個資法的原則—與 OECD 隱私準則八大原則的對照

我國在民國101 年 10 月 1 日正式施行個人資料保護法，並於同年 9 月 26 日 公布個人資料保護法施行細則。個人資料保護法參酌 OECD 隱私準則，依據八 大原則分別訂定相對應之法律規範，包含保護客體、適用主體、通知和同意機制、

當事人權利、行政監督、相關責任和團體訴訟。

經 濟 合 作 暨 開 發 組 織 （The Organization for Economic Cooperation and Development，簡稱 OECD）於 1980 年提出的「隱私保護與個人資料跨境流動準 則（OECD Guideline on the Protection of Privacy and Transborder Flows of Personal Data，後簡稱 OECD 隱私準則）｣，所訂定之八項原則成為各國訂定個資或隱私 法規的共通原理原則，實為重要³⁴。以下，將交互介紹OECD 隱私準則的八大原 則與我國個資法的條文。

33 王澤鑑，「人格權法｣，1 版，三民經銷，台北，頁 12（2012）。

34 OECD Guidelines on the Protection of Privacy and Transborder Flows of Personal Data, OECD, at 7-14, http://www.oecd.org/internet/interneteconomy/oecdguidelinesontheprotectionofpriva cyandtransborderflowsofpersonaldata.htm (last visited Dec. 22, 2012). 另參見劉定基，「個人資料 的定義、保護原則與個人資料保護法適用的例外──以監視錄影為例（下）｣，月旦法學雜誌，

第119 期，頁 40-41（2012）；李震山，「論資訊自決權｣，「人性尊嚴與人權保護｣，頁 249（201 1）。

12

(1) 目的特定原則（Purpose Specification Principle）、蒐集限制原則（Collection Limitation Principle）和使用限制原則（Use Limitation Principle）

目的特定原則係指個人資料的蒐集必須目的特定，後續的蒐集不能與目的牴 觸，若有變更亦應特定；蒐集限制原則係指，個人資料應透過合法、公平的方式 蒐集，並通知當事人，取得同意；而使用限制原則為個人資料的揭露，應符合蒐 集目的，除非得當事人的同意或依據法律的規定。換言之，前述三原則緊扣機關 行為與目的間的關聯，亦即機關對個資的行為必須囿限於特定目的的範圍內，且 該行為和木的間必須有相當關聯性。此三原則的主要內容，體現於個資法總則的 第5 條、公務機關對個人資料之蒐集、處理及利用的第 15 條和第 16 條、以及非 公務機關對個人資料之蒐集、處理及利用的第19 條和第 20 條。

個資法第5 條將目的特定原則明文規定：「個人資料之蒐集、處理或利用，

應尊重當事人之權益，依誠實及信用方法為之，不得逾越特定目的之必要範圍，

並應與蒐集之目的具有正當合理之關聯。｣並在第 15 條、第 16 條、第 19 條和第 20 條限制特定目的外的蒐集、處理或利用的情形。依據法務部函釋的見解：「公 務機關與非公務機關於蒐集、處理及利用個人資料時，仍應受「必要範圍」及「正 當合理關聯」之限制……依個別情形予以審認（法務部民國 103 年 01 月 22 日 法檢字第 10304504440 號）。｣。此外，關於「必要範圍」及「正當合理關聯」的 判斷，法務部認為須符合比例原則，亦即應依個案考量系爭行為所採取的是否有 助於目的之達成（適當性）？是否對當事人權益損害最少（必要性）？以及造成 的損害和欲達成目的之利益間是否均衡、相當（衡量性）³⁵？此外，在個資法第 53 條授權法務部會同中央目的事業主管機關指定本法所定特定目的及個人資料 類別，法務部並於 2012 年 10 月 1 日公布「個人資料保護法之特定目的及個人資 料之類別修正總說明及對照表｣³⁶。

針對敏感性個人資料，為確保當事人的隱私免受侵擾，特於個資法第 6 條規 定：「有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得蒐集、

處理或利用。｣，原則上敏感性個人資料禁止蒐集、處理或利用，惟於下列情形 得為利外：「一、法律明文規定；二、公務機關執行法定職務或非公務機關履行 法定義務所必要，且有適當安全維護措；三、當事人自行公開或其他已合法公開 之個人資料；四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，

為統計或學術研究而有必要，且經一定程序所為蒐集、處理或利用之個人資料。

｣（關於蒐集、處理或利用的細部討論，請參見 2.3.4）。 (2) 公開透明原則（Openness Principle）

公開透明原則意指個人資料的使用應公開透明，並有合理管道可得確認。依 據個資法第8 條和第 9 條規定，無論是公務機關或非公務機關，均須依照法定的 告知項目向當事人說明。在蒐集、處理或利用當事人的個人資料前，應先陳明（1）

業者的名稱；（2）蒐集的目的；（3）個人資料的類別；（4）個人資料利用的期間、

35 法務部民國 103 年 01 月 13 日法律字第 10303500480 號。

36 個人資料保護法之特定目的及個人資料之類別修正總說明及對照表，法務部，

http://www.moj.gov.tw/ct.asp?xItem=283183&ctNode=28007&mp=001（最後瀏覽時間：2013 年 4 月20 日）。

