總結本文研究發現,茲針對我「個資法」有關敏感性個資之保護,提出下列 建議。
一、「個資法」敏感性個資定義之商榷
(一)主要應考量資料之性質,並採取法律列舉方式
綜觀上開各國敏感性個資之規範方法,可知目前通說為:法律列舉敏感性個 資顯示之內容,例如醫療、基因或政治意見等個人資料,並禁止任何人蒐集、處 理或利用之。列舉說主要考量:資料之「性質」(nature),認為某些性質之資料,
其內容一旦揭露後,可能對個人隱私產生極大傷害,並引起社會歧視,故立法定 義其為敏感性個資。
採用「法律明文列舉」之好處在於,任何人皆得迅速自行判斷該資料是否屬 於敏感性個資,有助於個人資料保護之落實。其他採用「情境說」(Context-based approach)或「目的說」(Purpose-based approach)等綜合判斷模式,事涉主觀,通常 須交由公正之第三人(資料主管機關或法院)才能判斷。況且,我國缺乏統一的 個人資料主管機關,如將判斷敏感性個資之工作交由各類型的主管機關,敏感性 個資之定義勢必形成歧異,無助於個人資料之保護,故本文建議,有關敏感性個 資之定義,仍以法律明文列舉之方式為宜,上開「綜合判斷模式」(例如情境說)
可供法院或將來有望成立之資料主管機關參考,針對部分難以避免揭露敏感性特 質,作為次要輔助,以排除通念上不屬於敏感性個資之資料,例如照片或姓名等,
予以豁免適用之。
154
(二)列舉類別待重整
「歐盟個資指令」規範五種禁止處理之敏感性個資類別,其範圍涵蓋「種族 血源」、「政治意見」、「宗教或哲學信仰」、「工會會員資格」與「個人醫療與性生 活」資訊,其中僅有第五種與醫療資訊有關,其他都相當程度的與「隱私」或「言 論自由」有不同程度的關係。我「個資法」第 6 條列舉五種不得蒐集、處理或利 用之敏感性個資,包括「醫療」、「基因」、「性生活」、「健康檢查」與「犯罪前科」, 其中前四種都與「健康資訊」有關。其他有關人民表達「言論自由」(政治意見)
或享有「集會結社自由」(工會會員資格)等之敏感性個資,我「個資法」則未予 規範。蓋立法者或許認為我國當今「醫療資訊」遭到濫用的情形非常嚴重,基於
「個人隱私」必須予以規範,惟相對於「醫療資訊」而言,有關「政治意見」與
「政黨或組織會員資格」或「財務資料」,涉及憲法上「言論自由」、「集會結社自 由」或「個人隱私」等權利,與個人自我表現息息相關,若不能杜絕有心人士恣 意蒐集、利用這些未經公開發表,傳達「個人思想或價值觀」的資訊,藉此伺機 發表,以達攻訐詆毀他人的目的,在當今的社會裡,何人得以暢所欲言,而不必 害怕「秋後算帳」?是故,我國在提升「醫療資訊」保護層級的同時,對於傳達
「個人思想或價值觀」之資料,例如有關表政治意見等個資,應同等保護,不得 因其性質特殊,爭議過大,而乾脆不予保護,賦予有心人士或政府將手伸進我們 的空間。
(三)「病歷」應併入健康相關資料
「個資法」原未將「病歷」涵蓋適用敏感性個資,本文認為係立法疏漏,建 議將「病歷」視為「醫療資料」,並將「病歷」其自個人資料例示中刪除,以臻明 確。同時,為求徹底保護資料主體(本人),且避免「醫療」或「健康檢查」適用
155
之疑義(不易區分且無區分實益),對於上開三種資料之定義,建議採廣義解釋,
共同理解為「與個人健康相關」之資料,並刪除「個資法」第 6 條第 1 項敏感性 個資之「醫療」與「健康檢查」用語,新增為「健康」事項。
(四)「指紋」目前無須列為敏感性個資
如前所述,資料是否為敏感性個資主要應考量該資料之「性質」(nature),次 要考量資料處理之情境、目的等。「指紋」屬於「生物辨識資訊」之一種,其特點 在於:完全個人化且具有與其他敏感性個資共通的特質。如遭誤用,可能導致非 法之歧視,且藉由「生物辨識資訊」將可辨識出更多的個人資訊,故本文認為「指 紋」應可為敏感性個資。此外,即便「生物辨識資訊」縱然需特別處理,才能獲 得資訊之內容,仍不影響該資料的性質(敏感度),因為資料是否屬於敏感性個資 與資料控制人有無能力辨識出特定個人,並無明顯的關連。因為如果認為資料控 制人須有能力自該資訊中識別出特定個人,該資訊才能作為敏感性個資,那一般 人應該都無法自「醫療」或「健康檢查」資料中的血液檢測數值與「基因」資料 中的基因排序資訊,獲得特定個人之資料,而使「醫療」、「健康檢查」與「基因」
資料不屬敏感性個資,顯然與我「個資法」和各國實證立法規範相悖。
查前揭各國立法,並無將「生物辨識資訊」列為敏感性個資之實例,我「個 資法」目前僅將「基因」(去氧核醣核酸(DNA))列為敏感性個資,至於其他「生 物辨識資訊」(例如「指紋」)則是屬於一般個資,非屬敏感性個資。本文認為,「生 物辨識資訊」之性質雖然與其他敏感性個資相似,但將「生物辨識資訊」視為敏 感性個資之概念尚稱新穎,且此概念目前在國際間尚無明顯共識,故在立法者未 獲得全民共識之前,本文暫不建議新增「指紋」或「生物辨識資訊」為敏感性個 資。
