【極憲生活】個人資料怎麼用,才合法?
文/林煜騰 (台大法碩士,執業律師)
個人資料保護法,並非是限制個人資料不能使用,而只是要求個人資料被「合理使用」。
個人資料保護法,把使用個人資料的情況,區分為蒐集、處理或利用三種態樣。
1. 蒐集,是指以任何方式取得個人資料;
2. 處理,是指為了建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
3. 利用,是指將蒐集之個人資料為處理以外之使用。
因此,就算被認定為「個人資料」依照個人資料保護法,在特定條件下,也可以使用個人資料。一般人在網路上最常遇到,將他人的姓名、電話、地址公布在網路上就是屬於「利用」行為。本篇先跟大家談,在什麼情況下,才能夠合法「利用」他人的個人資料。
(一) 可以合法利用個人資料的情形
個人資料保護法,先將個人資料分成「一般性資訊」、「敏感性資訊」,進而區分使用人為「公務機關」以及「非公務機關」而有不同規範。
1. 「一般性資訊」於蒐集目的範圍內使用
如果是一般性資訊(即非病歷、醫療、基因、性生活、健康檢查及犯罪前科)在特定條件下,原則上都可以合法利用。
個人資料保護法第5條規定:「應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。」
另外,在個人資料保護法第16條規定「公務機關對個人資料之利用…應於執行法定職務必要範圍內為之,並與蒐集之特定目的相符。」、同法第20條也規定:「非公務機關對個人資料之利用…應於蒐集之特定目的必要範圍內為之。」這兩個條文的意思是,要使用個人資料,必須要在蒐集此資料的「目的」範圍內使用;若超出使用範圍就是違反個人資料保護法。而法院認為所謂特定目的「必要」範圍,其內涵就是比例性原則。
在比例原則的操作下,使用個人資料時,必須同時審視使用個人資料的情形,是否符合合適性原則、必要性原則及狹義比例原則:
(1) 合適性原則,指資料利用人使用個人資料的方法,可以達成當初取得該資料的目的;
(2) 必要性原則,指必須要在所有可能達成目的方法中,選擇對當事人(即個人資料之本人)最少侵害的手段;
(3) 狹義比例原則,指資料利用人所欲完成的目的及使用手段,不能與因此造成當事人的損害或負擔不成比例(臺灣高等法院臺中分院104年度上易字第885號刑事判決)。
舉例而言,民事判決書上的個人資料,是為了向法院聲請民事執行或行使訴訟上權利使用,但若資料利用人未隱蔽判決上所載相關人士姓名、地址等個人資料,即複印發送給各住戶以及公眾,就逾越此份資料可以使用的目的,違反個人資料保護法第41條第1項(臺灣高等法院臺中分院104年度上易字第885號刑事判決)。
2. 敏感性個人資料原則上不得使用,例外應於蒐集目的範圍內利用
至於有關病歷、醫療、基因、性生活、健康檢查及犯罪前科等個人資料,原則上都不能自由蒐集、處理或利用,必須要符合個人資料保護法第6條的六種情形才可以,分別是:
(1)法律明文規定;
(2)公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施;
(3)當事人自行公開或其他已合法公開之個人資料;
(4)公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人;
(5)為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內且事前或事後有適當安全維護措施;
(6)經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。
舉例而言,個人前科資料屬於敏感性個人資料;但如果是因為資料利用人,於他案件中依法到庭應訊、聆判、收受判決、查悉判決已否確定等,因而蒐集到,當事人的犯罪前科個人資料,就沒有未違背個人資料保護法第6條第1項。
不過法院認為,就算符合個人資料保護法第6條第1項,而合法取得這些資訊,如果要利用這些資料,也必須要符合,在「蒐集此資料的目的」範圍內使用。若超出使用範圍,就必需要符合同法第16條(公務機關)和第20條(非公務機關)的例外規定,否則就是違反個人資料保護法(臺灣高等法院刑事判決104年度上易字第2289號)。
3. 目的範圍「外」使用
蒐集個人資料的目的範圍「外」使用,個人資料保護法區分「公務機關」以及「非公務機關」,分別規定在同法第16條(公務機關)和第20條(非公務機關)。但條文內容其實是大同小異。
公務機關如果要在蒐集該資料目的的範圍外,利用個人資料必須要符合個人資料保護法第16條的規定,分別是:
(1)法律明文規定;
(2)為維護國家安全或增進公共利益所必要;
(3)為免除當事人之生命、身體、自由或財產上之危險;
(4)為防止他人權益之重大危害;
(5)公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人;
(6)有利於當事人權益;
(7)經當事人同意。
而非公務機關如果要在蒐集該資料目的的範圍外,利用個人資料必須要符合個人資料保護法第20條的規定。此條文跟第16條相比,只有將「為維護國家安全」(仍保留為增進公共利益所必要)的事由刪除。
從上面的事由可以看出,除了「經當事人同意」這款事由外,其他的事由都不是一般人可以一望即知是否符合規定。
因此,若要在蒐集個人資料的目的範圍外,使用他人的個人資料,最保險的作法,還是只有經過當事人同意一途。
(二) 法院認為哪些案件可以使用個人資料?
