相關概念

一、個人資料

我「個資法」第 2 條定義：「個人資料」係指「自然人」之姓名、出生年月日、

國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、

醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及 其他得以直接或間接方式識別該個人之資料。「歐盟個資指令」第 2 條a款定義：

「個人資料」(personal data)係指「任何有關已識別或足資識別之自然人之資訊」；³⁰ 所謂「足資識別之自然人」，係指其身份得藉由「身份辨識號碼」(identification number)或「其他相關因素」（例如生理、心理、精神、經濟、文化或社會身份），

30 Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data Art.2(a) (“personal data” shall mean any information relating to an identified or identifiable natural person ('data subject'); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity”). 中譯參照熊愛卿，《網際網路個人資 料保護之研究》，國立台灣大學法律研究所博士論文，附錄（1999 年）。

12

得直接或間接確定者。³¹如上定義，尚有以下疑義：

1.「死者」之資料屬「個人資料」？

查「個資法」之前身「舊個資法」(84/08/11)對此未明確定義。根據法務部於 2011 年 10 月 26 日公告之「個人資料保護法施行細則」修正草案（下稱「個資法 施行細則草案」），第 2 條定義：「本法所稱個人，指現生存之自然人」，其修正理 由謂：「本法立法目的之一為個人人格權之隱私權保護，唯生存之自然人方有隱私 權受侵害之恐懼情緒及個人對其個人資料之自主決定…」，即認我「個資法」僅保 護「現生存自然人」之資訊隱私權。

此外，查外國立法例，英國資料保護法(Data Protection Act 1998)定義：「個人 資料」係指可得識別之「活人」(a living individual)的資料。澳洲隱私法(Australia Privacy Act 1988)定義：本法所稱之「個人」係指「自然人」(natural person)。澳洲

「隱私官辦公室」(Office of the Privacy Commissioner)進一步認為，所謂「自然人」

應限「活人」(living human)。³²綜上所述，我「個資法」雖未明示「自然人」應排 除「死者」，惟根據「個資法施行細則草案」與上開外國立法例，應可認為我「個

31 See id. 已識別或足資識別自然人之「聲音」(sound)或「影像」(image)資訊仍屬「個人資料」，

參見 Directive 95/46/EC Recital 14. 某些國家認為個資以聲音或影像方式儲存者，屬個人資料，

例如葡萄牙、盧森堡及法國。See Douwe Korff, EC Study on Implementation of Data Protection Directive: Comparative Summary of National Laws 14 (Sep. 2002), available at

http://www.garanteprivacy.it/garante/document?ID=455584

32 參見 1 AUSTRALIAN LAW REFORM COMMISSION,FOR YOUR INFORMATION:AUSTRALIAN PRIVACY LAW AND PRACTICE 8.65 & 355-84 (2008). 「澳洲法改會」(Australian Law Reform Commission, ALRC)建議，使用(use)或揭露(disclose)有關「死者」(deceased individuals)之個資，應符合隱私法 之規定。資料控制人(data controller)使用或揭露「死者」之敏感性個資時，應注意資訊之「敏感 性」(sensitivity of information)。

13

資法」所稱之「個人資料」，須為「現生存」自然人之資料，不及於「死者」。

2. 資料持有者「無能力識別特定個人」之資料，屬「個人資料」？

按我「個資法」第 2 條後段定義，「個人資料」須為得「以直接或間接方式識 別特定個人」之資料。資料持有者（個人或組織）主觀上「無能力」(incapable)識 別特定個人時，該資料是否仍屬「個資」，仍有疑義。

有關「個資」之概念，歐盟各國立法例率可分為兩類。第一，規定「個人資 料」須為「得識別特定個人」之資料，無須考量資料持有者之識別能力或識別之 方法；³³第二，規定「個人資料」須為「資料持有者有能力識別特定個人」之資料。³⁴

33 例如比利時，規定「以研究為目的」且「可充分辨識」(fully identifiable)、「編碼化」(encoded or pseudonymised)或「完全匿名化」(fully anonymised)之資料，屬於「個資」，無論資料持有者是 否有能力識別特定個人。其他採取類似立場之國家例如丹麥、芬蘭、法國、義大利、西班牙與 瑞典。此定義可避免掛一漏萬，保護範圍較廣。多數國家並參酌「資料之性質」(nature of data) 來判斷「資料主體被識別的可能性」(probability of the data subject being identified)。相關討論參 見 Korff, supra note 31, at 14-16.

