力所及,是為本法作為我國目前個人資料保護法制上主要規制的一項缺失。不 過由於目前大多數的個人資料處理,均係透過電腦為之,且經電腦處理之個人 資料,較一般處理情形更易侵害個人權益,所以其保護較迫切。然較有爭議之 處,在於本法對於非公務單位之適用上,依本法第三章以下之規定,只有徵信 業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業受到本法的 規範,其他不在此規定的行業除非經法務部會同目的事業主管機關指定(第三條 第七款(三)),否則不受本法之規範,因此即可能發生疏漏。因此在現行法下,
法務部及各目的事業主管機關應隨時注意,即時指定142。其次,對於各種不同的 個人資料,其在資料處理過程中所可能面臨的風險程度不一,對於不同風險的 個人資料亦應分別給予不同密度的保護,例如對於個人婚姻與性關係之資料、
健康資料或有關精神思想的資料等,就其在資料蒐集、處理及使用的合法要件,
以及相應之資料保全義務上,均應高於一般個人資料的處理。
以下,試分析個人資料保護應有之具體內容,並就我國電資法之相關規定 做評析143。
1、資料保護之主體:
電腦處理個人資料保護法所應保護之權利主體,應以自然人為限,或及於 法人?一般而言,自然人之個人資料應受保護較無爭議,亦即,自然人應屬個人 資料保護之主體。依現行法第二條規定:「個人資料之保護,依本法之規定。但 其他法律另有規定者,依其規定。」同法第三條第一款規定:「個人資料:指自
142 參閱陳家駿,淺談電腦網路上隱私權之保護,月旦法學雜誌第 23 期,1997 年 4 月,第 72 頁。
143 參閱黃三榮,個人資料之保護─兼評我國電腦處理個人資料保護法,第 43-51 頁;劉坤旺,
從憲法觀點論警察處理個人資料法制,第 62-65 頁。
然人之姓名、出生年月日、身分證統一編號、特徵、指紋、婚姻、家庭、教育、
職務、健康、病歷、財務狀況、生活活動及其他足資識別該個人之資料。」足 見本法所保護之主體限於自然人所擁有之資料,至於法人資料不在此限。
對於法人資料是否應立法保護,有不同看法。認為法人資料應立法保護,
但並非合併在個人資料保護立法中,其理由大致如下:(1)法人非憲法體系所 保障之基本人權主體,其本質與自然人所享有隱私權內涵並不相同。關於此點,
研究者以為,惟資訊時代法人資料受非法侵害之可能性,可謂與自然人不相上 下,故法人資料應受立法保護。(2)經濟合作及發展組織所揭示之八項個人資 料保護原則,係基於保護個人之隱私權而生,與法人資料之保護無關,故此八 項個人資料保護原則,未能適用於法人資料之保護。(3)法人因涉及商業行為 及營業秘密,基於商業公開經營與交易安全,若將法人資料保護與個人資料保 護同置於相同之法律體系,兩者易生適用上之困擾,因此法人資料保護應另以 一獨立之法律體系予以規範。
其次,前述「自然人」或「法人」是否包括「外國自然人」及「外國法人」,
亦值加以探究。按各國對於外國人人權中隱私權之保障,已逐漸朝向平等主義 而捨互惠主義144,然資訊自決權既屬私權之一,故外國自然人亦應屬個人資料保 護法之受保護主體,以求個人充分受到保障。
2、受保護之資料內容:
依該法第一條規定:
「為規範電腦處理個人資料,以避免人格權受侵害,並促進個人資料合理利用,特制定本法。」第三條第三款規定:「電腦處理:指使 用電腦或自動化機器為資料之輸入、儲存、編輯、更正、檢索、刪除、輸出、
傳遞或其他處理。」從法律之規定,資料保護僅限經電腦或自動化程序處理者。
而不及於人工或半自動化之處理。惟實務運作上,資訊自決權之侵害不限於自
144 參閱馬漢寶,國際私法總論,著者自刊,1986 年 7 月 9 版,第 158-160 頁。
動化資訊處理始有可能,依人工或半自動化方式從事資料處埋,亦可能致他人 權利遭受侵害,故條文應增訂關於非自動化資料處理資料相關規定,對資料保 護方可稱周延。
關於個人資料,有將關於個人身心之基本資料,如人種、個人之思想、政 治或宗教信仰、精神等資料,稱為「隱私權之固有資料」,除此以外,敏感性較 低資料,稱為「隱私權之外延資料」145,前者即所謂「敏感性資料」。我國「電 腦處理個人資料保護法」就個人資料之定義依第二條第一款規定係指:自然人 之姓名、出生年月日、身分證統一編號、特徵、指紋、婚姻、家庭、教育、職 業、健康、病歷、財務狀況、社會活動及其他足資識別該個人之資料」,可見我 國現行電資法,所指之「個人資料」範圍甚廣。然我國未有將個人資料區分是 否為「敏惑性資料」之規定,是否妥適,當有待多方深入探究。
3、資料處理之主體:
不論是「政府部門所保有之資料」,或「民間部門所保有之資料」,均應為受 電腦處理個人資料保護法所保護之對象。而我國電腦處理個人資料保護法規 定,不論公務機關及非公務機關均受該法之規範,而將「政府部門所保有之資 料」及「民間部門所保有之資料」均納入受保護之對象。
該法第二章及第三章分別規定公務機關與非公務機關之資料處理,該法將 公務機關與非公務機關均納入規範之列。然除日本及美國立法例以公務機關為 限外,各國立法例大多將公務機關與非公務機關一併列入規範。本法將公務機 關與非公務機關均列入規範立法例,與絕大部份立法例相同,且將二者一併納 入立法規範,易收統一適用且體系明晰之效。然本法中關於非公務單位之適用 範圍,依本法第三章以下之規定,只限於徵信業、醫院、學校、電信業、金融 業、證券業、保險業及大眾傳播業等八大行業,其他不在此規定的行業,除非
145 轉引自黃三榮,個人資料之保護─兼評我國電腦處理個人資料保護法,第 45 頁。
經法務部會同目的事業主管機關指定,否則不受本法之規範,因此即可能發生 疏漏,導致個人資料遭受侵害,是值得注意之處。
4、資料蒐集、處理與利用之許可條件:
依該法第六條、第七條、第八條、第二十三條、第二十四條,分別就公務 機關與非公務機關許可條件予以明定,原則上尊重當事人權益,依誠實信用方 法,且不得逾越特定目的之必要範圍。除本法或其他法令有特別許可之規定,
或當事人書面同意或對當事人權益無損言者外,不得任意為之。
各國立法例就此等許可條件,均以法律明文定之,當事人同意或其他經權 衡公益與私利後為之特別許可為蒐集條件,為基本原則。惟本法對資料蒐集、
處理及利用條件規定太過簡略,在實務判斷上易生困擾,應充實其規範內容以 利適用。
5、個人資料安全維護與正確性確保之規制:
維護及確保個人資料之安全,應於電腦處理個人資料保護法中加以明文規 定,以落實安全保護原則。該法第十七條及第二十六條第一項,分別規定公務 機闆及非公務機關關於個人資料安全維護確保之義務等。惟事實上,個人資料 之安全確保,自資料開始蒐集即應進行,而非自個人資料被蒐集為個人資料檔 案後,才開始保護。