國立臺灣大學社會科學院國家發展研究所 碩士論文
Graduate Institute of National Development College of Social Sciences
National Taiwan University Master Thesis
敏感性個人資料保護之研究
A Study of Sensitive Personal Data Protection
蔡秉錡
Charles Ping-Chi Tsai
指導教授:湯德宗 博士 Advisor: Dennis T. C. Tang, S.J.D.
中華民國 101 年 6 月
June, 2012
I
誌謝
論文初稿是我在台大國家發展研究所修習「公法學專題」的課堂報告。撰寫 期間,適逢我國個資法修正,新增特種資料(敏感性個資)之規定,正好使本文 能夠順應潮流、符合時事,這是始料未及之事。希望本文研究,對於掌握敏感性 個資之概念與訂定相關規範有所助益。
完成本篇論文,首要感謝的是我的指導教授,司法院大法官 湯德宗先生。
湯大法官是我在 2001 年於東吳法律系修習「中華民國憲法」的授課教授,修業期 間深受湯大法官的學思影響,開展我對於公法學的興趣與熱忱,也因此促使我畢 業後報考國立臺灣大學國家發展研究所,順利錄取並有幸成為湯大法官的指導學 生。同時,中央研究院法律學研究所籌備處於 2004 年成立,湯大法官時任法律所 籌備處主任兼研究員,給我工讀與學習機會,讓我到法律所去協助處理行政庶務。
因此自 2004 年開始,我一路從工讀生、編輯室校稿助理、法律所獎勵補助研究生、
院內深耕計畫兼任助理及最後的專任助理,七年來在法律所歷練成長,這是我人 生中不可多得的經驗,但這一切都要感謝十餘年來對我耐心提拔的湯老師。尤其,
湯大法官對我的論文細心逐字斧正,公務繁忙之餘仍每週撥空與我討論爭點疑義,
獲益良多,僅能於此略記數語,以表達謝意。此外,本文另外兩位審查老師,本 所劉靜怡教授,與東吳大學法律學系主任林三欽教授,對本文議題有深刻且獨到 的研究,感謝兩位老師的指點與建議。
我要感謝我的女朋友-嘉儀,遇見她是我人生最好的際遇,她全心一意陪伴 我,默默督促我盡快完成,是這篇論文的潛在推手。我願在將來時光裡,與她相 互扶持、攜手同行。同時,也感謝嘉儀的家人,不時給我關心與鼓勵,讓我在離 鄉背井求學之時,仍能感受到親情與家人的關懷。
此外,也要感謝中研院法律所的學長姐、學弟妹,包括:黃建普、黃慧儀、
陳家瑀、王漢民、大嘴(陳冠宇)、李佳臻、劉宗翰、陳姵蓉、李佩容、鄭凱尉等 好友,你們豐富了我過去七年在法律所的回憶;研究所同窗:蘇緯政、廖悅涵及 學弟楊大維;東吳的同學與學弟:劉蕙瑢、鐘惠盈與吳旻訓,對本文的完成提供 了不等的協助,一併在此致謝。
最後,要感謝我的家人。我的父母親不曾給我壓力。他們默默守候我,看著 我步步前進。將來,希望我能不負他們期望,服完兵役後繼續前往國外留學,無 愧天賦,以此回報。同時,謝謝我的妹妹,一直在家鄉陪伴父母,代盡兄責,由 衷感激。
II
III
中文摘要
2011 年,我國通過新修正之個人資料保護法,第六條第一項規定,有關醫療、
基因、健康檢查、性生活與犯罪前科之個人資料,為敏感性個人資料,或謂特種 資料。
個人資料是否屬於敏感性個人資料,應考量資料之性質,並以法律列舉之方 式定義。個人資料保護法目前列舉之類別,有四類與健康相關,且遺漏病歷資料,
類別有待重整。指紋雖屬生物辨識資訊,具敏感性個人資料之特質,惟目前各國 立法仍缺乏共識,暫時無須列為敏感性個人資料。
敏感性個人資料因性質特殊,不當蒐集、處理或利用容易侵害個人資訊隱私,
故各國原則上率皆禁止蒐集、處理或利用之,例外始得蒐集、處理或利用。個人 資料保護法規定四種得蒐集、處理或利用敏感性個人資料之例外情形,現行各款 規定有欠明確,且四種情形與各國立法例相較為少,將來可新增「當事人書面知 情同意」、「基於醫療行為」或「重大公益所必要」之例外條款。
個人資料保護法對敏感性個人資料之保護,尚有不足,尤其關於公務機關或 非公務機關是否須履行通知義務,以及特定目的外利用之情形,適用上仍有疑義,
應修正補強。
關鍵字:敏感性個人資料、特種資料、個人資料保護法、歐盟個人資料保護指令、
個人資料保護原則
IV
V
Abstract
Sensitive Data or Sensitive Information is a sub-set of personal information and is given a higher level of protection under Personal Information Protection Act(PIPA) Art.6(1). The definition of Sensitive Data(special categories of data) in the PIPA refers to information about an individual’s: medical treatment, genetic information, sexual life, health examination and criminal record.
Any Information can be considered to be sensitive, depending on the nature. The better approach to define sensitive data is specifically enumerating special categories of sensitive data by Law. Almost all Sensitive data enumerated in current PIPA is about medical information and lacks medical record, therefore the list should be consolidated and amended. Fingerprint is biometric information which can be considered sensitive, but there is no legislation in other country, so it may not be added to the list temporarily.
PIPA prohibits Government agency or Non-government agency from collecting, processing and using sensitive data unless at least one of the conditions(exemption) set out in Art.6(1) is fulfilled. However, the definition of the exemptions is vague and ambiguous. The types of the exemptions defined in PIPA are less than legislation in other country as well. Therefore this thesis suggests that PIPA should be amended and many other conditions, such as “data subject’s informed consent”, “for medical
purposes” exemption, “for public interest” exemption and “in order to protect the vital interests of another person” exemption should be added.
Although PIPA gives higher level of protection to sensitive data, it does not
specifically state whether Government agency or Non-government agency should notice data subject before collecting sensitive data, or whether sensitive data can be used for secondary purpose. It should be amended immediately before the date for enforcement of the Act.
