第三章 機關間社會福利資料傳遞使用情形暨合法性
第四節 個資法修法評析
綜上所述,本文認為新個資法修正後,目前國內實務仍存在以下問題,歸結 如下:
(一)法律保留之密度不足
200 參「中低收入戶審查 也被個資法○住」,聯合晚報 2012 年 11 月 10 日報導。
201 參法務部「個人資料保護專區」
http://pipa.moj.gov.tw/cp.asp?xItem=1268&ctNode=379&mp=1.(最後瀏覽日期:2013 年 1 月 20 日)
‧
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
1.資料庫間之資訊共享欠缺足夠法律依據
目前資料庫之間的整合連結,僅有行政院於民國84 年訂定,96 年全文修正 的「行政機關電子資料流通實施要點」及研考會於91 年訂定的「電子化政府推 定方案」,前者未有任何實質規範,後者則集中於資訊技術層面之規範,並且兩 者皆為內部規則。以政府資料庫涵蓋範圍之廣、所保有資料的種類之多,其中亦 不乏較具敏感性之資訊,則資料庫的相互流通雖得減少不必要之行政成本,加速 行政機關辦理相關業務之時程,但基於資料電子化後快速流通將產生本文前述之
「聚積效果」(Aggregation Effect), 個人散居在各資料庫之片段資料,在封閉不 透明的程序下被快速地拼湊,未必完整真實表現一個人的一幅人格圖像即直接呈 現在行政機關之前,並且被行政機關做為與當事人利害相關之公權力決定之依 據,對當事人資訊自決權之侵害不可謂不鉅。
依照司法院大法官釋字第 603 號解釋之見解,就個人自主控制個人資料之 資訊隱私權而言,乃保障人民決定是否揭露其個人資料、及在何種範圍內、於何 時、以何種方式、向何人揭露之決定權,並保障人民對其個人資料之使用有知悉 與控制權及資料記載錯誤之更正權,同時資訊隱私權保障之對象亦不限於個人隱 密性或敏感性之資訊。機關間資料庫的連結比對,實質上已使特定資料從某一機 關傳遞至另一機關,逸脫原始蒐集目的而為目的外之利用,應落入當事人資訊自 決權之保障範圍。關於何種事項應以法律直接規範或得委由命令予以規定,與所 謂規範密度有關,司法院大法官釋字第443 號解釋理由書指出,應視規範對象、
內容或法益本身及其所受限制之輕重而容許合理之差異。不論資料庫間的連結比 對或機關間特定資料的傳遞,所涉及者皆為多數人大量之個人資料;站在資訊自 決之角度而言,資料被特定社會行政機關蒐集後的傳遞使用,個人對之仍應有一 定控制之權利。憲法對資訊自決權之保障雖非絕對,國家得於符合憲法第二十三 條規定意旨之範圍內,對之予以適當之限制,惟須以法律為明確之規定202。
202 司法院大法官釋字第 603 號解釋文參照。
‧
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
上述「行政機關電子資料流通實施要點」與「電子化政府推定方案」僅為 內部規則性質,並不妥當。事實上,上述兩內部規則的內容尚欠缺實質規範作用,
現行實務上究竟特定資料庫可以與哪些外部資料串連,以及哪些人或團體可得取 得該資料的查詢使用權限,欠缺一般抽象的標準,事實上多取決於資料保有機關 的內部準則203,或在根本欠缺內部準則之下被決定204,似有違反法治國原則下的 法安定性與可預見性要求之疑慮。然而,在新個資法修正後此問題似乎仍未被嚴 肅對待。
目前社會行政機關資料庫間之資訊共享,不論採資料庫直接串連比對或開 放由其他機關人員查詢權限者,舊個資法時期皆未有明確的法律授權依據,行政 命令層級除「家庭暴力電子資料庫建立管理及使用辦法」與「兒童及少年收出養 資訊管理及使用辦法」外,對此亦未有實質性之規範。或有謂行政程序法第 19 條職務協助之規定已足該當之,惟本文認為參考德國法之規定,僅以該條為依據 並不妥當。德國法上認為倘職務協助之內容涉及人民基本權之侵害且請求機關必 須具有實質管轄權限(sachliche Zuständigkeit)時,必須另外有特別法之規定205, 並且進一步指出,關於職務協助中的資料傳遞是否合法,尚須視具體化或限制人 民憲法上資訊自決權或人格權保護之專業特別法律之規定而定206。可茲參考。
2.法律明定程度之疑義
新個資法施行後,社會救助法第44 條之 3 之規定明確授權主管機關向其他 機關請求提供資料,該條文規定應符合個資法第16 條第 1 款之「法律明文規定」
要件,已如前述。惟個別授權之法規是否皆須如上開社會救助法之規定,明白賦
203 例如前述刑警局為爭取辦案時效,擬連線查詢聯徵中心信用資訊,法務部採取否定見解,指 出該資料僅供法務部暨所屬檢察機關檢察官、司法院所屬各級法院法官及專責人員查詢使用,惟 其據以認定之依據則未見說明。參本文前揭註166。
204 例如衛生署在目前並未有任何內部準則規定下,擬將健保局、國健局、疾管局的國人健康資 料,與其他公務機關為不同目的而蒐集的資料(例如戶籍資料、原住民檔、身心障礙檔、家庭收 支調查檔等)串聯整合,以探挖原始資料下埋藏的豐富資訊。參本文前揭註155。
205 Vgl. Funke-Kaiser, BeckOK VwVfG § 4, in: Bader/Ronellenfitsch(Hrsg.), Beck'scher Online-Kommentar VwVfG,1.10.2012, Rn.4.