34 採取類似立場之國家，例如奧地利、德國、荷蘭與英國，參見前註。此定義可避免擴大資料控 制人之義務。有學者認為，經匿名化(anonymising)之資訊因無法識別特定個人（資料主體），故 不能視為「個人資料」，參見 Carlos María Romeo Casabona, Anonymization and Pseudonymization:

The Legal Framework at a European Level, in THE DATA PROTECTION DIRECTIVE AND MEDICAL RESEARCH ACROSS EUROPE 36, 42 (Dreryck Beyleveld et al. eds., 2004); PHILIP COPPEL,

INFORMATION RIGHTS 5-025 (2007). 此外，匿名化與假名化(psedonymous)並不相同，資料經完全 匿名化後，將無法回溯辨識當事人，故不屬於個人資料，而假名化後，得藉由資料控制人掌握 之關鍵(key)回溯辨識當事人，仍受到個資法之保護，參見 CHRISTOPHER KUNER,EUROPEAN DATA PROTECTION LAW:CORPORATE COMPLIANCE AND REGULATION 2.08-2.10 (2007).

值得注意者，英國法雖認為資料控制人有能力識別特定個人之資料，即屬「個資」，但英國法 院在審理相關案件時，卻限縮上開定義。英格蘭及威爾斯上訴法院(England and Wales Court of Appeal)在 Durant v. Financial Services Authority 案([2003] EWCA Civ 1746, Court of Appeal (Eng.))

14

我「個資法」僅規定「得以直接或間接方式識別特定個人」之資料，為「個資」，

似屬前開第一類情形，惟「個資法施行細則草案」第 3 條但書規定，「以間接方 式識別」³⁵且「查詢困難、需耗費過鉅或耗時過久始能識別特定個人」者，不屬「個 資」，係考量資料持有者，因「能力（辨識技術或辨識效率）不足」，而無法間 接識別特定個人，故將「資料持有者無能力間接識別特定個人」之資料排除「個 資」概念之外，實與前開各國立法例第二類情形相同。

綜上，依我「個資法」與「個資法施行細則草案」之規定，資料持有者（公 務機關或非公務機關）「得以直接或間接方式識別特定個人」之資料，原則上仍 屬「個資」，惟資料持有者係以「間接方式」識別特定個人，且「查詢困難、需 耗費過鉅或耗時過久始能識別特定個人」者，該資料將不屬「個資」。

3. 「統計資料」屬「個資」？

我「個資法」第 2 條定義：「個人資料」係指得以直接或間接方式識別該「自 然人」之資料。記載多數自然人之「統計資料」(statistical data)，例如郵遞區號或 各類意見調查，如可以從「統計資料」中識別「特定個人」，該「統計資料」即

認為，上訴人申請之「電腦化文件—尚未經編修之版本」(unredacted versions of the computerised documents)與「手寫文件」(manual records)不屬於「個人資料」。法院認為，僅憑被上訴人（資 料控制人）之資料中記載上訴人，尚不能構成上訴人（資料主體）之個人資料，猶須：1. 有關 資料主體之記載具有「連續相關性」(continuum of relevance)，亦即該記載須為「傳記性」

(biographical)之記載；或 2. 得自與資料主體相關之事務中予以識別資料主體，亦即資料記載之

「焦點」(focus)為資料主體，而非他人。

35 所謂「間接方式識別」，依「個資法施行細則草案」第 3 條，指僅以該資料不能[直接]識別特定 個人，須與其他資料對照、組合、連結等，始能識別該特定個人者。

15

屬「個資」。³⁶如僅能識別「一群（個）人」(a group of individuals)，則不屬「個資」。 二、（資料之）蒐集、處理及利用

我「個資法」第 2 條將個人資料之「操作」(operations)，分為三個流程，依序 為資料之「蒐集」、「處理」及「利用」。³⁷蒐集：「指以任何方式取得個人資料」；³⁸ 處理：「指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、

複製、檢索、刪除、輸出、連結或內部傳送」；³⁹「利用」：「指將蒐集之個人資料 為處理以外之使用」。⁴⁰

有關個人資料之「操作」(operations)，各國立法例規範不一，有分為三個流程

「蒐集」(collection)、「處理」(processing)及「使用」(use)者，例如德國聯邦資料 保護法；⁴¹有分為「蒐集」(collection)、「使用」(use)與「揭露」(disclosure)，例如 澳洲隱私法。⁴²有以「處理」(processing)統稱所有資料之「操作」者，例如「歐盟 個資指令」與英國資料保護法。⁴³本文為求用語精確且符合「個資法」之規範，下