Keywords: sensitive data, sensitive information, special categories of data, personal data protection, data protection principle, Personal Information Protection Act
VI
VII
目次
第一章 緒論 ... 1
壹、研究動機 ... 1
貳、研究目的 ... 4
一、何謂敏感性個人資料? ... 4
二、敏感性個資是否得以蒐集、處理及利用? ... 5
三、蒐集、處理或利用敏感性個資所應遵循之「個人資料保護原則」, 與一般個人資料有無不同? ... 7
參、研究方法暨範圍 ... 9
肆、研究架構 ... 10
第二章 敏感性個人資料概念 ... 11
第一節 相關概念 ... 11
第二節 敏感性個人資料概念之發展 ... 18
一、OECD 個資綱領 ... 19
二、歐盟「保護個人關於自動化處理個人資料公約」 ... 21
三、聯合國「規範電腦化個人資料檔案指導綱要」 ... 24
四、歐盟「個人資料保護指令」 ... 25
五、APEC「隱私保護綱領」 ... 31
第三節 各國立法例 ... 33
一、歐盟國家 ... 33
二、其他國家 ... 37
第四節 敏感性個資之界定方法 ... 51
一、法律列舉模式 ... 51
二、綜合考量模式 ... 55
三、本文見解 ... 60
第五節 小結 ... 64
第三章 敏感性個資之蒐集、處理及利用 ... 66
第一節 禁止「蒐集、處理或利用」之原則 ... 66
第二節 得「蒐集、處理或利用」之例外 ... 70
一、法律明文規定者 ... 70
二、公務機關執行法定職務或非公務機關履行法定義務所必要者 ... 76
三、當事人自行公開或其他已合法公開者 ... 84
VIII
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統
計或學術研究而有必要,且經一定程序者 ... 86
五、其他 ... 89
第三節 小結 ... 101
第四章 敏感性個人資料與個人資料保護原則 ... 104
第一節 個人資料保護原則 ... 104
第二節 敏感性個資之「蒐集」相關原則 ... 108
一、蒐集限制原則 ... 108
二、個人參與原則 ... 119
三、資料品質原則 ... 122
四、目的特定原則 ... 123
五、責任歸屬原則 ... 125
第三節 敏感性個資之「處理」相關原則 ... 126
一、個人參與原則 ... 126
二、資料品質原則 ... 127
三、目的特定原則 ... 127
四、公開原則 ... 128
五、安全保障原則 ... 129
六、期間限制原則 ... 132
七、責任歸屬原則 ... 134
第四節 敏感性個資之「利用」相關原則 ... 136
一、個人參與原則 ... 136
二、資料品質原則 ... 137
三、目的特定原則 ... 137
四、利用限制原則 ... 138
五、國際傳輸 ... 142
六、責任歸屬原則 ... 144
第五節 小結 ... 145
第五章 結論與建議 ... 153
一、「個資法」敏感性個資定義之商榷 ... 153
(一)主要應考量資料之性質,並採取法律列舉方式 ... 153
(二)列舉類別待重整 ... 154
(三)「病歷」應併入健康相關資料 ... 154
IX
(四)「指紋」目前無須列為敏感性個資 ... 155 二、「個資法」有關得蒐集、處理或利用敏感性個資情形之例外規定之商 榷 ... 156
(一)現行規定有欠明確 ... 156
(二)應建議增列「當事人書面知情同意」及「重大公益」等例外事項 ... 157 三、敏感性個資保護不足,應予補強 ... 158
(一)蒐集敏感性個資須履行告知義務 ... 158
(二)蒐集、處理或利用敏感性個資應有特定目的,須符合「個資法」
第 6 條第 1 項但書規定 ... 158
(三)敏感性個資之二次利用目的應予限縮 ... 159 參考文獻...161
X
圖次
圖一:蒐集、處理或利用敏感性個資時,公務機關或非公務機關
適用個人資料保護原則之情形……….107
XI
表次
表一:英國資料保護署敏感性個資訪談清單………..54 表二:公務機關或非公務機關蒐集、處理或利用敏感性個資流程…………151
XII
縮語表
個資法= 個人資料保護法(99/05/26)
個資法施行細則草案= 個人資料保護法施行細則修正草案(100/10/26 公告) 舊個資法= 電腦處理個人資料保護法(84/08/11)
歐盟個資指令= 歐盟個人資料保護指令(Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data)
歐盟個資指令修正案= 歐盟個人資料保護指令修正提案(Data Protection Directive (95/46/EC) Proposals for Amendment made by Austria, Finland, Sweden and the United Kingdom, Explanatory Note, September 2002 Special Categories of Data Proposal)
OECD 個資綱領= OECD 個人隱私與跨境個人資料流通保護綱領(Annex to the Recommendation of the Council of 23rd September 1980: GUIDELINES GOVERNING THE PROTECTION OF PRIVACY AND TRANSBORDER FLOWS OF PERSONAL DATA)
歐盟個資公約= 歐盟保護個人關於自動化處理個人資料公約(CONVENTION FOR THE PROTECTION OF INDIVIDUALS WITH REGARD TO
AUTOMATIC PROCESSING OF PERSONAL DATA, Strasbourg, 28.I.1981) 個資規範= 聯合國規範電腦化個人資料檔案指導綱要(Guidelines for the
Regulation of Computerized Personal Data Files, G.A. res. 44/132, 44 U.N. GAOR Supp. (No. 49) at 211, U.N. Doc. A/44/49 (1989))
加拿大個資法= 加拿大個人資訊保護暨電子文件法(Personal Information Protection and Electronic Documents Act 2000, PIPEDA)
澳洲法改會= 澳洲法律改革委員會(Australian Law Reform Commission)
1
第一章 緒論 壹、研究動機
1997 年 5 月 21 日,戶籍法草案修正公布。其中,第 8 條規定年滿十四歲之人 民請領國民身份證應按捺指紋,1惟當時身分證已自 1985 年起陸續換發,且建立指 紋檔案事涉繁瑣,幾經討論後經行政院決議暫不施行,2嗣後並四度受到監察院糾 正。32005 年 4 月 6 日,行政院指示自同年 7 月 1 日起換發新式國民身分證,全體 國民須按捺指紋始得領取。立法委員賴清德等人,認上開條文違反憲法第 22 條及 第 23 條之規定,爰依司法院大法官審理案件法第 5 條第 1 項第 3 款,4於同年 6 月 6 日向司法院大法官聲請解釋,同時並聲請「急速處分」,以宣告係爭條文(戶 籍法第 8 條全項)暫時停止適用。2005 年 6 月 10 日,司法院大法官先作成釋字第
1 戶籍法(96/05/21)第 8 條第 1 項:「人民年滿十四歲者,應請領國民身分證」;第 2 項:「未滿十四 歲者,得申請發給。依前項請領國民身分證,應捺指紋並錄存。但未滿十四歲請領者,不予捺指 紋,俟年滿十四歲時,應補捺指紋並錄存」;第 3 項:「請領國民身分證,不依前項規定捺指紋者,
不予發給」。
2 相關過程可參見本案理由解釋書,或參見曾珮瑩,《全民指紋建檔爭議之研究-以 94 年換證為例》,
銘傳大學公共事務學系碩士論文,頁 71-80(2008 年)。
