第四章 德國社會福利資料傳遞之限制規範
第四節 小結
綜合本文前述,可以歸納出德國聯邦個資法與社會個資法之規範特色如下。
第一項 聯邦個資法與社會個資法共同規範特色 (一) 個人資料之蒐集、處理與利用例外許可
鑒於資訊自決權之保障與法律保留原則,公務機關與非公務機關所為之任 何資料行為皆視為例外情形。聯邦個資法第4 條第 1 項即規定,個人資料之蒐集、
處理與利用,非基於當事人之同意、其他法律或個資法之規定不得為之,亦即原 則禁止例外許可。就公務機關而言,除取得當事人之明示同意外,必須在個資法 或其他法律找到授權依據,始得為相關行為。基此,聯邦個資法分別規定各行為
344 Seidel, in: Diering/Timme/Waschull(Hrsg.), SozialgesetzbuchX Sozialverwaltungsverfahren und Sozialdatenschutz, 3.Aufl., 2011, §76, Rn.11.
345 Seidel, a.a.O., Rn.12.
346 BT-Drucks 11/498, 14.
‧
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
應符合之許可要件,第13 條針對資料蒐集、第 14 條針對資料儲存、變更與利用、
第15 與第 16 條分別針對受傳遞機關為公務機關與非公務機關之資料傳遞。
社會個資法雖未有如聯邦個資法第4 條第 1 項之明文規定,社會法典第十 編如同聯邦個資法,針對社會福利個人資料之「蒐集」、「儲存、變更或利用」與
「傳遞」,分別於第67a、67b 與 67c、67d 條中規定其許可要件。對於社會行政 主體而言,在社會法典第十編之下,為相關資料行為仍應符合各該要件之規定。
(二)資料儲存、變更、利用與傳遞須符合目的拘束原則
德國聯邦個資法雖未明訂目的拘束原則之內涵,但就公務機關而言,其依 第14 條欲為資料之儲存、變更與利用者,除必須為其任務履行所必要外,原則 上所儲存、變更或利用之目的須與蒐集目的相同,惟本條同時創設三類變形態 樣,包括:1.目的拘束原則之例外:符合同條第 2 項例外事由之一者即得為目的 之變更。2.擬制特定目的合致原蒐集目的:在同條第 3 項下,特定目的被擬制為 與原蒐集目的一致,不須視是否符合上述例外事由。3.絕對不許特定目的變更:
在同條第4 項下,特定目的被認為應嚴格貫徹目的拘束,即便符合上述第 2 項之 例外事由亦不得為之。社會法典第十編第 67c 條之規定則與上述聯邦個資法第 14 條完全相同。
第二項 社會個資法規範特色 (一)列舉資料傳遞事由並區分行政任務目的
依社會法典第一編第35 條第 2 項規定,社會個人資料之蒐集、處理與利用 只依社會法典第一編與第十編之規定為之。關於資料傳遞方面,社會法典第十編 第68 條至第 77 條以明文列舉之方式規定得為傳遞之情形,考量者為社會行政目 的及其他行政任務目的之達成。上揭規定可分為兩類:(一)社會行政主體間基於 社會行政任務目的之資料傳遞。規定於第69 條。(二)社會行政主體與其他行政 機關基於社會法典以外之行政任務履行者,規定於第69 條以外之其餘條文。
‧
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
就第一類之要件設定,僅須未變更原始蒐集目的或為滿足蒐集或傳遞機關 之一方依社會法典所負之社會行政任務而有必要者即可。其依社會法典所負之任 務包含(職業)教育促進給付、勞動促進給付、求職者基本生存保障、法定疾病保 險給付、社會照護保險給付、懷孕中斷工作給付、法定意外保險給付、法定退休 保險給付、健康損害津貼、子女津貼、養育津貼、住民津貼發放、兒少扶助、社 會救助給付與身心障礙者之復原與參與給付(第一編第 18 至 29 條參照)。若係以 第69 條以外其餘條文為傳遞依據者,則可能含括之行政任務類型包含公共安全 之維護、公法債權之履行(第 68 條)、勞工安全之保護(第 70 條)、特定法定通報 義務之履行(第 71 條)、國家安全之維護(第 72 條)、刑事訴訟之進行(第 73 條)、
扶養、贍養義務之履行(第 74 條)與基於學術研究或制定行政計畫之目的(第 75 條)。
值得注意者為,立法者對於社會行政主體基於相互間職務協助之必要所為 之資料傳遞,第69 條相較其他條文係採取相當寬鬆之立場,其並未限定特定之 社會行政主體或特定社會行政任務,同時所傳遞之資料種類與範圍、所應踐行之 程序皆未有任何限制。相較於此,其餘條文或多或少皆有所限制。例如在主體或 任務方面,第68 條限於「維護公共安全之檢警或法院」或「滿足超過 600 歐元 之公法債權請求」;在傳遞資料種類與範圍方面之限制,第 72 條基於國家安全之 資料傳遞,僅得傳遞當事人之姓名、原姓氏、出生年月日、出生地、目前與以往 住居所地址與目前及以往雇主之姓名及營業所地址;應履行之程序方面限制,第 73 條規定,在刑事訴訟中不論為最低本刑一年以上之一般刑事案件(Verbrechen) 或得易科罰金之輕罪案件(Vergehen),不論在偵查程序中或案件繫屬法院後,皆 須經法院另為裁定始得為資料傳遞。
立法者對於社會行政主體間職務協助所為之資料傳遞,採取較為寬鬆之態 度,究其原因,本文認為有以下兩點:
1.社會任務一體性:基於目的拘束原則之考量,當系爭個人資料之原蒐集目的與
‧
