敏感性個資之「蒐集」相關原則

按「個資法」第 2 條第 3 款，「蒐集」係指以任何方式「取得」個人資料。³⁷⁵ 資料蒐集之方式可分為「直接蒐集」(directly from an individual)或「間接蒐集」(from someone other than the individual)。「直接蒐集」，係指資料控制人直接向本人（當 事人）取得個人資料；³⁷⁶「間接蒐集」，係指資料控制人非向本人（當事人）直接 蒐集資料，而向第三人取得個人資料。³⁷⁷資料之蒐集發生於資訊循環流動(cycle) 的最初階段。資料未經「蒐集」，將不會產生「處理」或「利用」等其他問題。³⁷⁸ 以下分項討論公務機關或非公務機關「蒐集」敏感性個資時，應適用之各種個人 資料保護原則。

一、蒐集限制原則

「蒐集限制原則」(Collection Limitation Principle)係指：個人資料之蒐集應予 限制，且個人資料應以合法且公平(lawful and fair)之方法獲得，適當時須通知本人

375 德國聯邦資料保護法(§ 3(3))定義：「蒐集」係指「獲得」(acquisition)個人資料；澳洲「法律改 革委員會」(Australian Law Reform Commission)認為：「蒐集」為「接收」(receipt)與「保留不請 自來」(retention of unsolicited )之個人資訊。所謂「不請自來」之資訊係指公務機關或私人機構，

未採取任何主動措施而獲得之資訊，此類資訊隨著科技發展相形增加，例如社區機構收到家庭 暴力相關資訊，相關討論參見 1 ALRC, supra note 32, at 720-726.

376 參見「個資法」第 8 條第 1 項規定：「公務機關或非公務機關…向當事人蒐集個人資料時，應 明確告知…」。

377 參見「個資法」第 9 條第 1 項規定：「公務機關或非公務機關…蒐集非由當事人提供之個人資 料…」。

相較於我「個資法」將「間接蒐集」定義「非由當事人提供」，各國立法例略有不同。德國聯 邦資料保護法(§ 4(2))定義為「資料主體未參與之蒐集」；英國資料保護法則未規定「間接蒐集」。

至於本人（當事人）是否知情，僅影響資料控制人是否得以據此豁免告知義務而已。

378 See 1 ALRC,supra note 32, at 21.1.

109

379 OECD Guidelines § 7 (“There should be limits to the collection of personal data and any such data should be obtained by lawful and fair means and, where appropriate, with the knowledge or consent of the data subject”).

380 See Bygrave, supra note 120, at 3.2

381 合法之意涵，或可藉由理解「非法」之概念予以釐清，所謂非法為某行為「與法律、法規規定 相左，或未具備合法正當性與抗辯之事由」參見 UK Information Commissioner, supra note 44, para.

3.1.4

此外，資料控制人雖符合「合法蒐集原則」，但非謂資料控制人即不受控制。申言之，即便資 料控制人得基於公益、法律明文規定或其他合法權益，處理該個人資料，但本人（當事人）仍 有權利，反對資料控制人進行任何資料處理，參見本節後述與 Directive 95/46/EC Recital 45 &

Art.14

382 See UK ICO, The Guide to Data Protection, at 44, available at

http://www.ico.gov.uk/for_organisations/data_protection/~/media/documents/library/Data_Protection/

Practical_application/THE_GUIDE_TO_DATA_PROTECTION.ashx

383 See MACDONALD QC&JONES (EDS.), supra note 337, at 8.2.1.1; 1 ALRC,supra note 32, at 23.121.

110

一。有關本條但書各款情形，已如第三章所述，不贅。

（二）告知義務

按「個資法」第 8 條第 1 項規定：「公務機關或非公務機關依第十五條或第十 九條規定向當事人蒐集個人資料時，應明確告知當事人下列事項…」；第 9 條第 1 項規定：「公務機關或非公務機關依第十五條或第十九條規定蒐集非由當事人提供 之個人資料，應於處理或利用前，向當事人告知個人資料來源及前條第一項第一 款至第五款所列事項…」。此為公務機關與非公務機關之「告知義務」。