3 第一次糾正,參見監察院公報,2196 卷,頁 301-306(1999 年 2 月 10 日);第二次糾正,參見 監察院公報,2232 卷,頁 2299-2307(1999 年 10 月 20 日);第三次糾正,參見監察院公報,
2310 卷,頁 76-77(2001 年 04 月 18 日)與監察院公報,2312 卷,頁 1-6(2001 年 05 月 02 日);
第四次糾正,參見監察院公報,2316 卷,頁 54-55(2001 年 05 月 30 日)與監察院公報,2317 卷,頁 11-19(2001 年 06 月 06 日)。各次糾正之重點摘要,可參見曾珮瑩,前揭(註 2)文,
頁 92。
4 司法院大法官審理案件法(82/02/03)第 5 條第 1 項第 3 款:「有左列情形之一者,得聲請解釋憲法:…
三、依立法委員現有總額三分之一以上之聲請,就其行使職權,適用憲法發生疑義,或適用法律
發生有牴觸憲法之疑義者」。本案同時引起大法官應否受理申請之爭論,主要參見廖義男大法官
「協同意見書」、楊仁壽大法官「不同意見書」以及謝在全大法官「不同意見書」。
2
599 號解釋,暫停戶籍法第 8 條第 2 項及第 3 項之適用,並駁回聲請人就同條第 1 項之暫時處分聲請。2005 年 9 月 28 日,司法院大法官就前述已暫時停止適用之戶 籍法第 8 條第 2 項及第 3 項,作出釋字第 603 號解釋。
釋字第 603 號解釋,認為「根據戶籍法第 8 條第 2 項、第 3 項,未按捺指紋 者不予換發國民身份證」之規定係屬違憲。解釋文謂:「指紋乃重要之個人資訊,
個人對其指紋資訊之自主控制,受資訊隱私權之保障」。理由解釋書中復謂:「指 紋係個人身體之生物特徵,因其具有人各不同、終身不變之特質,故一旦與個人 身分連結,即屬具備高度人別辨識功能之一種個人資訊。由於指紋觸碰留痕之特 質,故經由建檔指紋之比對,將使指紋居於開啟完整個人檔案鎖鑰之地位。因指 紋具上述諸種特性,故國家藉由身分確認而蒐集個人指紋並建檔管理者,足使指 紋形成得以監控個人之敏感性資訊」。5本號解釋多數意見認為指紋可合理聯結、揭 露個人資訊,故屬「個人之敏感性資訊」,惟對於該概念之特徵與內容,本號解釋 文及理由書並未多所著墨。6
對此,有三位大法官,表達不同看法。許玉秀大法官之「協同意見書」認為 是否得強制按捺指紋,須取決於「指紋是否為敏感資訊」。氏認為「所謂資訊的敏 感度,就是該資訊如果脫離個人控制,可能對個人造成的損害有多大,也就是資 訊的抽象危險性有多高的問題」。指紋對於保護人身安全,可作為有利資訊,但對 於控制人民之制度,又為負面資訊,是故,指紋不屬於絕對敏感資訊,僅具備「相 對的敏感度」,其敏感度在於它的「程序性質」可以辨識人別,辨識的精確度愈高,
5 參見司法院大法官釋字第 603 號解釋。
6 林子儀大法官於本案之「協同意見書」嘗提及:「…多數意見似主張指紋之性質非如醫療紀錄、
性傾向、宗教信仰或政治立場般敏感…」表達本案大法官曾就「指紋」之性質予以討論,同時約 略引出「敏感性個人資料」之概念,惜未能就「敏感性個人資料」一詞於解釋理由書中釋示。
3
抽象危險性愈高。一旦確認資料屬性,個人即失去自身資訊之自主控制,此為指 紋資訊之敏感度。
余雪明大法官之「部分協同部分不同意見書」則直接論述指紋之意義。氏認 為指紋為個人資訊之一種,指紋與隱私權無關,指紋僅為「中性之身分辨識工具」, 且不能因指紋所聯結之資訊本身敏感,而認為指紋亦為敏感性資訊。所應禁止或 限制者為該項敏感資訊之蒐集,而非指紋或姓名。7余大法官舉比較法作為例證,
歐盟個人資料保護指令(下稱「歐盟個資指令」)8與英國資料保護法(UK Data Protection Act 1998)中,有關敏感性個人資訊的定義,並未包括指紋。此見解與多 數意見截然不同,引起相當討論。9
林子儀大法官之「協同意見書」,則對「指紋為中性資訊」持不同意見。首 先,林大法官認為資訊隱私權欲保護之對象應包括指紋。因為依現今資訊科技之 發展,過去所無法處理之零碎、片段、無意義的個人資料,於今已能快速串連、
比對歸檔與系統化。當大量個人之中性資訊群聚時,個人之私密資料將呼之欲出。
是故,隱私權之保障範圍應隨之擴張至「非私密」或「非敏感性」之個人資料保 護,不限於個人秘密不受揭露的自由。其次,指紋並非不帶私密性或不具敏感性
7 城仲模大法官,於「協同意見書」也表達類似的見解:「指紋本為中性之資料,單純知悉個人之 指紋並無法透露任何訊息,蒐集指紋對於隱私權的影響如何,端視指紋在個案中的用途而定」。
8 Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data Art.8 [hereinafter Directive 95/46/EC].
9 參見李建良,〈「捺指紋規定釋憲案」鑑定意見書〉,《台灣本土法學》,73 期,頁 41-44(2005 年 8 月);李震山、黃昭元、蔡宗珍、顏厥安,〈釋字第 603 號(全民指紋建檔案)評釋〉,《台灣本 土法學》,75 期,頁 115-116(2005 年 10 月);廖元豪,〈高深莫測,抑或亂中有序?—論現任大 法官在基本權利案件中的「審查基準」〉,《中研院法學期刊》,2 期,頁 243-244(2008 年 3 月);
林宛怡,《以犯罪偵查為目的之 DNA 資料保存-以歐洲人權公約第八條為中心》,國立政治大學法 律學研究所碩士論文,頁 142-143(2009 年 12 月)。
4
的中性資訊。蓋指紋具有許多適用於人別辨識與認證之特性,國家得藉由指紋以 掌控國民行蹤。因此,指紋實為敏感性之個人生物資訊。
綜上所述,大法官們對於「指紋」究竟是否為敏感性個人資訊仍有不同見解。
本文認為,原則上可分為兩種立場,第一,多數認為:藉由掌握指紋,得以合理 聯結或揭露個人資訊,是故指紋為得以監控個人之敏感性資訊;第二,余雪明大 法官認為:指紋僅為一識別工具,不具有任何敏感性,並不因其得與其他敏感性 個資聯結,而視為敏感性個人資料。細繹問題爭點,係對於敏感性個人資訊之定 義理解不同所致。第一種見解,顯然著重取得資訊後的「效果」,認為指紋其得以 與大量、敏感之個人資訊聯結,因而屬「敏感性資訊」;第二種見解,則著重於資 訊(指紋)自身的「內容」是否屬於「敏感性資訊」而定。對此差異,本文作者 不禁產生懷疑,究竟敏感性個人資訊指涉為何?其與一般個人資料有什麼不同?
此為本文主要問題意識,以下將以此開展本文架構。
貳、研究目的
一、何謂敏感性個人資料?
本文針對「敏感性個人資料」之保護,進行比較研究。10首先討論「敏感性個 人資料」之定義與類別。各國個人資料保護法,對於敏感性個人資料之定義不一。
「歐盟個資指令」第 8 條規定,「敏感性個資」係限於「顯示種族血緣、政治意向、
宗教或哲學信仰、工會會員資格之個人資料及涉及個人醫療或性行為等資料」。11同 屬歐盟法規範下之英國,定義「敏感性個資」係指該資料揭露以下事項:「資料主
10 鑑於釋字第 603 號解釋與「個資法」之用語並不相同,前者稱為「敏感性資訊」,後者則稱「特 種資料」,為避免誤解、統一用語,本文以下統稱「敏感性個資」。
11 Directive 95/46/EC Art.8.1
5
體之種族或血緣、政治意見、宗教或類似信仰、工會會員資格、生理與心理健康 情況、性生活、有罪指控與起訴調查程序」。12至於其他國家,例如澳洲隱私法 (Privacy Act 1998)規定敏感性個資為:「揭露種族血緣、政治意見、政治團體會員 資格、宗教信仰、哲學信念、專業協會會員、工會資格、性傾向與行為、刑事記 錄與有關個人之健康資訊」。13
準此而言,各國所謂之「敏感性個資」,係取決於該資訊所揭露之「內容」, 並非以該資訊是否得與其他(敏感性)個人資訊聯結為斷。此立場與釋字第 603 號解釋中所採取之見解,並不相同。我國舊法「電腦處理個人資料保護法」(下稱
「舊個資法」)未規範敏感性個資。2010 年 5 月 26 日,新修正公布之「個人資料 保護法」(下稱「個資法」)第 6 條,規定「有關醫療、基因、性生活、健康檢查 及犯罪前科之個人資料」不得蒐集、處理及利用之,此為我國法上「敏感性個資」, 惟其中並未包括釋字第 603 號解釋中所認定為敏感性個資之「指紋」。敏感性個資 究為所指,仍有深究之必要。是故,本文第一個研究之問題是:「何謂敏感性個人 資料?」本文以下將綜觀比較法上的發展與分類,並考慮近年來新興科技所引發 的影響,14參酌我國國情與現行法規定後,15提出一套合理的定義方法。
二、敏感性個資是否得以蒐集、處理及利用?
