授權同意方式與內容

第一項 同意之形式

關於個人資料於蒐集利用時的當事人同意規定，我國「個人資料 保護法」在 2015 年修法前後有重大之變革：

一、 書面同意

「個人資料保護法」於 2010 年修正新增第 7 條，參考 1995 年歐 盟「個人資料保護指令」(95/46/EC) 第 2 條 h 款、德國「聯邦個人資 料保護法」第 4a 條等，將「當事人書面同意」作為公務機關或非公 務機關蒐集、處理或利用個人資料的合法要件之一；而目的外之利用，

必需明確告知特定目的外之其他利用目的、範圍及同意與否對其權益 之影響後，另單獨做成書面同意。另外，為避免特定目的外利用之同 意與其他事項作不當聯結，或被列入定型化契約之約定條款中被概括 同意，而不利於當事人，特別規定在目的外利用時，應獨立作書面意 思表示。

至於敏感性資料，在 2010 年修訂之第 6 條中規定敏感性資料不 得蒐集、處理或利用，而第 1 項之但書中除外條件並無當事人同意一 項。而 2015 年修正第 6 條第 1 項增訂第 6 款，允許在取得「當事人 書面同意」下，可在特定目的範圍內進行資料之蒐集、處理與利用。

但在目的外之利用，當事人書面同意則非單獨之合法要件。

而德國「聯邦個人資料保護法」，關於同意之形式是以書面同意 為原則，但保留「因特殊情況需求使用其他方式者」的彈性¹¹²。 二、 其他明示同意

112 The German Bundesdatenschutzgesetz (BDSG, Federal Data Protection Act), Aug. 14, 2009, RGB1.

I, at § 4a(1)

95

在 2015 年「個人資料保護法」修正前，對於一般資料於特定目 的內之蒐集、處理或利用是採書面同意之方式。2015 年修正後將「當 事人書面同意」改為「當事人同意」，只要有允許之意思表示，而不 要求必須有書面之同意，放寬了同意之形式，在實踐上更為可行。而 目的外之利用亦作相同的改變，由原本之「單獨所為之書面意思表示」

修正為「單獨所為之意思表示」。修法後，雖然放寬了同意之形式但 同時也增加蒐集者或持有者對於當事人同意之事實負舉證之責任。

歐盟「個人資料保護指令」並未規定同意的方式必須以書面為之

113，歐盟資料保護工作小組(Data Protection Working Party)認為同意的 形式並無限制，但須為明示之同意，默示同意不是歐盟指令的同意形 式¹¹⁴。歐盟部分會員國如英國，無以書面同意為原則之規定

三、 推定同意或默示同意

我國「個人資料保護法」於 2015 年修法前或修法後，對於同意 所採之形式，無論是書面之同意或是允許之意思表示，均屬於有作為 的意思表示；因此，單純不作為之默示並非我國「個人資料保護法」

所允許之同意表示方式。

舊「個人資料保護法」(「電腦處理個人資料保護法」)之施行細 則第 30 條第 2 項：「非公務機關基於特定目的，為取得當事人書面同 意，於初次洽詢時，檢附為特定目的蒐集、電腦處理或利用之相關資 料，連同得於所定相當期間表示反對意思之書面，經本人或其法定代 理人收受，而未於所定期間內為反對之意思表示者，推定其已有同意 之表示。」條文中即承認默示同意或推定同意之效果，但此項之規定 在 2012 年「個人資料保護法」修訂後，因為與母法所採之書面同意 規定衝突而予廢止。然而，2015 年修正「個人資料保護法」除了放寬 同意之形式外，為了減輕公務機關或非公務機關取得同意之業務，而 於第 7 條增訂「公務機關或非公務機關明確告知當事人第 8 條第 1 項 各款應告知事項時，當事人如未表示拒絕，並已提供其個人資料者，

推定當事人已依第 15 條第 2 款、第 19 條第 1 項第 5 款之規定表示同 意。」之規定，似乎回復舊法施行細則之推定同意，更甚而將推定同

113 Directive 95/46/EC of the European Parliament and of the Council of 24 Ocrober 1995 on the Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data, 1995 O.J. , at 39

114 Article 29 Data Protection Working Party, Opinion 15/2011 on the Definition of Consent at 5-6, No.

01197.11.EN, WP 187, at 11.

96

意的規定由授權命令提升至法律之位階。該項成立推定同意之要件在 於「明確告知當事人第 8 條第 1 項各款應告知事項」，而第 8 條第一 項之告知事項為「告知後同意」之原則所應遵循之義務，亦即要取得 當事人同意前，公務機關或非公務機關均必須恪守第 8 條之規定，明 確告知各事項後再取得當事人之同意，該同意方為有效。因此，修法 後之推定同意明顯與一般取得同意之要件不符，修法理由中也僅以減 輕機關之行政業務為由承認推定同意，對於當事人之保護似有不足。

第二項 授權範圍

當事人所做之同意，是依據機關對當事人所為之闡述而做出同意 與否的決定。因此有效之同意必須為具體、特定的個別同意。至於未 具體說明蒐集、處理與利用之目的概括同意，歐盟資料保護小組則不 認同¹¹⁵。而此種個別化的同意將連動著說明義務者所為之說明內容與 程序。