13

地區、對象及方式；以及（5）當事人依個資法得行使的①查詢或閱覽權；②請 求製給複本權；③補正或更正權；④停止蒐集、處理或利用權；以及⑤刪除權依 第三條規定得行使之權利及方式。此外，個資法第7 條陳明若機關以當事人的同 意作為特定目的外蒐集、處理或利用的允許時，應取得當事人的書面同意。

(3) 資料品質原則（Data Quality Principle）

資料品質原則係指蒐集資料須與使用目的有關聯，並求資料的正確與更新。

此原則規範於個資法第11 條第一項：「公務機關或非公務機關應維護個人資料之 正確，並應主動或依當事人之請求更正或補充之。｣以避免不正確的個人資料，

影響當事人的權益。

(4) 個人參與原則（Individual Participation Principle）

個人參與原則為當事人資訊自決的體現，當事人得以確認、取得、救濟、和 異議。在個資法第3 條當事人就其個人資料具有五項權利，不得預先拋棄或以特 約限制，包含：查詢或請求閱覽權；請求製給複製本權；請求補充或更正權；請 求停止蒐集權、處理或利用權、以及請求刪除權³⁷。

(5) 安全維護原則（Security Safeguards Principle）

安全維護原則，顧名思義即資料管理者為蒐集、處理、利用或傳輸時，須確 保個人資料受到安全地保護。根據個人資料保護法第 27 條規定第一項，非公務 機關都應該採取適當之安全措施，以防止個人資料被竊取、竄改、毀損、滅失或 者洩漏。依目前個資法施行細則第 12 條第 2 項規定，適當之安全措施和所欲 達成之個人資料保護目的間，須有適當比例為原則。適當之安全措施得包含以下 內容：（1）成立管理組織，配置相當資源；（2）界定個人資料之範圍；（3）個人 資料之風險評估及管理機制；（4）事故之預防、通報及應變機制；（5）個人資料 蒐集、處理及利用之內部管理程序；（6）資料安全管理及人員管理；（7）認知宣 導及教育訓練；（8）設備安全管理；（9）資料安全稽核機制；（10）必要之使用 紀錄、軌跡資料及證據之保存；以及（11）個人資料安全維護之整體持續改善。

至於細節性、具體的安全措施與個人資料檔案安全維護計畫或業務終止後個人資 料處理辦法，個資法以法律授權的方式，委由中央目的事業主管機關指定，並訂 定計畫和處理方法之標準³⁸。

37 針對更正、補充、停止和刪除權利，於個資法第 11 條第二項至第五項有更詳盡的規範：

「個人資料正確性有爭議者，應主動或依當事人之請求停止處理或利用。但因執行職務或業務 所必須並註明其爭議或經當事人書面同意者，不在此限（第二項）。個人資料蒐集之特定目的消 失或期限屆滿時，應主動或依當事人之請求，刪除、停止處理或利用該個人資料。但因執行職

務或業務所必須或經當事人書面同意者，不在此限（第三項）。 違反本法規定蒐集、處理或利

用個人資料者，應主動或依當事人之請求，刪除、停止蒐集、處理或利用該個人資料（第四 項）；因可歸責於公務機關或非公務機關之事由，未為更正或補充之個人資料，應於更正或補充

後，通知曾提供利用之對象（第五項）。｣。此外，於個資法第13 條規定個人資料處理期限或處

理期限延長。

38 例如經濟部工業局已經編製「個人資料法規遵循參考指引暨宣導手冊——資服業個資教戰

手冊（以下簡稱資服業個資教戰手冊）｣，供資訊服務業者作為個人資料管理機制作法建議，共

有13 個步驟：步驟一：訂定個人資料保護與管理政策；步驟二：成立個人資料保護管理執行小

14

(6) 課責原則（Accountability Principle）

課責原則意指資料管理者若違反需承擔責任，個資法針對違法者之課責，規 定於個資法第五章。

表一：OECD 隱私準則八大原則與我國個人資料保護法之對照³⁹

OECD 原則 內涵 個資法

目的特定原則 ↔ 蒐集個資之目的必須明確，並在目的內使用之 ↔ §5, 15, 16, 19, 20 蒐集限制原則 ↔ 須以合法手段取得個資，並待當事人同意 ↔ §5, 6, 15, 19, 53

使用限制原則 ↔ 除有特殊情形，不得為目的外之利用 ↔ §5, 16, 20

公開透明原則 ↔ 就個資的蒐集、處理或利用須公開相關做法 ↔ §7, 8, 9

資料品質原則 ↔ 個人資料須正確、完整且不斷更新 ↔ §11

個人參與原則 ↔ 當事人得針對其個資行使權利 ↔ §3, 10, 11, 13, 17

安全維護原則 ↔ 個人資料以適當的安全防護措施加以保護 ↔ §12, 18, 27

課責原則 ↔ 資料擁有者採取相關措施來符合上述原則 ↔ 第五章罰則