在掌握敏感性個資之概念後,本文接續討論敏感性個資之蒐集、處理及利用。
12 英國資料保護法 § 2
13 澳洲隱私法 § 6
14 例如網際網路盛行已造成個人照片廣泛流傳,從個人照片上之特徵,通常得判斷出其種族,則 蒐集、處理此類個人照片是否有違反「個資法」之虞,不無疑問。
15 例如是否增列「政治意見」;敏感性個人資料之特別規定,例如「醫療法」第 67 條至第 74 條有 關病歷之規範。
6
由於揭露敏感性個資,將使個人遭受到不可彌補的傷害與誤會,進而對自由與隱 私造成侵害。16原則上應禁止任何人蒐集、處理及利用敏感性個資,僅於符合法定 例外情況時,得豁免限制而蒐集、處理及利用敏感性個資。17
所謂法定例外情況,我「個資法」規定四種得四種例外情形,分別為:
一、法律明文規定。
二、公務機關執行法定職務或非公務機關履行法定義務所必要,且有適 當安全維護措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統 計或學術研究而有必要,且經一定程序所為蒐集、處理或利用之個 人資料。
「歐盟個資指令」第 8 條第 2、3 及第 4 項規定數種例外情況,本文暫擬分為 六類:
1. 涉及資料主體利益:資料主體(data subject)明示同意者;或為保護資料主體或 第三人之重大利益,而資料主體無法表示同意者。18
2. 涉及資料控制人履行法定義務:資料保管人於僱傭法律關係中,為履行其法 定義務或執行特定職權目的所必要者。19
16 Directive 95/46/EC Recital 33 (“Whereas data which are capable by their nature of infringing fundamental freedoms or privacy…”) [emphasis added].
17 對於我國個資法所謂之「蒐集、處理及利用」,「歐盟個資指令」概以「處理」(process)一詞統稱 之,參見本文第二章第一節之討論與 Directive 95/46/EC Art.2 (b)
18 Directive 95/46/EC Art.8.2 (a) & (c)
7
3. 涉及特別種類非營利性組織內之會員事項:非營利組織於舉行合法活動時,
就其會員或相關者所為之處理,且非屬未經當事人同意而向第三人為揭露 者。20
4. 資料已為當事人自行公開或基於訴訟之必要者:該資料顯然已為資料主體所 公開;或為成立、行使或防禦其法律上的主張所必要者。21
5. 涉及健康資料:為預防醫療(preventive medicine)、醫學診斷(medical diagnosis) 與看護、治療或醫療服務管理之規定(provision of care, treatment or management of healthcare services)所要求者。22
6. 涉及重大公益:基於重大公共利益,且對該資料設有安全保護措施者。23
此外,「歐盟個資指令」尚就犯罪紀錄、保安處分與國民身份證號碼之使用規 範,有原則性的規定。24敏感性個資僅符合上述情形時,得蒐集、處理及利用之,
惟我「個資法」所規定之情況,與「歐盟個資指令」類別與數量有顯著之差異,
我「個資法」之規定是否不足,殊值研究。綜上所述,本文研究的第二個問題:「何 時得蒐集、處理或利用敏感性個人資料?」。本文將先討論我「個資法」規定之得 失,並參酌各國立法例之規定,提出修正之建議。
三、蒐集、處理或利用敏感性個資所應遵循之「個人資料保護原則」,與一般個人 資料有無不同?
資料控制人於蒐集、處理及利用敏感性個資時,須遵守個人資料保護原則。25
19 Directive 95/46/EC Art.8.2 (b)
20 Directive 95/46/EC Art.8.2 (d)
21 Directive 95/46/EC Art.8.2 (e)
22 Directive 95/46/EC Art.8.3
23 Directive 95/46/EC Art.8.4
24 Directive 95/46/EC Art.8.5 & 8.7
25 此即資料控制人應踐行之個人資料保護義務,參見 Deryck Beyleveld, An Overview of Directive 95/46/EC in Relation to Medical Research, in THE DATA PROTECTION DIRECTIVE AND MEDICAL RESEARCH ACROSS EUROPE 11 (Deryck Beyleveld et al. eds., 2004); ROSEMARY JAY &ANGUS HAMILTON,DATA PROTECTION:LAW AND PRACTICE 189-190 (2003).
8
所謂個人資料保護原則,一般泛指OECD「個人隱私與跨境個人資料流通保護綱領」
(下稱「OECD 個資綱領」)26中之八大原則,包括「蒐集限制原則」(Collection Limitation Principle)、「資料品質原則」(Data Quality Principle) 等。27近年則以「歐 盟個資指令」之「資料品質原則」與「正當處理原則」(Legitimate Processing Principle) 等較為精簡。所謂「資料品質原則」規定在「歐盟個資指令」第 6 條,各會員國
(亦即資料控制人)應當規定個人資料須:28
1. 合法且公平處理(processed fairly and lawfully)。
2. 蒐集資料之目的應特定(specified)、明確(explicit)、合法(legitimate),且不得使 用於與原始蒐集目的顯不相容(incompatible)之情形。
3. 蒐集、處理資料應適當(adequate)、相關(relevant)且不逾越原始目的(not excessive in relation to the purposes for which they are collected and/or further processed)。
4. 保持資料正確(accurate)、完整(complete)與更新(up-to-date)。
5. 以可得辨識資料主體之格式儲存資料者,其蒐集及處理不逾越原目的之必要 期間(no longer than is necessary for purposes for which the date were collected or for which they are further processed)。
其中,第一項之「合法且公平處理」通常係指「正當處理原則」。該原則規定 各會員國(亦即資料控制人)處理個人資料須符合六種情形之一:29
1. 當事人明確同意
26 OECD Guidelines on the Protection of the Privacy and Transborder Flow of Personal Data § 7
27 此外尚有「目的明確原則」(Purpose Specification Principle)「使用限制原則」(Use Limitation Principle)、「安全保護原則」(Security Safeguards Principle)、「公開原則」(Openness Principle)、個 人參與原則(Individual Participation Principle)與責任歸屬原則(Accountability Principle)。
28 Directive 95/46/EC Art.6
29 Directive 95/46/EC Art.7
9
2. 當事人為訂立契約所必須 3. 資料控制人為履行法定義務 4. 為保護當事人之合法權益
5. 為增進公共利益或為執行法定職務所必須
6. 為維護第三人合法權益,但不得損害當事人自由及人權
個人資料具備上述六種情形之一時,該資料可謂「正當」處理。惟上述個人 資料保護原則類別複雜,先後次序也有所不同。這些原則面對敏感性個資時,是 否有不同程度之放寬或限縮,值得研究。本文欲研究之第三個問題為:「蒐集、處 理或利用敏感性個人資料時,其須遵守之個人資料保護原則,在程度上與處理『非』
敏感性個人資料有何區別?」,本文將檢視公務機關或非公務機關,蒐集、處理或 利用敏感性個資時,應適用之個人資料保護原則。
參、研究方法暨範圍
本研究主要採取文獻分析法,以我「個資法」作為研究基礎架構,參照「歐 盟個資指令」與其他國家之個人資料保護法,例如同屬歐盟成員國之英國、德國,
以及其他非屬歐盟成員國之國家,例如加拿大、澳洲。針對各國個人資料保護法 (Data Protection Act)或隱私法(Privacy Act)中,有關敏感性個人資料保護之法制與爭 議,進行比較與研究,最後參酌我國現行法之規定,提出可能之修正建議。
首先,本文將檢視我「個資法」定義之敏感性個資,並與各國立法進行比較 討論,歸類出基本類型與定義方法,以供參考。次者,本文將針對「個資法」規 定之四種豁免禁止,得蒐集、處理或利用敏感性個人資料之情形,逐次探討其適 用上之疑義。最後,根據「OECD 個資綱領」與「歐盟個資指令」,本文擬定一套
「個人資料保護原則」標準,將依照敏感性個資之「蒐集」、「處理」及「利用」
10
三階段,依次檢視敏感性個資適用「個人資料保護原則」之情形。
肆、研究架構
第一章為「緒論」,介紹本文研究背景與問題意識,說明研究目的與研究方法。
第二章為「敏感性個人資料概念」,分為四節,首先就有關個人資料保護法之相關 概念予以釐清,進而逐次討論敏感性個資之概念沿革與各國立法例,最後整理敏 感性個資之界定方法。第三章為「敏感性個資之蒐集、處理及利用—原則禁止、例 外許可」分為兩節,首先討論敏感性個資之禁止蒐集、處理及利用,進而討論豁 免限制,得蒐集、處理或利用之例外情形。第四章為「敏感性個人資料保護原則」, 根據個人資料之處理流程,即「蒐集」、「處理」及「利用」,逐次檢視公務機關或 非公務機關(資料控制人)於蒐集、處理或利用敏感性個資時,所應遵循之個人 資料保護原則。第五章提出研究發現與我國法之修正建議。
11
第二章 敏感性個人資料概念
本文旨在研究敏感性個人資料(下稱「敏感性個資」)之保護。為易於理解,
茲擬先就「敏感性個人資料之概念」進行探索,並針對各國立法例,歸納出界定
「敏感性個資」之方法,以供參考。由於「敏感性個資」屬於「個人資料保護法」
之領域,討論「敏感性個資」所需要之用語概念,皆與「個人資料保護法」相關,
以下先予釐清。
第一節 相關概念
一、個人資料
我「個資法」第 2 條定義:「個人資料」係指「自然人」之姓名、出生年月日、
國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、
醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及 其他得以直接或間接方式識別該個人之資料。「歐盟個資指令」第 2 條a款定義:
「個人資料」(personal data)係指「任何有關已識別或足資識別之自然人之資訊」;30 所謂「足資識別之自然人」,係指其身份得藉由「身份辨識號碼」(identification number)或「其他相關因素」(例如生理、心理、精神、經濟、文化或社會身份),
30 Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data Art.2(a) (“personal data” shall mean any information relating to an identified or identifiable natural person ('data subject'); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity”). 中譯參照熊愛卿,《網際網路個人資 料保護之研究》,國立台灣大學法律研究所博士論文,附錄(1999 年)。
12
得直接或間接確定者。31如上定義,尚有以下疑義:
1.「死者」之資料屬「個人資料」?