在醫療行為中，說明同意不僅為醫療行為之義務，而且是「刑法」

上之阻卻違法要件。醫療行為之說明內容，在學說上有：理性醫師說、

理性病人說、具體病人說與折衷說四種。四種學說之說明範圍與內容，

以具體病人說對說明者說明要求之標準最高，理性醫師說為最低。而 實務上多採理性病人說，以兼具滿足病人知的權利已做出最有利之決 定，以及實際進行內容說明時的困難。對於個人資訊之告知後同意，

若堅持在所有個案均進行具體、特定之說明並取得同意，在踐行上必 有困難。因此有學者認為具體、特定之程度可考量對當事人侵害可能 之程度以及個人資料之性質¹¹⁶；此論點與醫療行為說明義務的折衷說 類似。

關於授權之範圍，釋字第 603 號解釋多位大法官之協同意見書中 多有闡釋。如林子儀大法官協同意見書：「所謂已公開的資訊即不受 隱私權之保障，並非的論。至多僅得謂：已為眾所週知或相當多數之 人所知之資訊，或個人自願公開之資訊，並在其授權公開之範圍內，

即難以再主張受到隱私權之侵害。且基於重視個人資訊隱私權之保障 之觀點，縱係個人自願公開資訊下，也不意謂第一次的授權之後，個

115 Article 29 Data Protection Working Party, Opinion 15/2011 on the Definition of Consent at 5-6, No.

01197.11.EN, WP 187, at 17；轉引自劉定基，「析論個人資料保護法上『當事人同意』的概 念」，月旦法學雜誌，218 期，頁 156，2013 年 7 月

116 劉定基，同前註，頁 156

97

人對其自願公開之資訊即因此完全喪失控制，而不能對違反其授權目 的或範圍的侵害行為有所主張。」，充分說明對個人資訊自主權的尊 重，以及個別授權在隱私權維護的重要。

「立法部門之所以必須就蒐集資料之目的與範圍，事先予以明確 界定，除如多數意見所指，惟有如此才能對行政機關形成有意義的控 管與授權、司法部門才能夠基此判斷行政部門於個案中的資訊運用是 否正當。更重要的是，只有事前確立的明確立法目的、並以此而就資 訊蒐集之範圍及資訊運用之方式予以明確授權和管制，國家對人民才 算已盡最低限度的告知義務。蓋資訊隱私權重要的意義之一，在於尊 重、保護個人自主選擇的權利，但有意義的選擇須事先獲得充分翔實 的資訊。」「電腦處理個人資料保護法的立法目的，原本是為了對國 家及私人大量蒐集人民電腦處理之個人資料，建立運用及管理的正當 準則，詎料其有欠明確、失之概括的規定，不僅不能有效規範跨目的、

跨機關之使用，反而將依法得跨目的使用的例外情形，轉變成原則上 得跨目的使用之授權規定。」，由該解釋文之協同意見書內容可知大 法官會議對於目的內容與範圍的界定上，強調在訂定授權同意法規時 必須確守明確性原則。

第三項 醫療行為當事人同意之適用

現行醫療資訊於醫療行為之蒐集使用，所應適用之法規為何？該 採用何種形式之同意？在「個人資料保護法」第 6 條施行之前仍有爭 議。2012 年新法公告實施前，依照舊「個人資料保護法」第 18 條規 定，可依第 1 款獲得當事人同意，或是依第 2 款之契約關係且無害於 當事人之權益而於醫療行為進行時取得並使用醫療資訊。2012 年修 法後，將敏感性資料作個別之規定，而新增第 6 條之規定。將敏感性 資料採高密度的保護的立法模式，符合隱私權保障的立法意旨，但該 條法規僅作概括式規定，並未針對實際上之需求而另訂規定，在適用 上有其困難，第 6 條於 2010 年之修法理由中即建議由主管機關另訂 之¹¹⁷。迄今，也未見主管機關遵循 2010 年修法理由中之建議而另訂；

117 99 年「個人資料保護法」第 6 條修正理由：「為確保依本條第一項第五款規定所為因醫療、

衛生或犯罪預防等目的而提供之個人資料，其提供者在合法必要範圍內提供，而蒐集者所蒐 集之個人資料能獲得適當之安全維護，特種資料之提供者於其利用前，應特別審酌資料之提 供範圍，以及提供時應經一定程序為之。由於前開範圍、程序及其他應遵行事項，涉及個人 資料是否經匿名化處理或依其揭露方式無從識別特定當事人，或者是否應得當事人明示之書

98

而規範敏感性資料之第 6 條於 2012 年增訂後又於 2015 年修正，修正 時仍未公告實施，直至 2016 年 2 月行政院終於公告修正之「個人資 料保護法」全文，包含原本未施行的第 6、54 條，於 2016 年 3 月施 行¹¹⁸。

關於敏感性特種資料之適用法規問題，實務上之見解亦不相同，

高等行政法院認為規範特種資料之新「個人資料保護法」第 6 條尚未 施行¹¹⁹，故無適之餘地，既不適用新「個人資料保護法」第 6 條規定，

高等行政法院認為規範特種資料之新「個人資料保護法」第 6 條尚未 施行¹¹⁹，故無適之餘地，既不適用新「個人資料保護法」第 6 條規定，