第四章 研究結果分析
第三節 個人資料保護
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
母法。
第三節 個人資料保護的概念與法制基礎
一、個人隱私與資料保護之理念與歷史背景
政府資訊公開的精神如前一節所述,不外乎施政之透明以促進公民之政治參 與與民主政治發展,故政府資訊理應盡可能全面公開,使民眾知曉、利用。而實 務上,政府在執行法定業務、產生政府資訊的過程中,往往會蒐集、保存許多民 眾的個人資料,若將載有這些個人資料的政府資訊依《政府資訊公開法》全數公 開,恐有傷害當事人權益之虞,也就是所謂個人「隱私權」可能被侵害,故包括 西方國家、日本和臺灣的政府資訊公開相關法案中,均有規範政府資訊限制或不 予公開之例外情形,其一便是個人資料、個人隱私的保護。
西方「隱私權」的概念相當廣泛,早期的隱私權概念被融入個人「自由權」
的一環,即個人私生活不公開之自由及私人領域不予他人侵入之自由,不過在當 代資訊社會,僅消極地防止他人窺探、侵入個人私生活、私領域已不足夠,網際 網路和電腦科技的普及,讓政府機關和營利團體有更多管道獲取個人資訊,在不 為當事人所知的情況下,隱私受到侵害。故近來隱私權的概念已擴大為「人格自 律權」與「資訊隱私權」,前者為個人私自進行某行為之自由(例如墮胎),後者 即主動控制個人資訊的權力(范姜真媺,2001),換句話說,當今臺灣所謂「個 人資料」之保護實為隱私權保護之一環。
臺灣憲法雖無保障個人隱私權相關條文,但第 22 條稱「凡人民之其他自由 及權利,不妨害社會秩序公共利益者,均受憲法之保障。」又據大法官釋字第 603 號解釋:「基於人性尊嚴與個人主體性之維護及人格發展之完整,並為保障個人 生活私密領域免於他人侵擾及個人資料之自主控制,隱私權乃為不可或缺之基本 權利,而受憲法第 22 條所保障。」故在不妨害社會秩序和公共利益的情況下,
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
個人資料與隱私權應為憲法所保障。所謂「個人資料之自主控制」,該大法官解 釋稱「就個人自主控制個人資料之資訊隱私權而言,乃保障人民決定是否揭露其 個人資料、及在何種範圍內、於何時、以何種方式、向何人揭露之決定權,並保 障人民對其個人資料之使用有知悉與控制權及資料記載錯誤之更正權。」此解釋 文時間早於《個人資料保護法》之修訂,可視為個人資料保護納入隱私權保障的 濫觴,確定了個人資料之消極保護與積極控制,乃臺灣國民之基本權利。
個人資料固然為個人隱私或人格權的一部分,當然有保護的必要,但是在網 際網路、工商服務業發達的現代社會,透過所謂「大數據」、「雲端計算」、「群眾 外包」等技術,使政府資訊乃至個人資料成為商業用途的可能性大增,若能將政 府資訊適當地開放予民間使用,結合民間資源與創意,便能在達成政府施政公開、
透明的同時,創造經濟上的價值,其中個人資料之活用,也有助於社會生活之便 利(張永宏,2015;林裕嘉,2016)。故如何在確保個人資料、隱私被妥善保障 之餘,透過開放政府資訊、取用個人資料以創造利益,成為個人資料保護法規之 重要立法目的。
臺灣目前對個人資料保護之相關規範主要參考歐盟「資料保護工作小組」
(Article 29 Data Protection Working Party)於 2007 年發布之意見書(Opinion 4/2007 on the Concept of Personal Data)(張陳宏,2016)。該意見書將「個人資料」
定義為「任何與已識別或足以識別之自然人相關的資訊」,並將其區分為四個面 向,第一種是「任何資訊」(any information),即形式、內容不拘的個人資料,包 括客觀的血型、性別以及主觀的個人評價或意見,內容可能是私密或非私密、敏 感或非敏感;第二種是「關聯資訊」(relating to),亦即可以連結至特定個人的所 有與該個人相關的資訊,例如健康檢查的結果、辦公室的個人檔案或是採訪的影 像;第三種是「已識別和足以識別之資訊」(identified or identifiable),透過數個 片段資訊而已辨識出特定個人,或是有可能透過拼湊不同訊息而辨識特定個人,
這些辨識因子例如身高、髮色、穿著、職業、收入等,構成了能直接或間接識別
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
自然人之生理、心理、精神、經濟、文化或社會因素;最後一個是「自然人」(natural person),強調個人資料保護的權利屬於所有存活的自然人,而不問種族或國籍,
資訊處理系統是為自然人服務,在法律前任何人在任何地方均有權被視為自然人,
其基本權利和自由應受尊重,當然也包括處分個人資料的權利和自由。
二、臺灣《個人資料保護法》立法過程與相關爭議
為順應網路時代來臨與個人電腦之普及,以及解決個人資料因電腦、網路之 濫用而侵害當事人權益之情形,臺灣早在 1995 年即參考經濟合作暨發展組織
