蒐集或處理個人資料。
又網路購物公司基於與消費者間之買賣契約關係，而於必要範圍內蒐集消費者之個人資料，自得於其特定目的（例如代號 148「網路購物及其他電子商務服務」）範圍內，利用其個人資料(個資法第19條第1項第2款、第20條第1項本文規定參照)。而宅配公司如係單純受網路購物公司委託辦理產品配送事宜，其於委託範圍內利用個人資料，視同該網路購物公司之利用行為(個資法第4條及同法施行細則第27條第1項規定參照)。
參考法條
個人資料保護法（以下簡稱個資法）第 19 條規定：「非公務機關對個人資料之蒐集或處理，除第 6 條第 1 項所規定資料外，應有特定目的，並符合下列情形之一者：…二、與當事人有契約或類似契約之關係，且已採取適當之安全措施。…五、經當事人同意。…。」又上開所稱之契約關係，包括本約，及非公務機關與當事人間為履行該契約，所涉及必要第三人之接觸、磋商或連繫行為及給付或向其為給付之行為（個資法施行細則第 27 條參照）。另應注意，個人資料之蒐集、處理或利用，應依誠實及信用方法為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯（個資法第 5條規定參照）。