查「個資法」之前身「舊個資法」(84/08/11)對此未明確定義。根據法務部於 2011 年 10 月 26 日公告之「個人資料保護法施行細則」修正草案(下稱「個資法 施行細則草案」),第 2 條定義:「本法所稱個人,指現生存之自然人」,其修正理 由謂:「本法立法目的之一為個人人格權之隱私權保護,唯生存之自然人方有隱私 權受侵害之恐懼情緒及個人對其個人資料之自主決定…」,即認我「個資法」僅保 護「現生存自然人」之資訊隱私權。
此外,查外國立法例,英國資料保護法(Data Protection Act 1998)定義:「個人 資料」係指可得識別之「活人」(a living individual)的資料。澳洲隱私法(Australia Privacy Act 1988)定義:本法所稱之「個人」係指「自然人」(natural person)。澳洲
「隱私官辦公室」(Office of the Privacy Commissioner)進一步認為,所謂「自然人」
應限「活人」(living human)。32綜上所述,我「個資法」雖未明示「自然人」應排 除「死者」,惟根據「個資法施行細則草案」與上開外國立法例,應可認為我「個
31 See id. 已識別或足資識別自然人之「聲音」(sound)或「影像」(image)資訊仍屬「個人資料」,
參見 Directive 95/46/EC Recital 14. 某些國家認為個資以聲音或影像方式儲存者,屬個人資料,
例如葡萄牙、盧森堡及法國。See Douwe Korff, EC Study on Implementation of Data Protection Directive: Comparative Summary of National Laws 14 (Sep. 2002), available at
http://www.garanteprivacy.it/garante/document?ID=455584
32 參見 1 AUSTRALIAN LAW REFORM COMMISSION,FOR YOUR INFORMATION:AUSTRALIAN PRIVACY LAW AND PRACTICE 8.65 & 355-84 (2008). 「澳洲法改會」(Australian Law Reform Commission, ALRC)建議,使用(use)或揭露(disclose)有關「死者」(deceased individuals)之個資,應符合隱私法 之規定。資料控制人(data controller)使用或揭露「死者」之敏感性個資時,應注意資訊之「敏感 性」(sensitivity of information)。
13
資法」所稱之「個人資料」,須為「現生存」自然人之資料,不及於「死者」。
2. 資料持有者「無能力識別特定個人」之資料,屬「個人資料」?
按我「個資法」第 2 條後段定義,「個人資料」須為得「以直接或間接方式識 別特定個人」之資料。資料持有者(個人或組織)主觀上「無能力」(incapable)識 別特定個人時,該資料是否仍屬「個資」,仍有疑義。
有關「個資」之概念,歐盟各國立法例率可分為兩類。第一,規定「個人資 料」須為「得識別特定個人」之資料,無須考量資料持有者之識別能力或識別之 方法;33第二,規定「個人資料」須為「資料持有者有能力識別特定個人」之資料。34
33 例如比利時,規定「以研究為目的」且「可充分辨識」(fully identifiable)、「編碼化」(encoded or pseudonymised)或「完全匿名化」(fully anonymised)之資料,屬於「個資」,無論資料持有者是 否有能力識別特定個人。其他採取類似立場之國家例如丹麥、芬蘭、法國、義大利、西班牙與 瑞典。此定義可避免掛一漏萬,保護範圍較廣。多數國家並參酌「資料之性質」(nature of data) 來判斷「資料主體被識別的可能性」(probability of the data subject being identified)。相關討論參 見 Korff, supra note 31, at 14-16.
34 採取類似立場之國家,例如奧地利、德國、荷蘭與英國,參見前註。此定義可避免擴大資料控 制人之義務。有學者認為,經匿名化(anonymising)之資訊因無法識別特定個人(資料主體),故 不能視為「個人資料」,參見 Carlos María Romeo Casabona, Anonymization and Pseudonymization:
The Legal Framework at a European Level, in THE DATA PROTECTION DIRECTIVE AND MEDICAL RESEARCH ACROSS EUROPE 36, 42 (Dreryck Beyleveld et al. eds., 2004); PHILIP COPPEL,
INFORMATION RIGHTS 5-025 (2007). 此外,匿名化與假名化(psedonymous)並不相同,資料經完全 匿名化後,將無法回溯辨識當事人,故不屬於個人資料,而假名化後,得藉由資料控制人掌握 之關鍵(key)回溯辨識當事人,仍受到個資法之保護,參見 CHRISTOPHER KUNER,EUROPEAN DATA PROTECTION LAW:CORPORATE COMPLIANCE AND REGULATION 2.08-2.10 (2007).
值得注意者,英國法雖認為資料控制人有能力識別特定個人之資料,即屬「個資」,但英國法 院在審理相關案件時,卻限縮上開定義。英格蘭及威爾斯上訴法院(England and Wales Court of Appeal)在 Durant v. Financial Services Authority 案([2003] EWCA Civ 1746, Court of Appeal (Eng.))
14
我「個資法」僅規定「得以直接或間接方式識別特定個人」之資料,為「個資」,
似屬前開第一類情形,惟「個資法施行細則草案」第 3 條但書規定,「以間接方 式識別」35且「查詢困難、需耗費過鉅或耗時過久始能識別特定個人」者,不屬「個 資」,係考量資料持有者,因「能力(辨識技術或辨識效率)不足」,而無法間 接識別特定個人,故將「資料持有者無能力間接識別特定個人」之資料排除「個 資」概念之外,實與前開各國立法例第二類情形相同。
綜上,依我「個資法」與「個資法施行細則草案」之規定,資料持有者(公 務機關或非公務機關)「得以直接或間接方式識別特定個人」之資料,原則上仍 屬「個資」,惟資料持有者係以「間接方式」識別特定個人,且「查詢困難、需 耗費過鉅或耗時過久始能識別特定個人」者,該資料將不屬「個資」。
3. 「統計資料」屬「個資」?
