OECD 個人資料保護綱領及歐盟資料保護指令

--- 特殊敏感資料之蒐集、處理：

關於 OECD 綱領之規定，大部分均為其會員國之資料保護法或隱私權 法，甚至是歐盟資料保護指令所吸納，在此不再贅述，請參考前揭澳洲隱 私權法所揭諸之各項原則。惟上述兩個國際間有關個人資料保護的重要文

62同時§3510 條亦規定相關的配套措施：「若資訊由取得資訊之機關傳遞予另一機關，則所有 適用於取得資訊機關之官員及職員有關非法揭露資訊之法律（包括處罰），在相同的範圍 內及相同的方式下，亦適用於接受資訊機關官員、職員。

除前款規定外，接受資訊機關之官員及職員應適用與直接蒐集該資訊之機關有關非法揭露 資訊相同的法律，包括處罰在內」。

件，仍有一項重要的原則必須加以說明，即「個人資料中，是否有些因為 具備高度敏感性，屬於特殊之個人資料，國家根本不得進行蒐集及處理」

之問題。

關於此一問題，在 OECD 最終所提出之綱領中並未將此等特別敏感之 資料與一般之個人資料加以區分，換言之 OECD 並未對特殊敏感資料的蒐 集、處理問題作出特別之規範。然而，在 OECD 對該綱領所提出之 detailed comments 中 OECD 特別對特殊敏感資料的問題加以說明。OECD 承認在討 論資料蒐集之問題時，必須面對某些資料具有先天上的敏感性（例如：種 族、宗教信仰、前科記錄），因此必須對此等資料的蒐集、處理加以嚴格 之限制或根本禁止蒐集、處理此等資料，這種主張事實上也得到歐洲一些 實際的立法例支持；然而，在另一方面，亦有主張認為沒有什麼資料是先 天就具備特別的敏感性，僅在特別的情況或作特別之使用時該資料方有敏 感性，美國隱私立法即反映出此一觀點。

參與 OECD 綱領訂定的專家學者們在研究上述問題時，確實曾經討論 過認定敏感資料的標準，例如「特定資料被用作歧視利用的危險」---，但 終究仍無法對敏感資料作出全球一致性的定義，因此放棄在綱領中作出規 定。

因此最後對於資料蒐集之規範，OECD 綱領雖然僅規定「對於個人資 料的蒐集必須有所『限制』」，但就「限制」的內涵而言，以下考量因素則 為 OECD 專家所建議參考：

（一） 資料之品質（quality）

（二） 伴隨資料處理目的的限制

（三） 基於各成員國之傳統及意見，認定某些特殊敏感的資料，

對此種資料之蒐集加以限制

（四） 各種人權的考量⁶³

至於在歐盟資料保護指令方面，依據指令第八條之規定，凡有關於「種 族血源、政治意向、宗教或哲學信仰、工會會員資格等個人資料、及涉及 個人醫療或性生活之資料，會員國皆應禁止處理」，明確揭示了特定敏感 資料的內涵。然而在例外的情形下，例如當事人同意，法律授權之執掌範 圍內、仍允許會員國對敏感資料進行處理。

第四節 小結

一、資料保護立法方面：

觀察歐、美、日、韓等國資料保護法制，各國資料保護規範的適 用範圍並不一致。在歐洲國家傾向於採行「全面性的資料保護立法」（不分公、

私部門，不以電腦處理之資料為限）；美國則針對政府部門蒐集、處理個人資 料設有規定；日本與我國類似僅針對電腦處理個人資料部分加以規定；至於 南韓則如同美國僅針對政府部門處理個人資料問題加以規定，惟其並不限於 以電腦處理之資料。

63 就此，本報告認為，若從保障「人性（格）尊嚴」及「禁止將所有國民當作預防犯罪的客 體」等人權原則觀之，我國現行戶籍法強制要求所有國民捺指紋之規定，恐即違反了 OECD 綱領資料蒐集必須加以限制的原則，相關規定亦且有違憲之可能。

二、關於資料保護的組織方面：

在資料保護的組織方面，歐洲國家在政府內部設置專門之資料保

護委員會或資料保護專員，負責執行該國個人資料保護法，並接受民眾申訴。

就美國而言，在聯邦機關蒐集資訊方面，則有管理及預算署（OMB）及資訊 及管理事務局（OIRA）之設置，雖然以上兩個機關並非專職之資料保護機構，

但就聯邦資料政策的形成與執行仍可以發揮一定之功能。至於日、韓兩國則 未見較為專責之資料保護機構。

三、關於資料蒐集方面：

就「資訊之蒐集」而言，各國資料保護法大都是遵照 OECD 綱領 所建立的基準。在資訊蒐集之實體要件上，蒐集資訊須為合法（有法律之授 權）且係出於與資訊蒐集者職務或活動直接相關之目的，所蒐集之資訊亦必 須為達成前揭目的所必要或直接相關。在程序要件上，對於資訊蒐集相對人 充分的告知，則為各國普遍接受的原則，告知之事項包括：蒐集資訊的目的、

該次資訊蒐集所根據之法律或依據何項法律的授權、資訊蒐集者通常將向何 人或何組織、機關揭露所蒐集之資訊、在資訊蒐集者瞭解之範圍內，前面所 提及之人、組織或機關通常又會將該資訊向何人、何組織、機關傳遞---等。

就美國法而言，除了前揭資料保護的考量外，尚將簡化行政機關書面作 業成本、提昇行政效率及減少人民提供資訊負擔等思考一併納入規範；除此 之外，美國法較為特別的制度設計是引進公眾評論的程序，使大眾有機會對 資訊蒐集實體要件的各項評估，提出意見；此外就資訊蒐集採行「控制號碼」

制度，使相對人能輕易便辨別資訊提供要求之合法性，亦不失為可以師法之 處。綜合而言，美國法關於行政機關資訊蒐集的規定較諸歐洲國家可謂不惶 多讓。。

四、關於資料之使用、揭露及儲存方面：

（一）資料的使用、揭露：

就蒐集所得資訊之使用及揭露而言，由於在資料蒐集之時即強調特定目 的，故蒐集目的外之使用當屬禁止的範圍。然各國資料保護法在前述原則規 定外，仍保有一定之彈性。例如：OECD 綱領建議之「當事人同意」或「另 有法律之依據」；澳洲隱私權法之「防止或減少該人或第三人嚴重而即將發生 之生命、健康威脅」---等。惟此種例外的使用、揭露實宜有相關之配套措施，

就此澳洲隱私權法對於例外使用、揭露之「註記」措施，值得參考。

至於行政機關間資料流用的問題，除美國書面作業簡化法之規定外，亦 可依前揭原則加以判斷。

（二）資料之保存：

1、安全維護：

行政機關對於所蒐集之資料應負有安全維護的義務，並避免資料被不當 之使用、竄改、刪除---等，乃資料保護課題中具有共識的一項。

2、資料保存公告：

為了便於資料提供者行使各項權利，包括更政權、刪除權---等，各國資

料保護法均規定機關就其所蒐集的資料應加以公告。必須公告的事項包括：

資料保管之目的；資料涉及個人之類型；保管各類資料之期間；有權取得個 人資訊之人及其取得的要件；有權取得個人資訊檔案者取得之程序---等。