206 Funke-Kaiser, a.a.O., Rn.7.
‧
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
予社會行政機關請求提供資料之權限,倘該機關已具備為某項行政行為之作用法 授權,而系爭資料為其履行該法定任務所必須者,是否合致本款之規定?又授權 社會福利個人資料傳遞之法規是否必須訂於實體之社會福利立法中,亦不無疑 義。
(二)資料庫建立連結與開放權限之行為欠缺管制
個資法並未就資料傳遞之類型與內涵為規定,實務上機關間資料之流通使 用,可能藉由資料庫之間進行直接串連比對或開放查詢權限給其他機關人員為 之,亦有可能係資料持有機關被動被請求提供特定種類範圍之個人資料,惟在現 行個資法制下皆應落入第16 條「目的外利用」之範疇,從而適用相同之例外許 可要件規定,立法者似乎並不認為應依傳遞之類型方式予以分別規定。就法律層 面而言,資料庫建立連線或開放查詢後雖尚未生資料傳遞之效果,必須待為個別 比對或查詢行為之時始足當之,然而實際上資料請求機關欲自資料庫取得特定個 人資料,原資料持有機關並無再次審查其合法性以決定是否提供之空間,是以個 別比對或查詢行為幾乎不受控制207。是故,立法上有無必要在前端即為一定之程 序控制,值得思考。
(三)間接蒐集之差異性未被凸顯
如上所述,特定個人資料之傳遞,在請求機關方面須滿足個資法第15 條關 於「蒐集」之要件,在被請求機關方面須滿足個資法第16 條關於「目的外利用」
之要件。由於個資法第15 條並未限定蒐集之對象,在現行法制下不論對於當事 人本人之「直接蒐集」或從當事人以外之其他機關或個人取得之「間接蒐集」,
皆適用相同之規定。然前者情形下當事人就何機關於何時、基於何種目的、取得 何種之個人資料皆有所認識知悉;相對於此,後者情形下之當事人並無法對其個 人資料為有效之控制,雖新個資法於第9 條另訂有對其告知之義務,惟該條可能
207 誠然,資料取得機關通常就其內部有資料庫使用權限之人員與權限範圍為一定之限制,惟本 文認為站在該機關之角度,其取得特定個人資料並未遭遇特別之困難。
‧
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
因存在過於空泛之例外免除告知事由而導致實際功能有限。基於間接蒐集對當事 人權利侵害較鉅,是否須針對該情形另為規範,即有檢討之必要。
(四)目的外利用例外從嚴之要求被忽視
「目的拘束原則」(Zweckbindungsgrundsatz)作為「經濟合作及發展組織」
(OECD) 「有關個人資料之國際流通及隱私權保護準則」揭櫫之個人資料保護原 則之一,自舊法時期即為個資法立法的重要原則(Leitprinzip),新法亦完整承襲 之,已如前述。任何欠缺特定目的的蒐集或儲存皆不被允許,並且後續的處理與 利用階段皆應以此目的為依歸,任何偏離目的外之利用皆需有法律明定授權或當 事人之同意始得為之208。就上述案例而言,皆未涉及當事人同意之問題,而直接 訴諸個資法或其他法令之規定。惟仔細觀察舊個資法對公務機關個人資料目的外 利用之規定,其中存在許多不確定法律概念,並且延續到新法施行後,針對舊法 時期諸多實務見解採取之寬鬆解釋,已有學者認為可能架空目的外利用例外從嚴 之原則。
(五)當事人程序權應受保障
基於資訊自決之理念與「經濟合作及發展組織」(OECD) 之「有關個人資 料之國際流通及隱私權保護準則」提出的「個人參與原則」,當事人對於其自身 之個人資料應有一定之控制權。舊法第12 條即賦予答覆查詢、提供閱覽或製給複 製本等權利,新法第 3 條進一步增加「請求補充或更正」、「請求停止蒐集、處 理或利用」與「請求刪除」等權利,第9 條第 1 項並規定請求傳遞之機關應向當事 人告知個人資料來源、公務機關或非公務機關名稱、蒐集之目的、個人資料之類 別、個人資料利用之期間、地區、對象及方式及當事人依第三條規定得行使之權 利及方式。惟可以想見第8 條第 2 款之「個人資料之蒐集係公務機關執行法定職
208 Kühling/Seidel/Sivridris, a.a.O, S.110.
‧
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
務或非公務機關履行法定義務所必要」與第3 款之「告知將妨害公務機關執行法 定職務」將成為公務機關之間資料傳遞告知豁免的主要事由209。
對照現行實務的處理方式,行政機關並不會將提供資料之記錄附註於個人
對照現行實務的處理方式,行政機關並不會將提供資料之記錄附註於個人