除了法條的規定外,法院已經累積了許多認定合法使用個人資料的判決。若依循法院的認定結果操作,也可以相當程度避免觸法。
1. 只公布姓名:
比較典型的案件,是只公布姓名而沒有添加其他資訊。法院認為「姓名」存在的目的是為了要特定他人身分,因此資料利用人要告訴別人我在講「誰」而用到他人的姓名,就屬於在資料蒐集範圍內使用的情形。
舉例而言,在一則公布判決書的案件,因被告與其姊夫住在同一處,其姊夫時常以數位相機偷拍其沐浴過程,因此判刑。被告就將判決中其姊夫的年籍、住居處等資料刪除後,張貼在網路上並寫道:「你照樣過著神不知鬼不覺的生活,沒有任何親朋好友知道你到底是怎樣的人!我決定po上此通知書,讓大家知道此人實際上是怎樣的人!」
法院認為,此判決書上只有公布相關人士的姓名,也沒有將該案被告犯罪的時間地點貼出。同名同姓者不勝枚舉,一般人難憑姓名,就直接或間接得知判決書上寫的人是誰,因此此文字資料尚難構成個人資料保護法所保障得以直接或間接方式識別該個人資料(臺灣高等法院103年度上易字第2172號刑事判決)。
就算「姓名」屬於個人資料保護法所要保護的資料,被告刊登判決書的目的,是為了表示其遭人偷拍的真相,請他人洗澡時時需稍加注意,以免遭受偷拍。並非出於非法或不當的目的。再者,一般人於日常生活中與他人互通姓名,是為用作該人或供該人對自己的識別、稱呼之用,此就是蒐集個人姓名的特定目的。因此,如果是為了特定指稱該人身分的目的而使用其姓名,就是屬於在蒐集「姓名」的特定目的必要範圍內使用,自然沒有違反個人資料保護法第20條第1項前段以及第41條的規定(臺灣高等法院103年度上易字第2172號刑事判決)。
另外在一則消費糾紛中,被告將寄發給對方的律師函上公開刊登在Facebook上,並有記載對方的姓名。法院認為,人的姓名是為了供個人識別,為身分的表徵,一般人於日常生活中與他人互通姓名,是為用作對該人或供該人對自己的識別、稱呼。被告除揭露他人姓名外,並未同時揭露其出生年月日、身分證統一編號或住所等等更為隱密而足以識別個人的特徵或資料;而且已經將律師函中價錢、數量等隱私部分遮掩,因此並沒有逾越使用這些資料的目的範圍必要性,不觸犯個人資料保護法第41條第1項(臺灣高等法院臺南分院103年度上易字第186號刑事判決)。
2. 店家名片
在一則消費糾紛中,被告於臉書上為了描述他與汽車檢驗場的消費糾紛,因而將載有店家姓名及所經營汽車檢驗廠通訊地址、聯絡電話等資訊的名片刊載於網站上。法院認為,被告是自店家取得名片,因此名片上的資訊是由店家自行公開,被告只是要利用此資訊特定、指明的發生修車糾紛者該店家,並未逾越識別的目的,因此沒有違反個人資料保護法(臺灣新竹地方法院105年度易字第53號刑事判決)。
3. 住戶資料
另一種比較複雜的情況是是,管委會為了開會的目的,在開會通知書內提到了住戶的姓名、地址之聯絡方式或財產狀況。
在一則案件中,被告(區分所有權人會議召集人)為了召開區分所有權人會議,在公寓大廈內張貼開會通知書上載明:「五討論事項:(三)依公寓大廈管理條例第22條第1項第3款之規定,強制自立路8之4號14樓住戶甲OO、乙OO及8-5號3樓丙OO遷離本公寓大廈…。說明:1.…前述住戶及區分所有權人,藉故對本公寓大廈求償不斷…。2.…上述住戶搬進本社區以來,眾多恣意無故、藉故對管理委員會、管理委員、管理員及住戶的存證信函、提告,OO社區的住戶所受到之精神脅迫,更遠甚於金錢之損傷…。3.…本會議決議請管理委員會促請其改善上述破壞社區和諧之行為…。」並揭露上開住戶姓名、地址聯絡方式以及有上開住戶姓名、地址的存證信函。
法院認為,被告依據公寓大廈管理條例有用書面載明會議預定討論事項的義務。被告只是為了告知其他區分所有權人預定討論是否要請特定住戶遷離社區的議案,才載明該住戶姓名、地址聯絡方式以讓其他人知悉是在討論「哪一戶」;至於被告張貼存證信函在會議通知書旁邊,只是作為議案討論中的佐證。存證信函中住戶的姓名與地址,並未作為社區事務運作外的利用,也不是任意到處張貼,可見被告已經選擇對該住戶最少侵害及影響的手段,因此是在目的範圍內使用,沒有違反個人資料保護法(臺灣高等法院105年度上易字第446號刑事判決)。
*個人資料保護法第16條:
「公務機關對個人資料之利用,除第六條第一項所規定資料外,應於執行法
定職務必要範圍內為之,並與蒐集之特定目的相符。但有下列情形之一者
,得為特定目的外之利用:
一、法律明文規定。
二、為維護國家安全或增進公共利益所必要。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,
且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當
事人。
六、有利於當事人權益。
七、經當事人同意。」