敏感性個資之「處理」相關原則

本節討論公務機關或非公務機關「處理」敏感性個資時，應遵循之個人保護 原則。所謂「處理」，依「個資法」第 2 條第 4 款規定，指為建立或利用個人資料 檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連 結或內部傳送。公務機關或非公務機關「處理」敏感性個人資料時，除應尊重當 事人之權益，並使用誠實及信用方法外，⁴⁴⁰其「處理」之行為，尚須符合「個資 法」第 6 條第 1 項但書各款之要件。

一、個人參與原則

「個人參與原則」之概念，已如前述。依「個資法」第 10 條規定，本人得向 公務機關或非公務機關查詢其所「處理」之敏感性個資。公務機關或非公務機關 於「敏感性個資之正確性有爭議」或「違反本法規定」時，應主動或依當事人請 求刪除、停止處理之。⁴⁴¹所謂「違反本法規定」包括違反「個資法」第 6 條禁止 處理敏感性個資之規定，此時公務機關或非公務機關應主動或依當事人之請求，

刪除、停止處理該敏感性個資，且於一定期限內為准駁之決定，並通知當事人。⁴⁴² 如公務機關或非公務機關之行為已對當事人造成侵害者，應查明後以適當方式通 知當事人，⁴⁴³當事人並得請求損害賠償。⁴⁴⁴

440 參照「個資法」第 5 條。

441 參見「個資法」第 11 條第 2 項、第 3 項與第 4 項。

442 參見「個資法」第 13 條第 2 項。

443 參見「個資法」第 12 條。

444 參見「個資法」第 28 條第 1 項與第 29 條第 1 項。

127

二、資料品質原則

「資料品質原則」之概念，已如前述。依「個資法」第 11 條第 1 項規定，公 務機關或非公務機關應維護個人資料之正確，並應主動或依當事人之請求⁴⁴⁵更正 或補充之」。⁴⁴⁶公務機關或非公務機關如於「處理」敏感性個資時，發現疑似缺誤 而欲更正或補充，此時可藉由「蒐集」敏感性個資時，已明確載明之「聯絡本人 之方法」，主動聯絡本人以確認該資料之正確。

三、目的特定原則

有關資料控制人「處理」個資之「目的特定原則」，係指資料控制人不得以「與 原始蒐集目的不相容」之方式(in any manner incompatible with that purpose)，處理 其個人資料。「個資法」第 5 條規定：「個人資料之蒐集、處理或利用，應尊重當 事人之權益，依誠實及信用方法為之，不得逾越特定目的之必要範圍，並應與蒐 集之目的具有正當合理之關聯」；第 15 條規定：「公務機關對個人資料之蒐集或處 理…應有特定目的…」；第 16 條規定：「非公務機關對個人資料之蒐集或處理…應 有特定目的…」，皆為「目的特定原則」之體現。公務機關或非公務機關「處理」

敏感性個資時，其目的仍應符合「蒐集目的之必要範圍」，亦即符合「個資法」第 6 條第 1 項但書所訂之四款要件之一，理由已如前述。此外，為確保本原則之落實，

主管機關執行業務檢查而認有必要或有違反本法之虞時，應檢視公務機關或非公 務機關是否僅於特定目的內「處理」個人資料。⁴⁴⁷至於有無逾越特定目的，應採

「合理客觀」之觀點予以判斷。⁴⁴⁸

445 當事人之請求應舉證釋明，參見「個資法施行細則草案」第 15 條。

446 See 2 ALRC,supra note 281, at 27.23.

447 參照「個資法」第 22 條。

448 See 1 ALRC,supra note 32, at 21.73.

128

此外，資料之處理仍應與處理目的「適當」(adequate)、「相關」(relevant)且「不 過度」(not excessive)。⁴⁴⁹所謂「適當」指資料控制人應完成其處理目的之必要工 作，例如信用貸款審核之資料控制人，發現資料內記載資料主體現正與他人進行 民事訴訟，此時資料控制人應登載該訴訟是否已終結或執行完畢；⁴⁵⁰所謂「相關」