猶須注意者，依上開規定，公務機關或非公務機關須「依個資法第 15 條或第 19 條」蒐集個人資料，才需要履行告知義務。惟「個資法」第 15 條規定：「公務 機關對個人資料之蒐集或處理，除第六條第一項所規定資料外，應有特定目的，

並符合下列情形之一者…」；第 16 條規定：「非公務機關對個人資料之蒐集或處理，

除第六條第一項所規定資料外，應有特定目的，並符合下列情形之一者…」，第 6 條第 1 項所規定者為敏感性個資，「個資法」第 15 條與第 19 條排除敏感性個資，

將使公務機關或非公務機關蒐集或處理敏感性個資時，無須履行告知義務。有關 第 15 條與 19 條「除第六條第一項所規定資料外」之用語，經查為「個資法」修 正時所新增，立法說明謂：此用意僅在於使公務機關或非公務機關逕依第 6 條第 1 項但書之規定，以蒐集、處理敏感性個資，而無須適用第 15 條或第 19 條蒐集、

處理敏感性個資；³⁸⁴且查遍英、德、澳洲等國立法例，皆無類似規定，資料控制 人蒐集、處理或利用敏感性個資時，仍須履行告知義務。故本文認為，此應為明

384 依 2009 年 11 月 12 日「立法院朝野黨團協商結論」，於「個資法」第 15 條與第 19 條新增「除 第六條第一項所規定資料外」之用語，其修正說明謂：「本條僅適用於一般個人資料，特種資 料之蒐集或處理，仍應依本法第六條規定為之」，參見立法院公報，99 卷 29 期，頁 376。

111

顯立法疏漏，應將第 8 條或第 9 條條文前段所謂「依第十五條或第十九條規定」

用語改為「依本法規定」，始能將敏感性個資納入本條規範內，以要求公務機關或 非公務機關履行告知義務。

要求資料控制人履行告知義務，將 1. 使本人得以知悉資料控制人擁有其個人 資料之事實，並得以行使「個資法」所賦予之權利，蓋當事人不知其資料即將為 資料控制人所蒐集，焉能行使其個人權利；³⁸⁵2. 有助於資料控制人確保資料之正 確(accurate)、完整(complete)與適時更新(up-to-date)，亦即履行「資料品質原則」

（後詳）。³⁸⁶告知方式得以書面、電話、傳真、電子文件或其他適當方式。³⁸⁷「個 資法」第 8 條與第 9 條，將公務機關或非公務機關之告知義務，依資料蒐集之方 式分為「直接蒐集之告知義務」或「間接蒐集之告知義務」，以下分點述之。

1. 「直接蒐集」之告知義務

「個資法」第 8 條第 1 項規定，公務機關或非公務機關依第 15 條或第 19 條 規定，向當事人「直接」蒐集個人資料，應於「向當事人蒐集時」，³⁸⁸告知下列事 項：「公務機關或非公務機關名稱；蒐集之目的；個人資料之類別；個人資料利用

385 See Rouillé-Mirza & Wright, supra note 133, at 163.

386 See 1 ALRC,supra note 32, at 23.121 英國規定資料控制人應向主管機關 ICO 登記註冊，始得處 理個人資料，參見英國資料保護法 § 17。

387 參照「個資法施行細則草案」第 13 條；呂丁旺，〈淺析修正「個人資料保護法」〉，《月旦法 學》，183 期，頁 136（2010 年 8 月）。近日行政院宣布將修改「個資法」，未來告知之形式將 不限於紙本，電子文件亦可，參見聯合新聞網，〈個資法啟動修訂 將擴大保護對象〉，2012 年 2 月 17 日，網址：http://udn.com/NEWS/NATIONAL/NAT4/6904976.shtml 最後瀏覽日期：

2012/03/06。

388 「歐盟個資指令」並未就此時點予以規範，相較之下我「個資法」更顯進步！

112

之期間、地區、對象及方式；當事人依第三條規定得行使之權利及方式；當事人 得自由選擇提供個人資料時，不提供將對其權益之影響」。公務機關或非公務機關 直接向本人蒐集敏感性個資，除須告知前項內容外，尚須告知本人其（公務機關 或非公務機關）據以蒐集之「豁免禁止」條款（第 6 條第 1 項但書），且該條款須 符合其蒐集之目的。

