資訊自決權的限制

依學者見解，資訊自決權核心有三⁸⁴：（一）法律保留（指行政機關不得自 己決定限制人民之權利，須保留由法律為之）；（二）隱私保護；（三）透過蒐集 所獲得的資料，其使用應受「嚴格目的限制原則」等。換言之，對資訊自決權 的限制，有「法律保留」原則之適用，且須限於「特定之使用範圍」，因為只有 考量不同的使用情形，立法者才能正確地衡量「個人資料處理之大眾利益」與

「造成資訊阻礙之個人利益」間，應如何求得平衡；而且有關個人資料之複製 或描述，必須注意「嚴格目的限制原則」。資訊自決權基本上認為任何形式之「決 定自由」均需受到保護，國民有必要隨時知道其資料被處理及利用之情形⁸⁵。 由於個人資訊之範圍相當廣泛，為顧及所謂個人之社會關聯性，個人資訊 亦並非完全只屬於個人之支配範圍，最典型者，莫過於新聞自由及公眾「知的 權利」（Right to know）與個人資訊自決權之間的矛盾，面對此種法益衝突，

德國聯邦憲法法院曾提出「法益衝量原則」（Der Grundsatz der Guter-und lnteressenabwagung）以及比例原則（Verhaltnismasigkeitsgrundsatz），作 為解決之方法⁸⁶。對於資訊自決權的限制，根據德國基本法第二條第一項規定，

需要一項合憲的法律基礎，而該法律限制的前提及範圍，亦必須明確且對國民 而言是可辨認的⁸⁷。以下將分別就法律保留原則、目的限定原則、法益衝量原則 以及比例原則闡述之。

壹、法律保留原則

法律保留原則又稱為積極依法行政原則。資訊自決權既經確認具有基本權 的性質，則對其之限制首先便需要有一法律為其依據。德國聯邦個人資料保護

84參閱許宗力譯，Peter Badura 講稿，德國行政法在立法、學院與審判實務上之最新發展，臺大 法學論叢第 17 期第 2 卷，1988 年 6 月，第 315 頁。

85Vgl. K. Vogelgesang,Grundrecht auf informationelle Selbstbestimmunng?1987,S.54ff；；轉引自許 文義，個人資料保護法論，第 51 頁。

86參閱林安邦，德國「資訊自主權」之概念在我國法律上之應用，第 115 頁。

87參閱陳東輝，論政府資訊公開與個人資訊自決之衡平，第 142 頁。

法第四條第一項規定：「個人資料的處理與使用，限於本法或其他法規允許或 命令或經當事人同意，始得為之」⁸⁸；我國電腦處理個人資料保護法第七條亦規 定：「公務機關對個人資料之蒐集或電腦處理，非有特定目的，並符合左列情 形之一者，不得為之：一、於法令規定職掌必要範圍內者。二、經當事人書面 同意者。三、對當事人權益無侵害之虞者。」第八條規定：「公務機關對個人 資料之利用，應於法令職掌必要範圍內為之，並與蒐集之特定目的相符。」因 此，公務機關對於個人之蒐集、處理及利用，須於法令規定職掌必要範圍內，

並與蒐集之特定目的相符始可。

憲法對基本權之保障，依其事物本質、規範對象、內容或法益本身及其所 受限制之輕重等，有不同之「合理的區別對待」。基此，根據釋字第四四三號解 釋，「法律保留原則」其規範密度乃可區分為四個層次⁸⁹：

一、第一層次屬「憲法保留事項」，縱使為立法機關亦不得制定法律加以限制，

例如憲法第八條規定之人身自由即是。

二、第二層次屬「國會保留事項」，例如剝奪人民生命或限制人民身體自由者，

必須遵守罪刑法定主義，以制定法律之方式為之；又如時效制度不僅與人 民權利義務有重大關係，且其目的在於尊重既存之事實狀態，及維持法律 秩序之安定，與公益有關，必須由法律明定，自不得授權行政機關衡情以 命令訂定或由行政機關依職權以命令訂之（釋字第四七四號）。惟法律本 身若已就人身之處置為明文之規定者，應才得以法律具體明確之授權委由 主管機關執行之。至主管機關依法律概括授權所發布之命令若僅屬細節 性、技術性之次要事項者，並非法所不許（釋字第五五九號）。

三、第三層次屬可授權之「法律保留事項」，一般多屬此層次，此又可分兩部 分，倘若涉及人民其它自由權利之限制而應由法律加以規定者，亦可以法

88參閱林錫堯譯，德國聯邦個人資料保護法，第 2 頁。

89參閱陳怡如，釋憲實務有關基本權形式審查基準之觀察，取自於 http://home.kimo.com.tw/jyfd1103/br3.htm，2004 年 9 月 5 日。

律在符合具體明確授權原則的前提下，授權主管機關發布命令以為補充規 定；倘係屬給付行政措施，其受法律規範之密度，雖較限制人民權益者寬 鬆，但如涉及公共利益之重大事項者，仍應有法律或法律授權之命令為依 據之必要。法律授權主管機關依一定程序訂定法規命令以補充法律規定不 足者，該機關即應予以遵守，不得捨法規命令不用，而發布規範行政體系 內部事項之行政規則為之替代，倘法律並無轉委任之授權，該機關即不得 委由其所屬機關逕行發布相關規章（釋字第五二四號）。