須取決於資料「處理之目的」，例如建立個人之工作履歷時，可登載本人之「健康 資訊」，但不可登載本人之「基因資訊」，蓋「基因資訊」與工作履歷幾無相關；

所謂「不過度」，係避免在未來任何期間內，以任何不確定之方法處理該資料，以 增加資料外洩的風險。為避免過度處理個資，英國資料保護署(The Information Commissioner's Office, ICO)建議，資料控制人於蒐集敏感性個資時，蒐集資料之數 量應盡量減少，可茲參考。⁴⁵¹

四、公開原則

「個資法」第 17 條規定，公務機關應將：「個人資料檔案名稱」、「保有機關 名稱及聯絡方式」、「個人資料檔案保有之依據及特定目的」及「個人資料之類別」

公開於電腦網站，或以其他適當方式供公眾查閱，其有變更者亦同，此為「公開 原則」。⁴⁵²「公開原則」所要求者，係資料控制人應將其處理資料之實踐「透明化」

449 英國資料保護法附表一第一部份第三點。英國資料保護署將本原則與「資料品質原則」、「期 間限制原則」合併稱為「個人資訊標準」(information standards)，參見 UK ICO, supra note 382, at 57.

450 SeeMACDONALD QC&JONES (EDS.), supra note 337, at 10.29.

451 See UK ICO, supra note 382, at 60.

452 澳洲隱私法「國家隱私原則」第 5 點、「資訊隱私原則」第 5.1 點；「OECD 綱領」第 12 條規 定，關於個人資料之發展(developments)、實踐(practices)及政策(policies)，應有普遍性之公開政 策。個人資料之存在(existence)、性質(nature)、主要使用目的、資料控制人之身分(identity)及日 常住所，應使用合宜之方法以供公眾確認。英國與德國之立法未有此公開原則，蓋英國要求資 料控制人處理個人資料前，須向主管機關 ICO 進行登記，其登記之內容與公開原則所要求者，

129

(transparent)，⁴⁵³而不是將其「處理之過程」一律公開。此原則與「告知義務」在 概念上有所重疊。⁴⁵⁴

公務機關處理敏感性個資時，除須依法公開前揭事項外，應於說明「個人資 料檔案保有之依據及特定目的」時，須附帶註明其適用「個資法」第 6 條第 1 項 但書之條款，並避免揭露本人之身分。值得注意者，上開條文僅適用「公務機關」，

未及於「非公務機關」。本文認為，基於非公務機關之人員配置與成本考量，要求

「非公務機關」比照「公務機關」履行上開規定，實行上將有困難，茲參考澳洲 隱私法，⁴⁵⁵建議「非公務機關」應以適當方式公開其「隱私政策」(Privacy Policies)，⁴⁵⁶ 主動說明其管理(management)個人資料之方法。

五、安全保障原則

「個資法」第 18 條規定：「公務機關保有個人資料檔案者，應指定專人辦理 安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏」；第 27 條第 1 項規定：「非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資 料被竊取、竄改、毀損、滅失或洩漏」，此為「個人資料保護原則」之「安全保障

幾無差異(§ 16)；德國同樣要求資料控制人，於進行自動化之處理程序前，須向主管機關進行登 記(§§ 4d & 4e)。「澳洲法改會」建議應公開：資料之性質；持有各類型資料之目的；資料當事 人之類型；持有各類資料之期間；何人於何種情形下應如何接觸該資料。此外，資料控制人若 依法可拒絕他人接觸該個人資料時，將無須適用本項原則，參見 1 ALRC,supra note 32, at 24.3.

453 See 1 ALRC,supra note 32, at 24.1

454 本原則所要求者為向「不特定多數人」公開，而資料控制人之告知義務係以資料當事人為「特 定人」，參見 1 ALRC,supra note 32, at 24.10 & 24.11.