36 一般而言，單純的街景照片通常不會構成個人資料，但有系統蒐集照片再與個人連結，就會變 成個人資料。荷蘭主管機關便認為某公司有系統的蒐集德國街區 360 度數位照片，假如會影響 到個人時，該照片將構成「個資」，例如以此作為課稅依據，參見 Korff, supra note 31, at 16.

37 此概念早年係直接受德國聯邦資料保護法(Bundesdatenschutzgesetz, BDSG)之影響。

38 「個資法」第 2 條第 3 款。

39 「個資法」第 2 條第 4 款。

40 「個資法」第 2 條第 5 款。

41 參見德國聯邦資料保護法 §§ 3(3)(4) & (5).

42 參見澳洲隱私法附表三「國家隱私原則」(Npps)第 1 點與第 2 點。

43 參見英國資料保護法 § 1(1)；「歐盟個資指令」第 2 條規定，「個人資料處理」係指對個人資 料所進行之任何或一系列操作，無論其是否以自動化方法進行，例如蒐集(collection)、記錄 (recording)、組織(organization)、儲存(storage)、改編或修改(adaptation or alteration)、回復(retrieval)、

參閱(consultation)、使用(use)、以傳輸或散佈而揭露(disclosure)或以其他使其有效的結合 (alignment)或排列(combination)、封鎖(blocking)、消除(erasure)與破壞(destruction)。其他各國之

16

文概以「蒐集、處理或利用」統稱「個資」之「操作」。

三、資料控制人

各國個資法為徹底落實「個人資料之保護義務」，⁴⁴率皆定義「保護義務」主 體—「資料控制人」(data controller)之概念。⁴⁵「資料控制人」係指：決定⁴⁶資料 處理(processing)之「目的」(purposes)與「方法」(manner)之自然人或機構組織。

我「個資法」自「舊個資法」時期即未採用「資料控制人」之用語，而仿效 德國、奧地利以「公務機關」與「非公務機關」，⁴⁷作為「資料控制人」。現「個資

規定不及討論，參見湯德宗，〈電腦處理個人資料保護法 2008 修正草案評釋〉，發表於台灣法 學會 2008 年年度法學會議（2008 年 12 月 20 日）。

44 SeeKUNER,supra note 34, at2.20 & 2.25; UK Information Commissioner, DPA: Legal Guidance, para. 2.5., available at

http://www.ico.gov.uk/upload/documents/library/data_protection/detailed_specialist_guides/data_prote ction_act_legal_guidance.pdf

45 例如 Directive 95/46/EC Art. 2(d) & (e); 英國資料保護法 § 1(1).

「資料控制人」概念下尚有「資料處理人」(data processor)，指「代表」資料控制人處理資料之 自然人或組織，其係直接聽從資料控制人之命令而進行資料之操作。各國立法例對資料處理人 之規定亦不相同，英國與愛爾蘭規定「受雇人」不得為資料處理人，德國並未直接定義資料處 理人，法國則將資料處理人視為「收受者」(recipient)以外之人，參見 See Korff, supra note 31, at 23-24. 資料「收受者」之概念與「資料處理人」概念顯不相同，為避免資料控制人規避法律責 任與義務，部分國家並未免規範「資料處理人」，而將處理者一律視為「資料控制人」。

46 在「歐盟個資指令」之架構下，尚須判斷「資料控制人」係「單獨或共同」(alone or jointly)作成 決定，蓋「歐盟個資指令」假設「資料控制人」都是一個實體，遇到多重實體時，其責任之歸 屬會產生適用上困難，此時須視各實體之資料庫間是否有「內部連結」(interconnected)與「共享」

(shared)，此一「共享」概念與「某團體為了他方利益而向其提供資訊」顯然有別，參見 Korff, supra note 31, at 22-23.

47 參見德國聯邦資料保護法(Bundesdatenschutzgesetz, BDSG)第 2 條；奧地利聯邦個人資料保護法

47 參見德國聯邦資料保護法(Bundesdatenschutzgesetz, BDSG)第 2 條；奧地利聯邦個人資料保護法