156
二、「個資法」有關得蒐集、處理或利用敏感性個資情形之例外規定之商榷
(一)現行規定有欠明確
首先,所謂「法律明文規定」應限「法律明定公務機關或非公務機關,得蒐 集、處理或利用敏感性個資」者。「法律」應指「立法院三讀通過,總統公布施行 之法律」。此為「個資法」須「優先適用其他法律」之情形,限於「其他法律有特 別規定(個資之蒐集、處理或利用)者」(無論寬嚴), 其他法律無特別規定(個 資之蒐集、處理或利用)時,仍一律適用「個資法」。
其次,所謂「公務機關執行法定職務或私人機構履行法定義務」應限於「公 務機關或非公務機關基於其法定職務或義務所必要,須蒐集、處理或利用者」。「必 要」須考量其處理之目的是否合法、處理該個人資料是否為唯一達成該目的之手 段、其處理與追求之目的不得顯失均衡;所謂「適當安全措施」須注意防止個人 資料被竊取、竄改、毀損、滅失或洩漏,並採取技術上及組織上之必要措施。
再次,所謂「當事人自行公開」係指當事人自行對不特定人或特定多數人為 揭露;所謂「其他已合法公開」則指依法規公示、公告或以其他合法方式公開之 個人資料,此「合法公開」之行為應視為個人資料之「利用」,須遵守「個資法」
相關規定。
最後,所謂「公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,
為統計或學術研究而有必要,且經一定程序」,其目的須限於「醫療、衛生或犯罪 預防」與「統計或學術研究而有必要」,本文建議將「統計或學術研究」用語改為
「科學研究」代替;有關「學術研究機構」之定義不明,為合理促進學術研究發 展,建議擴大定義為包括國立研究院及公私立大學研究所或其他公私立研究機構;
157
有關「一定程序」之定義同樣不明,為求「個資法」用語統一且確保本款適用之 個人資料無法識別特定當事人,本文建議以「經過匿名化處理,或依其揭露方式 無從再識別特定本人」,代替「一定程序」之用語。
(二)應建議增列「當事人書面知情同意」及「重大公益」等例外事項
我「個資法」第 6 條第 1 項規定禁止蒐集、處理或利用敏感性個資,同條但 書並規定四種得豁免禁止,而蒐集、處理或利用敏感性個資之例外情形。相較各 國立法例多達八至十類,顯有不足。茲建議,參照各國立法例,增訂四類例外情 形,包括「經當事人書面知情同意」、「基於預防性醫療、醫學診斷、健康照護之 目的」、「為保護重大公共利益所必須」與「為保護當事人之重大利益」時,得蒐 集、處理或利用敏感性個資,試修正「個資法」第 6 條第 1 項但書之條文為:
一、經當事人書面知情同意。
二、法律明文規定者。
三、公務機關執行法定職務或非公務機關履行法定義務所必要。
四、資料已經當事人自行公開或由其他已合法公開之個人資料。
五、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為科 學研究而有必要,且資料須經過匿名化處理,或依其揭露方式無從再識 別特定本人。
六、醫療機構基於預防性醫療、醫學診斷、健康照護之目的 七、基於重大公共利益所必要
八、為維護當事人重大利益所必要
158
三、敏感性個資保護不足,應予補強
(一)蒐集敏感性個資須履行告知義務
「個資法」第 8 條與第 9 條規定,公務機關或非公務機關須「依個資法第 15 條或第 19 條」蒐集個人資料時,須履行告知義務,惟「個資法」第 15 條與第 19 條卻明文排除敏感性個資之適用,將使公務機關或非公務機關蒐集或處理敏感性 個資時,無須履行告知義務。此應為明顯立法疏漏,應將第 8 條或第 9 條條文前 段所謂「依第十五條或第十九條規定」用語改為「依本法規定」,始能將敏感性個 資納入本條規範內,以要求公務機關或非公務機關履行告知義務。
公務機關或非公務機關依「個資法」第 8 條第 1 項履行告知義務時,須告知 本人其(公務機關或非公務機關)據以蒐集之「豁免禁止」條款(第 6 條第 1 項 但書),且該條款須符合其蒐集之目的。此外,有關「個資法」第 8 條第 2 項第 2 款「直接蒐集之豁免告知」事由(個人資料之蒐集係公務機關執行法定職務或非 公務機關履行法定義務所必要),其要件與「個資法」第 6 條第 1 項但書第 2 款幾
公務機關或非公務機關依「個資法」第 8 條第 1 項履行告知義務時,須告知 本人其(公務機關或非公務機關)據以蒐集之「豁免禁止」條款(第 6 條第 1 項 但書),且該條款須符合其蒐集之目的。此外,有關「個資法」第 8 條第 2 項第 2 款「直接蒐集之豁免告知」事由(個人資料之蒐集係公務機關執行法定職務或非 公務機關履行法定義務所必要),其要件與「個資法」第 6 條第 1 項但書第 2 款幾