我「個資法」第 2 條定義:「個人資料」係指得以直接或間接方式識別該「自 然人」之資料。記載多數自然人之「統計資料」(statistical data),例如郵遞區號或 各類意見調查,如可以從「統計資料」中識別「特定個人」,該「統計資料」即
認為,上訴人申請之「電腦化文件—尚未經編修之版本」(unredacted versions of the computerised documents)與「手寫文件」(manual records)不屬於「個人資料」。法院認為,僅憑被上訴人(資 料控制人)之資料中記載上訴人,尚不能構成上訴人(資料主體)之個人資料,猶須:1. 有關 資料主體之記載具有「連續相關性」(continuum of relevance),亦即該記載須為「傳記性」
(biographical)之記載;或 2. 得自與資料主體相關之事務中予以識別資料主體,亦即資料記載之
「焦點」(focus)為資料主體,而非他人。
35 所謂「間接方式識別」,依「個資法施行細則草案」第 3 條,指僅以該資料不能[直接]識別特定 個人,須與其他資料對照、組合、連結等,始能識別該特定個人者。
15
屬「個資」。36如僅能識別「一群(個)人」(a group of individuals),則不屬「個資」。 二、(資料之)蒐集、處理及利用
我「個資法」第 2 條將個人資料之「操作」(operations),分為三個流程,依序 為資料之「蒐集」、「處理」及「利用」。37蒐集:「指以任何方式取得個人資料」;38 處理:「指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、
複製、檢索、刪除、輸出、連結或內部傳送」;39「利用」:「指將蒐集之個人資料 為處理以外之使用」。40
有關個人資料之「操作」(operations),各國立法例規範不一,有分為三個流程
「蒐集」(collection)、「處理」(processing)及「使用」(use)者,例如德國聯邦資料 保護法;41有分為「蒐集」(collection)、「使用」(use)與「揭露」(disclosure),例如 澳洲隱私法。42有以「處理」(processing)統稱所有資料之「操作」者,例如「歐盟 個資指令」與英國資料保護法。43本文為求用語精確且符合「個資法」之規範,下
36 一般而言,單純的街景照片通常不會構成個人資料,但有系統蒐集照片再與個人連結,就會變 成個人資料。荷蘭主管機關便認為某公司有系統的蒐集德國街區 360 度數位照片,假如會影響 到個人時,該照片將構成「個資」,例如以此作為課稅依據,參見 Korff, supra note 31, at 16.
37 此概念早年係直接受德國聯邦資料保護法(Bundesdatenschutzgesetz, BDSG)之影響。
38 「個資法」第 2 條第 3 款。
39 「個資法」第 2 條第 4 款。
40 「個資法」第 2 條第 5 款。
41 參見德國聯邦資料保護法 §§ 3(3)(4) & (5).
42 參見澳洲隱私法附表三「國家隱私原則」(Npps)第 1 點與第 2 點。
43 參見英國資料保護法 § 1(1);「歐盟個資指令」第 2 條規定,「個人資料處理」係指對個人資 料所進行之任何或一系列操作,無論其是否以自動化方法進行,例如蒐集(collection)、記錄 (recording)、組織(organization)、儲存(storage)、改編或修改(adaptation or alteration)、回復(retrieval)、
參閱(consultation)、使用(use)、以傳輸或散佈而揭露(disclosure)或以其他使其有效的結合 (alignment)或排列(combination)、封鎖(blocking)、消除(erasure)與破壞(destruction)。其他各國之
16
文概以「蒐集、處理或利用」統稱「個資」之「操作」。
三、資料控制人
各國個資法為徹底落實「個人資料之保護義務」,44率皆定義「保護義務」主 體—「資料控制人」(data controller)之概念。45「資料控制人」係指:決定46資料 處理(processing)之「目的」(purposes)與「方法」(manner)之自然人或機構組織。
我「個資法」自「舊個資法」時期即未採用「資料控制人」之用語,而仿效 德國、奧地利以「公務機關」與「非公務機關」,47作為「資料控制人」。現「個資
規定不及討論,參見湯德宗,〈電腦處理個人資料保護法 2008 修正草案評釋〉,發表於台灣法 學會 2008 年年度法學會議(2008 年 12 月 20 日)。
44 SeeKUNER,supra note 34, at2.20 & 2.25; UK Information Commissioner, DPA: Legal Guidance, para. 2.5., available at
http://www.ico.gov.uk/upload/documents/library/data_protection/detailed_specialist_guides/data_prote ction_act_legal_guidance.pdf
45 例如 Directive 95/46/EC Art. 2(d) & (e); 英國資料保護法 § 1(1).
「資料控制人」概念下尚有「資料處理人」(data processor),指「代表」資料控制人處理資料之 自然人或組織,其係直接聽從資料控制人之命令而進行資料之操作。各國立法例對資料處理人 之規定亦不相同,英國與愛爾蘭規定「受雇人」不得為資料處理人,德國並未直接定義資料處 理人,法國則將資料處理人視為「收受者」(recipient)以外之人,參見 See Korff, supra note 31, at 23-24. 資料「收受者」之概念與「資料處理人」概念顯不相同,為避免資料控制人規避法律責 任與義務,部分國家並未免規範「資料處理人」,而將處理者一律視為「資料控制人」。
46 在「歐盟個資指令」之架構下,尚須判斷「資料控制人」係「單獨或共同」(alone or jointly)作成 決定,蓋「歐盟個資指令」假設「資料控制人」都是一個實體,遇到多重實體時,其責任之歸 屬會產生適用上困難,此時須視各實體之資料庫間是否有「內部連結」(interconnected)與「共享」
(shared),此一「共享」概念與「某團體為了他方利益而向其提供資訊」顯然有別,參見 Korff, supra note 31, at 22-23.
47 參見德國聯邦資料保護法(Bundesdatenschutzgesetz, BDSG)第 2 條;奧地利聯邦個人資料保護法 (Datenschutzgesetz 2000, DSG)第 5 條。
17
法」規定與「舊個資法」相同,「個資法」第 2 條定義:「七、公務機關:指依法 行使公權力之中央或地方機關或行政法人;八、非公務機關:指前款以外之自然 人、法人或其他團體」,意義上等於「資料控制人」。此外,「個資法」第 4 條規定:
「受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍 內,視同委託機關」。受委託之機關無論其地位,於受委託執行「蒐集、處理或利 用」個人資料時,仍該當「資料保護義務」之主體。故,公務機關、非公務機關 或受委託機關,於進行個人資料之「蒐集、處理或利用」時,皆應遵守「個資法」
之規範,履行「資料保護義務」。為行文方便,下文以「資料控制人」統稱「公務 機關」與「非公務機關」。
18
第二節 敏感性個人資料概念之發展
1970年代起,拜資訊傳播科技(Information, Communication Technology, ICT)快 速發展之賜,私人企業開始廣泛使用個人資料,致個人資料遭到誤用之風險日益 升高。481968年,經濟合作暨發展組織(Organization for Economic Co-operation and Development, OECD)乃針對當時之「科技缺口」(Gaps in Technology)召開部長級會 議(Ministerial Meeting),商討對策。49為避免個人資料於進行儲存、傳送、修改與 處理時遭到誤用,而侵害個人利益,各國開始制定相關法規。501970年,德國黑森 邦(Land of Hesse)制定資料保護法(Datenschutzgesetz)51,堪稱今世第一部個人資料 保護法,時僅適用於公部門。52同時期其他較具代表性之立法,例如瑞典資料法53、 美國隱私法54與德國聯邦資料保護法55。
48 See Neil Robinson et al., Technical Report, Review of the European Data Protection Directive, at 6, available at
http://www.ico.gov.uk/upload/documents/library/data_protection/detailed_specialist_guides/review_o f_eu_dp_directive.pdf (2009).