455 澳洲隱私法「國家隱私原則」第 5 點。

456 「澳洲法改會」認為「私人機構之隱私政策」應公開：是否持有(possession)或控制(control)個人 資料；個人資料之性質(nature)、使用(used)之目的與接觸個人資料之方法，參見 1 ALRC,supra note 32, at 24.14.

130

原則」。⁴⁵⁷所謂「安全維護事項」或「適當安全措施」，按「個資法施行細則草案」

第 9 條第 1 項，係指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、

滅失或洩漏，採取技術上及組織上之必要措施。同條第 2 項詳細規定「必要措施」

之內容。⁴⁵⁸此外，前開規定雖同樣要求公務機關或非公務機關須制定安全保護措 施，惟僅公務機關須「指定專人」辦理，非公務機關則無此義務，此應為考量非 公務機關之編制與成本所為之規定，但對非公務機關而言，負責保管資料之人常 為非專業之保管人，例如負責掌管視聽配備或檔案櫃者，此時該資料即有洩漏之 虞，⁴⁵⁹故非公務機關於擬定保護措施時，應審慎考量「保管人之能力」以建立適 合之保護措施。非公務機關違反本項規定以致資料洩漏或致使他人受有損害，須 負損害賠償責任。⁴⁶⁰

上開條文適用之客體為「個人資料」，解釋上當然包含敏感性個資，但是因為 敏感性個資之性質，其不當外洩將嚴重侵害個人權利，所以是否須針對敏感性個 資，另訂更嚴格之安全維護措施，仍值研究。查各國立法例，似未有針對敏感性 個資之特殊安全維護措施規定。歐盟理事會(Council of Europe) 建議：「歐盟個資

457 英國資料保護法附表一第一部分第 7 點；日本個人資料保護法 §§ 20 & 21; 「OECD 綱領」第 11 條。

458 「個資法施行細則草案」第 9 條第 2 項：「前項必要措施，應包括下列事項：一、成立管理組 織，配置相當資源。二、界定個人資料之範圍。三、個人資料之風險評估及管理機制。四、事 故之預防、通報及應變機制。五、個人資料蒐集、處理及利用之內部管理程序。六、資料安全 管理及人員管理。七、認知宣導及教育訓練。八、設備安全管理。九、資料安全稽核機制。十、

必要之使用紀錄、軌跡資料及證據之保存。十一、個人資料安全維護之整體持續改善。

459 See DAVID G.HILL,DATA PROTECTION:GOVERNANCE,RISK MANAGEMENT, AND COMPLIANCE 9.3.2 (2009).

460 此時本人除可依「個資法」第 29 條向非公務機關請求損害賠償外，或可依民法第 184 條第 2 項違反保護他人法律之情形，訴請賠償，參見侯英泠，〈醫療機構、外科醫師與麻醉科醫師之 說明義務〉，《台灣法學雜誌》，107 期，頁 296（2008 年 6 月）。

131 Information Protection and Electronic Documents Act, PIPEDA)規定，私人機構應針 對性質較為敏感(sensitivity)之資料提供適當保護措施；⁴⁶⁴英國資料保護署(The Information Commissioner's Office, ICO)建議，決定「適當安全措施」時應考量：資 料之性質（是否具有價值、敏感性或信賴關係）與其遭誤用或意外洩漏時，對當

461 Appendix to Recommendation No. R (91) 10 3.1 (“Personal data falling within any of the categories referred to in Article 6 of Convention No. 108 should not be stored in a file or in part of a file generally accessible to third parties.”)

462 APEC Privacy Framework Principle VII 22.

463 係指未經授權使用個人之姓名、生日，社會安全號碼以獲取銀行信用卡、貸款與帳戶資訊，相 為，以網路傳輸敏感性個資時，應予加密，參見 Reidenberg, supra note 119, at 1359 n.242. 歐盟

463 係指未經授權使用個人之姓名、生日，社會安全號碼以獲取銀行信用卡、貸款與帳戶資訊，相 為，以網路傳輸敏感性個資時，應予加密，參見 Reidenberg, supra note 119, at 1359 n.242. 歐盟