至於豁免告知本人之情形，依「個資法」第 8 條第 2 項規定，具有下列五款 情形之一者，公務機關或非公務機關免於告知本人（當事人）：「一、依法律規定 得免告知。二、個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定 義務所必要。三、告知將妨害公務機關執行法定職務。四、告知將妨害第三人之 重大利益；當事人明知應告知之內容³⁸⁹」。上開五項「豁免告知」事由中，第二款

「個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要」，

其要件與「個資法」第 6 條第 1 項但書第 2 款幾乎相同。³⁹⁰因此將使公務機關或 非公務機關依「個資法」第 6 條第 1 項但書第 2 款（公務機關執行法定職務或非 公務機關履行法定意義所必要，且有適當安全措施）蒐集敏感性個資時，可適用 第 8 條第 2 項規定，而免於履行告知義務，此「豁免告知」之範圍，是否過當，

仍須斟酌。查「歐盟個資指令」僅規定一種豁免告知事由：「資料主體已經知悉者」³⁹¹； 德國「聯邦資料保護法」規定，於下列情形之一時，豁免告知本人：本人已透過 其他方式知悉資料之儲存(storage)與傳輸(transfer)；告知本人須付出極不合理 (disproportionate)之代價；³⁹²法律已明定個資之保存與傳輸。上開立法例之「豁免 告知」事由皆未有「公務機關或非公務機關因執行法定職務或義務而蒐集敏感性

389 此豁免為比較法上常見之項目，參見 Directive 95/46/EC Art. 10 &11; 德國聯邦資料保護法 § 19a

390 後者多要求資料控制人應「且有適當安全維護措施」。

391 相較之下，參見 Directive 95/46/EC Art.10.

392 參見德國聯邦資料保護法 § 19a

113

個資」之情形，為避免公務機關或非公務機關以執行職務或義務為由，於蒐集敏 感性個資時豁免告知當事人，本文認為，公務機關因執行法定職務或非公務機關 因履行法定義務而蒐集敏感性個資時，應排除適用「個資法」第 8 條第 2 項第二 款之「豁免告知」規定，亦即公務機關或非公務機關蒐集敏感性個資時，仍須履 行告知義務，向本人告知。

2. 「間接蒐集」之告知義務

「個資法」第 9 條第 1 項規定：「公務機關或非公務機關依第十五條或第十九 條規定蒐集非由當事人提供之個人資料，應於處理或利用前，向當事人告知個人 資料來源及前條第一項第一款至第五款所列事項」³⁹³，此為「間接蒐集」之告知 義務。本條規定，公務機關或公務機關應於個資「處理或利用前」³⁹⁴，履行告知 義務，蓋此時資料已經被第三人所蒐集（掌握），資料控制人係透過第三人所提供 之資料以進行處理，故僅得於「處理或利用前」通知資料之本人。公務機關或非 公務機關應告知下列事項：「個人資料來源；公務機關或非公務機關名稱；蒐集之 目的；個人資料之類別；個人資料利用之期間、地區、對象及方式；當事人依第 三條規定得行使之權利及方式」。公務機關或非公務機關蒐集第三人所提供之敏感 性個資，除須於處理或利用前告知上開六種事項外，尚須告知本人：其（公務機

「個資法」第 9 條第 1 項規定：「公務機關或非公務機關依第十五條或第十九 條規定蒐集非由當事人提供之個人資料，應於處理或利用前，向當事人告知個人 資料來源及前條第一項第一款至第五款所列事項」³⁹³，此為「間接蒐集」之告知 義務。本條規定，公務機關或公務機關應於個資「處理或利用前」³⁹⁴，履行告知 義務，蓋此時資料已經被第三人所蒐集（掌握），資料控制人係透過第三人所提供 之資料以進行處理，故僅得於「處理或利用前」通知資料之本人。公務機關或非 公務機關應告知下列事項：「個人資料來源；公務機關或非公務機關名稱；蒐集之 目的；個人資料之類別；個人資料利用之期間、地區、對象及方式；當事人依第 三條規定得行使之權利及方式」。公務機關或非公務機關蒐集第三人所提供之敏感 性個資，除須於處理或利用前告知上開六種事項外，尚須告知本人：其（公務機