個資法暨修正草案從 RFID 應用觀點之評析

目前個資法的蒐集限制雖然已有概括性的規定，但是在適用於 RFID 的 應用時，卻不免引起若干疑義；首先，非公務機關需取得執照始能就個人資 料進行蒐集的制度，並且必須填具申請書，一旦蒐集手段有所變更，又必須 進行申報更改或是重新申請，不僅花費大量行政成本，且以目前主管機關所

二、保有機關名稱。三、個人資料檔案利用機關名稱。四、個人資料檔案保有之依 據及特定目的。五、個人資料之類別。六、個人資料之範圍。七、個人資料之蒐集 方法。八、個人資料通常傳遞之處所及收受者。九、國際傳遞個人資料之直接收受 者。一○、受理查詢、更正或閱覽等申請之機關名稱及地址。前項第五款之個人資 料之類別，由法務部會同中央目的事業主管機關定之。」

89 電腦處理個人資料保護法第 12 條：「公務機關應依當事人之請求，就其保有之個人

資料檔案，答覆查詢、提供閱覽或製給複製本。但有左列情形之一者，不在此限：

一、依前條不予公告者。二、有妨害公務執行之虞者。三、有妨害第三人之重大利 益之虞者。」電腦處理個人資料保護法第 13 條：「公務機關應維護個人資料之正 確，並應依職權或當事人之請求適時更正或補充之。個人資料正確性有爭議者，公 務機關應依職權或當事人之請求停止電腦處理及利用。但因執行職務所必需並註明 其爭議或經當事人書面同意者，不在此限。個人資料電腦處理之特定目的消失或期 限屆滿時，公務機關應依職權或當事人之請求，刪除或停止電腦處理及利用該資 料。但因執行職務所必需或經依本法規定變更目的或經當事人書面同意者，不在此 限。」

核准之行業幾乎已包含所有業者，故於非公務機關再行分類可蒐集個人資料 之業者，尚難窺其實益。再者，以學術為目的之資料蒐集，並未配合要求匿 名或是去名化（de-identification）制度，縱使特別規定須無害於當事人之重 大利益，惟學術研究之範圍過廣，為恐業者以該條件逕行蒐集利用，而涉及 敏感資訊之外洩或是風險提高，應配合匿名制度之使用為妥。

由於現行個資法面對龐大的資訊難以因應種種挑戰，法務部草擬本法的 修正草案，針對諸多規定加以修正，其中將非公務機關需申請核准使得蒐集 個人資料的條件刪除，將非公務機關定義為公務機關以外者⁹⁰，同時草案並 明文規定業者應告知資料主體之事項⁹¹，如有違反將處以罰鍰⁹²，並且增加了 學術研究匿名統計的機制⁹³，也因此相較於現行個資法，其對於隱私權的保 障較為適切。

其次，從身分識別 RFID 適用個資法中有關公務機關之規定而言，現行 的個資法並未就個人資料的本質進行區分，也就是敏感性資料的保護與一般 識別資料適用相同規定，對於例如醫療相關資訊等敏感性資料的保護顯有不 足；再者，現行公務機關與非公務機關之區分，對於行政法人之歸屬產生了 難以區分的情形，無法清楚適用易生疑義。同時，其對於學術研究匿名化規 定的闕漏，亦使個人資訊隱私權產生威脅。最後，縱使個資法中要求公務機 關主動告知資料蒐集的相關事項，以符合資料庫公開原則之適用，但由於缺 少對民眾的告知，大眾對於其資料的處理將難以瞭解，並且在缺少相關認知 的情形下同意公務機關進行資料蒐集，對於隱私期待的建立也將有所落差。

以個資法修正草案之規定以觀，針對現行法所產生的疑慮，修正草案首

90 「個人資料保護法」修正草案第 2 條第 8 款：「指前款以外之自然人、法人或其他

團體。」法務部網站：http://www.moj.gov.tw/public/Attachment/62228524321.pdf （最 後點閱日期：2006 年 8 月 27 日）。

91 同前註，第 8 條第 1 項。

92 同前註，第 47 條第 1 款。

93 同前註，第 19 條第 4 款。

先在第 6 條就敏感性資訊，如醫療、基因、性生活、健康檢查及犯罪前科等 個人資料明文禁止蒐集，除非符合但書之規定，否則即屬違法之個人資料蒐 集⁹⁴。再者，有關公務機關是否包含行政法人之部分，修正草案第 2 條第 7 項規定：「公務機關：指依法行使公權力之中央或地方機關或行政法人。」

因此解決了行政法人之爭議。而本次修正草案將學術使用資料匿名化原則引 進，也適度解決了原先的隱私權疑慮，最後，修正草案在第 8 條増訂公務機 關與非公務機關的告知義務⁹⁵，提供資料主體更多關於其個人資料處理的相 關資訊，以便建立資料主體之隱私權期待。

最後，有關私部門利用 RFID 應用來識別個人時，雖然其並非全國性統 一編碼，對於個人識別的連結性與可靠性較低，保護尚不需若公部門所發放 之識別證件嚴密，但在使用 RFID 會員卡時，我國並未就其編碼型態進行規 定，但是如果業者以公部門識別號碼作為會員卡編碼，透過 RFID 晶片進行 發送，則將使得會員卡成為個人隱私權保護最大的漏洞。再者，會員編碼並 非可直接識別個人之資料，因此是否成為個資法所規定之個人資料，尚有疑

94 「個人資料保護法」修正草案第 6 條：「有關醫療、基因、性生活、健康檢查及犯

罪前科之個人資料，不得蒐集、處理或利用。但有下列情形之一者，不在此限：

一、法律明文規定。二、法律未明文禁止蒐集、處理或利用，且經當事人書面同意 者。三、公務機關執行法定職務或非公務機關履行法定義務所必要。四、當事人自 行公開或其他已合法公開之個人資料。五、公務機關或學術研究機構基於醫療、衛 生或犯罪預防之目的，為統計或學術研究為必要，請資料經過處理後或依其揭露方 式無從識別特定當事人。」法務部網站：http://www.moj.gov.tw/public/Attachment/

62228524321.pdf （最後點閱日期：2006 年 8 月 27 日）。

95 「個人資料保護法」修正草案第 8 條第 1 項：「公務機關或非公務機關依第十五條

或第十九條規定向當事蒐集個人資料時，應明確告知當事人下列事項：一、公務機 關或非公務機關名稱。二、蒐集之目的。三、個人資料之類別。四、個人資料利用 之期間、地區、對象及方式。五、當事人依第三條規定得行使之權利及方式。六、

當事人得自由選擇提供個人資料時，不提供將對其權益之影響。」法務部網站：

http://www.moj.gov.tw/public/Attachment/62228524321.pdf（最後點閱日期：2006 年 8 月 27 日）。

義，惟個資法修正草案將「直接、間接」識別個人之資訊，皆納入個人資料 的保護之內，應可消弭爭議。