四、第四層次屬「非法律保留事項」，亦即行政機關依其職權執行法律時，僅 得就執行法律之細節性、技術性次要事項（非重要事項）為必要之規範，

此雖可能對人民產生不便或輕微影響，但尚非憲法所不許。

故對於資訊自決權之保護密度應有階層區分，將資訊自決權的限制要件與 法律保留上之規範密度相互結合，對於越接近人格核心的個人資料，或是越具 有使用與結合可能性的個人資料，都必須與以高度保護，要求較高規範的法律 保留─國會保留。

貳、目的限定原則

目的限定原則的要求在資訊自決權中，有其特別的意義，德國聯邦憲法法 院在人口普查案中已經指出：要判斷一措施，是否屬於對於資訊自決權合法的 限制，其前提是對於取得個人資料的目的，該個人資料之處理與聯結的可能性 均已明確。因此立法者在規範取用個人資料的要件上，必須詳盡規定使用個人 資料之目的，如果是不能確定或未能完全確定個人資料的使用目的，就強制性 的取用個人資料，則是未合乎保障資訊自決權的要求⁹⁰。

就個人資料蒐集時的目的限定原則而言，其不僅要求個人資料蒐集單位在 個人資料蒐集時，必須先確定其蒐集個人資料的使用目的，以及必須使被蒐集

90BVerfGE 65,1/45；轉引自陳志忠，個人資訊自決權之研究，第 144 頁。

個人資料的當事人清楚了解該個人資料蒐集之目的；此外，國家為了不同目的 而同時向人民蒐集個人資料，原則上應該是被禁止的，因為在不同的個人資料 蒐集目的間，有其不同的保護密度要求，例如：匿名化及不利益禁止原則之適 用；相反的，如果是為了行政執行之目的所為的個人資料蒐集，則並非或非同 樣適用此規定；就統計而言，證明為同一性質之特徵，例如姓名、地址等，則 只是當作輔助工具，但一般而言，其對於基於行政執行目的所蒐集之個人資料，

目的限制的要求卻是基本的構成部分⁹¹；而且，就目的限定原則與個人資料儲存 的關係而言，依據目的限定原則，應可以得出不同目的所蒐集而來的個人資料，

應該禁止被同時儲存於同一系統中。蓋如果不同目的蒐集而來的個人資料可以 同時儲存在一起，則一方面在未來使用時，可能會因為無法分辨該項個人資料 出於何種目的蒐集而來，其結果不是造成在個人資料使用上的背離目的使用而 增加風險，便是只好將個人資料全面禁止使用（失去原本所可獲致的利益）。更 有甚者，不同目的蒐集而來的個人資料之共同結合儲存，正是個人資料整合的 一種，且帶有組合出人格圖像的可能性；質言之，將有直接導致人格被目錄化 的危險，而此卻正與人性尊嚴的保障相抵觸。因此，不同蒐集目的所得個人資 料的聯合儲存亦應加以禁止⁹²。

另外，就目的限定原則而言，基於特定目的所蒐集之個人資料，應要求只 能在該目的範圍內使用。因為唯有對目的進行限制，當事人方可評估風險的大 小，而如未限制個人資料只能於其蒐集目的範圍內使用，將會徹底的使當事人 的評估可能性喪失，而增加當事人不能自由自主的、自我負責發展其獨立人格 的風險⁹³。因此如果要將蒐集而來的資料變更目的使用，由於其已屬於另一次的 資訊干預，從而只有在有限的範圍內，方受允許。而由目的限定原則加以衍生，

91參閱黃莉雲，資料跨國流通法律問題之研究─相關理論與規範，台灣大學法律學研究所碩士 論文，1994 年 6 月，第 20 頁。

92參閱陳東輝，論政府資訊公開與個人資訊自決之衡平，第 147 頁。

93參閱林錫堯譯，德國聯邦個人資料保護法，第 5-6 頁。

資料保護之另一重要原則是個人資料不應「永久的（ewig）」儲存⁹⁴，換言之，

受到使用目的之拘束，相關個人資訊若不再需要時，應加以註銷而使原儲存之 個人資料無法復認。

綜上所述，對於個人資料的取得、公開及使用，必須在尊重當事人之前提 下，從當事人資訊自決權保護之重要性著眼，且必須以取得資料之利益著想為 考量，個人資料之蒐集、使用以及日後之儲存、傳遞，皆須遵守「目的限定原 則」。而蒐集個人資料之目的，最遲應於蒐集時明確化；而其後之使用，亦不得 抵觸最初之蒐集目的。同時，個人資料不得被使用於限定以外之目的，且應依 其使用目的，在必要範圍內保持其正確與完整，且為符合其最初蒐集目的之使

綜上所述，對於個人資料的取得、公開及使用，必須在尊重當事人之前提 下，從當事人資訊自決權保護之重要性著眼，且必須以取得資料之利益著想為 考量，個人資料之蒐集、使用以及日後之儲存、傳遞，皆須遵守「目的限定原 則」。而蒐集個人資料之目的，最遲應於蒐集時明確化；而其後之使用，亦不得 抵觸最初之蒐集目的。同時，個人資料不得被使用於限定以外之目的，且應依 其使用目的，在必要範圍內保持其正確與完整，且為符合其最初蒐集目的之使