49 See Hans Peter Gassmann, Former Head of the ICCP Division Directorate for Science, Technology and Industrtry, OECD 30 Years After: The Impact of The OECD Privacy Guidelines, Address at Joint Roundtable of the Committee for Information, Computer and Communications Policy (ICCP), and its Working Party on Information Security and Privacy (WPISP) (Mar. 10, 2010), available at
http://www.oecd.org/document/39/0,3746,en_2649_34255_44946983_1_1_1_1,00.html
50 See David P. Farnsworth, Data Privacy or Data Protection and Transborder or Transnational Data Flow, an American's View of European Legislation, 11(4) INT’L BUS.LAW. 114, 114 (1983).
51 Data Protection Act 1970 (Hessisches Datenschutzgesetz). See Godfrey Stadlen, Survey of National Data Protection Legislation, 3(3) COMPUTER NETWORKS 174-186 (1976); Frits W. Hondius, Data Law in Europe, 16 STAN.J.INT'L L. 87, 92 n.10 (1980); ROBERTO J.RODRIGUES ET AL.,THE REGULATION OF PRIVACY AND DATA PROTECTION IN THE USE OF ELECTRONIC HEALTH INFORMATION 76 (2001).
52 See Gassmann, supra note 49.
53 Data Law 1973. 北歐之個資法發展可參見 Lee A. Bygrave, Data Protection Reform in Scandinavia, 5 PRIVACY L.&POL’Y REP.9-12 (1998).
54 U.S. PA 5 U.S.C. § 552a.
55 Germany Bundesdatenschutzgesetz, BDSG.
19
有關敏感性資料(sensitive data)之概念,曾出現在上開德國黑森邦之資料保護 法與瑞典資料法中,56但其年代久遠,文獻多未見詳細討論。多數研究乃以1980 年起的數個主要國際公約作為其概念之濫觴,57茲分述如下。
一、OECD 個資綱領
1980年,經濟合作暨發展組織為保護隱私與個人自由,擬訂「個人隱私與跨 境個人資料流通保護綱領」(Annex to the Recommendation of the Council of 23rd September 1980: GUIDELINES GOVERNING THE PROTECTION OF PRIVACY AND TRANSBORDER FLOWS OF PERSONAL DATA, 下稱「OECD個資綱領」)。
「OECD個資綱領」其最初草案曾定義「敏感性個資」之概念,嗣專家小組(Expert Group)就敏感性個資之認定標準(例如差別待遇的風險(the risk of discrimination))
進行討論後,認為「無法定義普世(universally)的敏感性個人資料」,乃刪除草案之 定義,故後來通過之「OECD個資綱領」中並未明確定義「敏感性個資」。58此外,
有關「敏感性個資」之概念,在「OECD個資綱領」B部分細部評論(detailed comments) 第七段「合法蒐集原則」中有如下記載:59
56 See Spiros Simitis, Revisiting Sensitive Data, Review of the answers to the Questionnaire of the Consultative Committee of the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, at 1, available at
http://www.coe.int/t/dghl/standardsetting/dataprotection/Reports/Report_Simitis_1999.pdf; Karen McCullagh, Data Sensitivity: Proposals for Resolving the Conundrum, 2 J.INT’L COM.L.&TECH. 190 (2007).
57 See McCullagh, supra note 56; Rebecca Wong, Date Protection Online: Alternative Approaches to Sensitive Data, 2(1) J.INT’L COM.L.&TECH. 9 (2007). The developments of the data protection in European before the 1980’s conventions, see generally A. C. Evans, European Data Protection Law, 29 AM.J.COMP.L. 571 (1981).
58 OECD Guidelines on the Protection of the Privacy and Transborder Flow of Personal Data, Part I, para.19 & Part II B. Detailed Comments, para.50.
59 OECD Guidelines on the Protection of the Privacy and Transborder Flow of Personal Data, Part II B.
Detailed Comments, para.50.
20
「第七段討論兩個議題。亦即,(a) 限制資料之蒐集(limits to the collection of data),因為資料處理之方式(manner)、資料之特性(nature)與利用該資料 之情境(context)或其他情形,該資料被視為特別敏感(specially sensitive)。
(b) 有關資料蒐集方法之規定(requirements concerning data collection methods)。關於第一個問題,常有不同意見。有人主張定義敏感性資料類 別是可能且符合期望的,且該資料之蒐集必須加以限制甚或完全禁止,
部分歐洲國家已存有立法先例(例如種族、宗教信仰、刑事紀錄等資料)。 另一方面,有人則主張或許所有的資料,本質上都不具私人性或敏感性,
只有在資料處於特定的情境(context)或使用(use)時,始具備『隱私』(private) 或『敏感性』(sensitive)。60這樣的觀點反應於,例如美國的隱私立法61」。
前揭評論對於應否定義「敏感性個資」一事,提出兩種截然不同的觀點。第 一種是直接定義敏感性個資,並將敏感性個資之概念與「蒐集限制原則」(Collection Limitation Principle)連結,62認為應禁止蒐集「特別敏感」(specially sensitive)之個 資;第二種則將資料視為中性,須依其情境予以判斷是否得予以蒐集、處理之。
第一種見解比較直觀,無須判斷資料使用之情形,只要該資料顯示或記載之資訊,
符合表列種類,即加以限制,此見解影響各國立法,堪稱目前通說。第二種見解 稍微複雜,它先將所有資料定性為「中性」(或無害),僅於該資料被蒐集或處理
60 此見解與釋字 603 號余雪明大法官「部分協同、部分不同意見書」類似(指紋僅為「中性之身 分辨識工具」,且不能因指紋所聯結之資訊本身敏感,而認為指紋亦為敏感性個資。所應禁止 或限制者為該項敏感資訊之蒐集,而非指紋或姓名)。
61 蓋美國法並無統一的敏感性個資定義,而係根據資料處理或使用之性質,分屬不同法規規範,
詳見下節討論。
62 「OECD 綱領」第 7 條規定,個人資料之蒐集應有限制,且僅得以合法且公平之方法獲得,並 通知資料主體或經資料主體之同意。
21
時,才可能對個人隱私造成侵害。該見解常成為反對定義敏感性個資的主要理論。63 雖然「OECD個資綱領」對於OECD各會員國未具有強制性,但該規定仍影響包括 歐盟成員國或是澳洲、紐西蘭、香港以及我國之個人資料保護法。64
二、歐盟「保護個人關於自動化處理個人資料公約」
1981 年,歐洲理事會(the Council of the European Union)65為保護經自動化處理 之個人資料,發佈「保護個人關於自動化處理個人資料公約」(Convention For The Protection of Individuals With Regard to Automatic Processing of Personal Data,
European Treaty Series - No. 108, 下稱「歐盟個資公約」)。「歐盟個資公約」為第 一個定義敏感性個資之國際公約,第 6 條規定:除國內法已提供適當的安全措施 者外,[各締約國]不得對顯示下列內容之個人資料,進行自動化處理:種族、政治 主張、宗教或其他信仰66,以及與健康、性生活與刑事判決有關之個人資料。67「歐 盟個資公約」採用前述「OECD個資綱領」的第一種見解,即直接以「資料顯示或
63 參見本章第四節。
64 See McCullagh, supra note 56, at 190.
65 歐盟理事會之主要職權在於向各會員國匯報並作成政治決策。理事會在兩件事情上影響資料保 護。第一,提供各會員國於行使立法權時之政治討論空間;其次,透過「歐盟個資指令」第 31 條的委員會。理事會同時也建立「工作小組」(working party)來處理資料保護事項。相關討論參 見 KUNER, supra note 34, at 1.11 & 1.12.