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
其後傳遞目的一致時,對於資料當事人未造成特別不利之影響,應為允許。個別 社會行政任務狹義上雖不相同,但廣義而言仍具一定同質性。第 69 條立法理由 即指出,雖然社會行政任務之履行並非由組織上一體之形式為之,而係由諸多分 立的機關共同協力完成,但這些任務間彼此具一定之可比較性347,蓋在社會法典 第一編第 1 條之規定下,社會行政任務係以促進社會正義、確保社會安全而為之 給付與教育扶助為內容。所謂「社會正義」(Soziale Gerechtigkeit),其目的不外乎 維持符合人性尊嚴之生活、確保人格自由發展之條件、保護與促進家庭、透過自 由選擇的工作維生,以及排除生活上的特別負擔。這些任務彼此皆具一定內在關 聯,且被認為是個人自由發展其人格與實行其他自由權之基礎348,各個社會行政 主體應共同協力為之。
2.社會行政主體可得特定:依社會法典第一編第 35 條,社會個資法所規制之資 料主體包括社會給付機關、給付機構所組成的協會或功能性聯合組織(例如聯邦 退休保險組織協會、各層級之健康保險組織等)、公法人團體(如健保醫師公會或 健保牙醫師公會)、藝術工作者社會保險組織、德國聯邦郵政組織(Deutsche Bundespost)與監督機構(如聯邦或各邦的審計局)。可得特定之資料主體對於當事 人而言較具預見可能性。
(二) 敏感性資料傳遞之規範方式有別於一般個資法
社會法典第十編第 67 條第 12 項雖參考聯邦個資法第 3 條第 9 項,以列舉 方式界定敏感性資料之範疇。在聯邦個資法與歐盟指令下,列舉敏感性資料種類 之蒐集、處理與利用須例外符合特定許可要件。惟綜觀社會個資法之規定,除種 族來源資料之蒐集須經當事人明示同意始得為之外(第 67a 條第 1 項參照),其他 敏感性之資料之蒐集皆與一般資料同視。此外,社會個資法於處理與利用之要件 亦未就敏感性資料另為特別規定,在傳遞部分除一般社會個人資料皆須符合列舉 之傳遞規定外,針對由刑法上負有保密義務之特定職務關係之人所做成之資料則
347 BT-Drucks 8/4022, 84.
348 Eichenhofer, Sozialrecht, 6.Aufl., 2007, S.5-6.
‧
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
另為特別限制。其規範模式顯然與聯邦個人資料保護法以及歐盟個人資料保護指 令有別。
社會法典未參考歐盟指令關於敏感性資料之做法,是否牴觸歐盟指令就個 人資料保護之最低程度要求?對此德國學者 Heike Rasmussen 採取否定見解。其 指出,雖然歐盟指令某程度表現者為歐盟國家在個資保護議題上的共識,內國法 於轉化時不得採取保護程度較低之措施。惟應注意者,在醫療資料部分,歐盟指 令第8 條第 3 項規定,以健康預護、醫療診斷、健康照護或治療為目的或醫護行 政中所必要者,各內國法得就由醫護人員所為之資料處理另對該等醫護人員為相 應保密義務規範。基此,德國社會個資法於1995 年前已對醫療資料之傳遞為相 較歐盟指令更嚴格之規定349。又即便是醫療領域以外之社會個人資料,倘係在社 會法典第十編第76 條下由負有職務上保密義務之人做成,且為社會法典所定之 任務而為傳遞,此類任務目的相對上述歐盟指令第8 條第 3 項「健康預護、醫療 診斷」等目的而言更為具體350。況且在該條下,社會行政主體欲傳遞此類受有特 別保護之資料,必須具有足以阻卻刑法第 203 條罪責之事由始可,相較於歐盟指 令所許可之例外許可事由,其要求未必較為寬鬆,故難謂德國社會法典關於社會 個人資料保障之規定低於歐盟指令第 8 條之保障程度351。
第三項 其他共同細部規範
(一)非向當事人本人所為之蒐集要件較為嚴格
聯邦個資法第 4 條第 2 條就非向當事人本人所為之資料蒐集(即間接蒐集) 採取原則禁止、例外許可之規範模式。社會個資法第 67a 條第 2 項亦同,且其進 一步區分被請求之對象為社會行政機關與其他機關或私人而為分別規定。倘為社 會行政機關,必須同時符合以下要件:(1)被傳遞機關具備社會法典第十編第 68
349 Rasmussen, Der Schutz medizinischer Daten im Sozialdatenschutz, NZS, 1998, 67, 72.
350 另應注意者,歐盟指令並不區分資料主體為公行政機關或私人,社會個資法所規制之機關既 為公行政主體,所受到之規制密度相較私部門本來即較低。Vgl. Rogall-Grothe, Ein neues Datenschutzrecht für Europa, ZRP 2012, 193, 194.
351 Rasmussen, a.a.O.,73.
‧
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
至 77 條之列舉傳遞事由之一。(2)向當事人所為之蒐集須耗費不合比例之成本,
例如第一次向當事人蒐集須耗費極大之接近(Anreise)成本352。(3)必須進行利益 衡量,當事人值得保護之重大利益須未受損害。倘為其他機關或私人,只須符合
例如第一次向當事人蒐集須耗費極大之接近(Anreise)成本352。(3)必須進行利益 衡量,當事人值得保護之重大利益須未受損害。倘為其他機關或私人,只須符合