(Organization for Economic Co-operation and Development, OECD)及歐盟(EU)
相關規範,頒布施行《電腦處理個人資料保護法》,共 45 條。鑒於該法之侷限性 及諸多缺失,立法院於 2010 年三讀通過修正該法,並更名為《個人資料保護法》, 共 56 條,但隨後刪除第 19 至 22 條及第 43 條,其餘條文除爭議過大之第 6 及第 54 條,於 2012 年 10 月正式施行,隨後因實務運用上的困難而於 2015 年應各界 要求大修此法,總計修正之條文達 12 條之多,現行最新版《個人資料保護法》
自 2016 年 3 月施行,算是相當新近的一部法律。除了該法,臺灣《民法》和《刑 法》也散見數條與個人隱私保護相關的條文,例如《民法》(2015)第 18 條關於 人格權侵害之賠償,第 195 條關於不法侵害他人隱私等人格法益之賠償;《中華 民國刑法》(2016)中也訂有妨害秘密專章,在相關罰則部分與現行《個人資料 保護法》有所重疊,似應以《個人資料保護法》為優先適用。
《個人資料保護法》以個人隱私保護為立法主旨,但仍容許合理利用個人資 料,包括公務機關和非公務機關(該法第二章、第三章),即所謂隱私權之合理 保障,並非無限上綱地絕對保護,而著重於私人之生活私密領域(邱忠義,2014)。 然而本法最大爭議即在於何種個人資料屬於個人私密領域,不得被公開或利用,
應當被保護﹖現行《個人資料保護法》第二條以例示性與概要性規範,擴大適用 之個人資料範圍,無論資料的性質、內容、儲存、處理方式均可能成為法令保護
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
範圍,造成本法所定義之「個人資料」種類多元且龐雜,在牽涉範圍過於廣泛的 情況下,法規讓人無所適從,反而無法達到保護個人資料的目的(黃翰義,2015), 遑論加以善用,而個人資料之定義的關鍵在於「識別性」。
《個人資料保護法》第二條第一款對「個人資料」之定義為自然人之姓名、
出生年月日、身分證編號、指紋、婚姻、教育、病歷、性生活等十九種資料(列 舉或例示)以及「其他得以直接或間接方式識別該個人之資料」(概括敘述),如 果說該十九種資料是可以「直接識別」特定個人,則其餘個人資料雖無法直接識 別特定個人,但若與其他資料相連結,仍有「間接識別」出特定個人的可能,則 仍為《個人資料保護法》保護之個人資料。但上述條文中諸如婚姻、家庭、職業、
性生活、健康檢查等資料,實務上仍應加上其他要件始能成為「真正的個人資料」, 也就是與其他資料相結合才有意義。但無論是「間接識別」或「直接識別」在該 法中均定義不明,若將第二條條文視為「列舉與概括」並陳的方式界定個人資料,
則有法條負載過重之嫌,形成過度且不必要的保護,反而阻礙了個人資料之合理 使用(張永宏,2015);相對的,若該條文是「例示與概括」的方式舉例說明個 人資料的種類,即表示法規保護的個人資料還有其他未明文規定的種類,也就是 可能「間接識別」個人的資料,在判斷依據不明的情況下,可能造成過度擴張間 接識別個人資料之結果,最後同樣僵化了個人資料可能的合理使用,光是本法第 二條條文之定義就把諸多不確定之法律概念全盤列為規範對象,恐亦無法達到保 護個人資料之最初立法目的(黃翰義,2015)。
三、日本「個人情報保護法」立法進程
日本國內在討論制定「行政機關情報公開法」的同時,有學者便指出必須一 併思考兩大配套,其一是應被拒絕公開的政府資訊,其二則是統一中央各機關的 文書管理規則和系統。政府資訊的限制公開不外乎兩大原因,即個人資料以及國 家機密的保護,要求政府資訊公開以及申請閱覽公文書、屬於利用者一方的國民,
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
與應要求提供所保存資訊及公文書、屬於受理者一方的政府,兩者之間有一定可 能性產生利害的對立關係,具體而言,就在政府資訊公開或提供應用與否的判斷
(友岡史仁,2017)。類似美國 FOIA 和其他主要國家的政府資訊公開法規,日本
「行政機關情報公開法」中規定限制或不予公開的政府資訊包括含有個人資料、
屬於事關國家安全的機密資訊、司法偵查相關資訊、可能損害商業或營業利益的 資訊等,政府對這些限制公開之資訊的判斷,可能和申請利用這些資訊之民眾的 認知有所落差,如何確保政府機關和公文書典藏機構在審查民眾申請時的公正和 客觀,以及民眾事後救濟措施,是「行政機關情報公開法」重要的內容之一。尤 其針對個人情報保護以及國家機密保護,日本另訂有專法處理,與「行政機關情 報公開法」相配合適用。
行政機關早在昭和 63 年(1988 年),日本即訂有「行政機關保有之電子計 算機處理個人情報的保護法」,隨著「行政機關情報公開法」實施,必須被保護
行政機關早在昭和 63 年(1988 年),日本即訂有「行政機關保有之電子計 算機處理個人情報的保護法」,隨著「行政機關情報公開法」實施,必須被保護