66 根據「歐盟個資公約」的「解釋報告」(Explanatory Report),表達政治意見、宗教或其他信念之 活動(activities)屬「敏感性個資」,參見 Directorate General of Human Rights and Legal Affairs, Data Protection: Compilation of Council of Europe texts, para.44, available at
http://www.coe.int/t/dghl/standardsetting/dataprotection/dataprotcompil_en.pdf
67 Convention for The Protection of Individuals with Regard to Automatic Processing of Personal Data Art. 6 [hereinafter Convention 108] “Personal data revealing racial origin, political opinions or religious or other beliefs, as well as personal data concerning health or sexual life, may not be processed
automatically unless domestic law provides appropriate safeguards. The same shall apply to personal data relating to criminal convictions.” (emphasis added).
22
記載之內容」定義敏感性個資,並禁止各締約國68將該種個資進行自動化處理,
除非各國已提供適當保護措施者外。69
用語概念上,「歐盟個資公約」並未使用「敏感性資料」(sensitive data)一詞,
而係以「特種資料」(special categories of data)稱之。但無論哪一種用語,所指涉的 皆為同一概念。另一方面,「歐盟個資公約」第 6 條所指稱之「自動化處理」(processed automatically)與前述「OECD個資綱領」所提之「資料蒐集」(collection of data),
兩者之概念意涵實質上並不相同。蓋根據「歐盟個資公約」第 2 條C款之定義:「自 動化處理」(processed automatically)係包含以自動化方法,全部或部分地儲存數據,
以進行邏輯或數學運算,修改、刪除、回復或散佈資料。70「歐盟個資公約」所規 範者屬資料持有人「取得資料後」所進行之「操作」行為,例如我「個資法」定 義之「處理」及「利用」,而不包括「取得資料前」之操作行為,例如「蒐集」
或「取得」資料。「OECD個資綱領」則建議「直接限制蒐集」,與「歐盟個資公 約」有所不同。
68 該公約原先僅開放歐洲理事會成員國簽署,其他國家須待一定條件下(第 23 條)始能簽署本公 約,故公約最後之簽署國家,並不限於當時歐洲共同體成員國,公約之名稱「歐洲」或可當作 形容詞理解,參見 Colin Tapper, New European Direction in Data Protection, 3(1) J.L.&INFO.SCI. 9, 12 (1992).
69 該公約規定各締約國得根據下列理由,另訂處理特種資料之情形:維護國家安全、公共安全、
國家財政利益或遏止犯罪;保護資料主體或他人之權利或自由,參見 Convention 108 Art. 9(2) (“Derogation from the provisions of Articles 5, 6 and 8 of this convention shall be allowed when such derogation is provided for by the law of the Party and constitutes a necessary measure in a democratic society in the interests of:
a. protecting State security, public safety, the monetary interests of the State or the suppression of criminal offences;
b. protecting the data subject or the rights and freedoms of others”) (emphasis added).
70 Convention 108 Art.2(b) (“automatic processing” includes the following operations if carried out in whole or in part by automated means: storage of data, carrying out of logical and/or arithmetical operations on those data, their alteration, erasure, retrieval or dissemination) (emphasis added).
23
「歐盟個資公約」為國際條約中首次清楚明確定義敏感性個資,71藉此與其他 個人資料加以區別,各會員國並應當透過其國內法採取必要措施。72「歐盟個資公 約」的「解釋報告」(Explanatory Report)73部分同意前述「OECD個資綱領」的第 二種見解(將資料皆視為中性,資料僅於特定「情境」(context)才會對個人隱私造 成侵害),「解釋報告」認為:通常情況下,「資料之內容(contents)」並不會對 個人造成傷害,只有「資料之使用情境(context)」才會對個人造成傷害,但某些特 殊類型資料,其「資料之內容」卻很可能侵害個人權利與利益。「解釋報告」進 一步指出,「歐盟個資公約」所規定之「特種資料」,通常在各會員國內已被認 為係「特別敏感」(especially sensitive)。74至於其「敏感度」(degree of sensitivity),
則須取決於各國的法律與社會環境(legal and sociological context)。75
從字面上觀察,吾人或許會以為前述這兩種概念為相斥關係,但若基於保護 個人資訊隱私與個人資訊自決權之目的,本文認為應可將第一種見解(敏感性個
71 See McCullagh, supra note 56, at 191.
72 Convention 108 Art.4
73 Directorate General of Human Rights and Legal Affairs, Data Protection: Compilation of Council of Europe texts, available at
http://www.coe.int/t/dghl/standardsetting/dataprotection/dataprotcompil_en.pdf
74 See id. para. 43
75 See id. para. 48. 「解釋報告」同時認為:公約所列舉之敏感性個資僅為例示規定,各簽約國仍 得根據公約第 11 條之延伸保護條款,增定其他類別之資料為敏感性個資,例如工會會員資料。
惟近年來,隨著科技持續發展,資料之形式與種類不斷擴張。歐盟針對「歐盟個資公約」之研 究報告遂建議新增「識別號碼」(identification number)與「生物辨識資訊」(biological and biometric data)為敏感性個資,參見 Jean-Marc Dinant, Cécile de Terwangne & Jean-Philippe Moiny, Report on the lacunae of the Convention for the protection of individuals with regard to automatic processing of personal data (ETS No 108) resulting from technological developments T-PD-BUR(2010)09 E, at 9, available at
http://www.coe.int/t/dghl/standardsetting/dataprotection/tpd_documents/T-PD-BUR_2010_09_en.pdf
24
資之「內容」(content)易侵害個人隱私與權利)視為主要解釋,而將第二種見解「資 料僅於特定情境(context)下,始具備敏感性」視為輔助性解釋。立法者應先依第一 種見解,根據資料之「內容」定義敏感性個資;再依照各國社會環境與資料蒐集、
處理或利用之「情境」,擴張或限縮敏感性個資之定義,方為周詳。
最後,由於「歐盟個資公約」僅規定締約國應以「國內法採取必要措施」76來 實現該公約之內容,未強制要求締約國「立法」保護個人資料,77因此使各國個人 資料保護水平差異過大,78是故「歐盟個資公約」並未如期成功提升個人資料之保 護。79
三、聯合國「規範電腦化個人資料檔案指導綱要」
1990年,聯合國發佈「規範電腦化個人資料檔案指導綱要」(Guidelines for the Regulation of Computerized Personal Data Files, 下稱「個資規範」)80。「個資綱要」
捨棄前述「敏感性」或「特種」資料之用語。「個資規範」第五點「非歧視原則」
(Principle of non-discrimination)揭示:資料會造成「非法的」(unlawful)或「恣意的」
(arbitrary)歧視(discrimination)時,應不予處理,包括種族、膚色、性生活、政治主
76 「必要措施」包括得自由選擇以「立法」或「發佈命令」訂之,See id. para 46.
77 Convention 108 Art.4(1). (“Each Party shall take the necessary measures in its domestic law to give effect to the basic principles for data protection set out in this chapter”) (emphasis added).
78 例如當時英國個資法排除保護人工資料,而德國黑森邦之個資法卻包括人工資料。同時,英國 建立起詳細的登記系統制度,其他國家卻無,參見 McCullagh, supra note 56, at 191; Paul M.
Schwartz, European Data Protection Law and Restrictions on International Data Flows, 80 IOWA L.
REV. 471, 478 (1994-1995); Evans, supra note 57, at 579.
79 See id. 2011 年 1 月,歐盟執委會與理事會於布魯塞爾召開會議以紀念該公約簽訂 30 週年。理事 會於會中提議修正本公約以符合科技發展與國際化標準,詳細討論參見 Julia de Oliveira, EU Directive and CoE Convention are being revised in parallel, 109 PRIVACY L.&BUS.INT’L REP. 23 (2011).
80 G.A. res. 44/132, 44 U.N. GAOR Supp. (No. 49) at 211, U.N. Doc. A/44/49 (1989).
