第三章 個人資料保護概念
附屬於個人或因個人所形成之資訊,其具有私密性,因此,資訊自決權從 一般人格中單獨出來,乃為個人資料保護之必然趨勢,以對抗資訊時代中個人 隱私權益和人格受威脅之可能。本章即針對個人資料保護進行研究,分別探討 個人資料保護的意義和目的,並分析美、德、日與我國之法律依據,以瞭解個 人資料保護之相關原則和概念。
第一節 個人資料保護之意義與目的
壹、個人資料保護之意義
因電腦廣泛使用,衍生出許多法律問題,其中最引人關切的,應為個人資 料保護之問題。個人資料應如何予以保護?其法律依據為何?以及不法侵害他 人資料之法律責任?上述問題在資訊時代更顯出其重要性。在資訊快速發展的 衝擊下,固然增加個人運用資料的便利性,惟若將個人資料任意蒐集、傳遞使 用,而無法律明文規範,資料當事人即失去個人資料所擁有的自主權與控制權。
因此,在資訊時代中,個人資料的保護愈顯重要。
資料(data)乃表示人、事、時、地、物或任一活動與事態之真相(fact),
其表現之方式可分為文字、數字或圖形,資料經處理後,即可供作行為及管理 決策所需之資訊(information)。所謂處理,乃對資料加以蒐集彙總,分類整 理、紀錄保管、調用檢索、計算比較及報表分析之總稱。就我國實定法而言,
個人資料係指自然人之姓名、出生年月日、身分證統一編號、特徵、指紋、婚 姻、家庭、教育、職業、健康、病歷、財務清況、社會活動及其他足資識別該
個人之資料而言103。因此,廣義來說,個人資料意指所有和個人相關之資料,狹 義而言,則指個人資料中具社會公開性的部份。由於個人資料經電腦處理後,
可輕易彙整並窺其全貌,故如有濫用或不當利用之情事,將對人民權益造成重 大危害。
個人資料保護之中心意義,是在未通知當事人並獲得其書面同意前,資料
持有者不可以將當事人為某特定目的所提供之資料運用於另一個目的上104,意即 在某個程度上,賦予當事人對其個人資料一定之「控制權」105。所以,個人資料 所保護者,在於個人資料之蒐集或利用,應尊重當事人之權益,不得逾越特定 目的的範圍;而當事人就其個人資料,可行使之權利有查詢及請求閱覽權、請 求製給複製本之權、請求補充或更正權、請求停止電腦處理及利用權及請求刪 除權106。貳、個人資料保護之目的
近代憲法之主要目的乃保障基本人權,基本人權保障是憲法核心部分,國 家秩序維持及政府施政必須以確保基本人權為前提,國家權力機關須受憲法規 範,
不但不能侵犯人權,同時負有落實保障人權的義務107。因此,高度屬人化且已成 為人格一部分的「個人資料」,亦不能任令其商品化或物化,否則將侵犯基本人 權,貶抑人性尊嚴108。
個人資料保護相關議題涉及資訊自決權,易言之,個人資料非經本人許諾,
103 參照「行政程序法」第四十四條規定;「電腦處理個人資料保護法」第三條第一項第一款。
104 參閱王郁琦,美國「電腦比對資料法」之介紹,資訊法務透析,1995 年 10 月,第 43 頁。
105 參閱王郁琦,NII vs.個人資料保護,法律與你,1996 年 11 月, 第 75 頁。
106 參照「電腦處理個人資料保護法」第四條。
107 許慶雄,憲法入門,月旦出版社,1993 年 3 月, 第 48 頁。
108譬如:發行信用卡的銀行,在未經當事人同意之下,把客戶的資料提供給郵購公司謀利;醫 院把產婦資料提供給奶粉業者;學校將學生資料供給補習班,此皆已將人及人格商品化、物化,
侵害人性尊嚴。
不得任意蒐集、儲存、運用、傳遞,若基於公益的理由,必須限制該項權利,
當然需遵循民主法治國之諸多原則109。個人資料保護的目的乃在排除國家機關或 他人對個人資訊自決權非法侵害,亦即人民主張此項權利之目的,乃排除國家、
個人非法侵犯人民權利,若有關個人之資料不當被運用,不只侵犯個人資訊自 決權,對其他基本權利之保障亦有負面影響。學校機關科技化及資訊化之發展,
使學校機關處理資料的能力大幅提昇,相對地,對個人資料之侵害則更易發生,
任何人在其人格的權利被忽視時,若予忍受,則是任其生活上的每個時刻都在 無法的狀態下。因此,個人資料保護之目的為符合憲法保障人民基本權利之要 求。
109 李震山,論資訊自決權,第 709 頁。
第二節 個人資料保護在美、德、日與我國法律上之依據
壹、個人資料保護在美、德、日之相關法律依據 一、美國
對於個人資料之保護,美國法的重點在於「隱私權」,其在司法審判實務上 不乏闡明。美國學者 Samuel D.Warren 及 Louis D. Brandeis 於一八九 O 年發 表之〝The Right to Privacy〞一文中,已明白指出個人就自我思想、情緒與 感情之表達,應受到保障。在個人隱私權保護之領域裡,無論是立法或有關於 隱私權法理論之建立,最有貢獻者為美國法。美國隱私權制定有其歷史淵源,
一九七四年美國爆發水門案醜聞,在有心人士非法潛入民主黨總部竊取情報、
刺探政敵精神治療病歷、查稅打擊異議份子等種種濫用個人資料等醜聞逐一曝 光後,民眾要求改革聲浪漸高。於是,由參議院參議員厄文.斐西(Charles Percy)
及穆斯基(Edmund Muskie)共同提出的第三四一八號法案(S.3418),即受到當 時各界熱烈討論。本法案對個人資料的蒐集與使用予以嚴格規範,且其範圍寬 廣,涵蓋各級政府(聯邦、各州及地方)及私人機構。在管制方面,透過建立具 實權的「聯邦隱私權委員會」(Federal Privacy Board),以監督各機構的資料 蒐集、使用與傳遞,賦予個人資料審閱修正權、要求資料儲存機構在流通資料 時,應預先告知當事人110。
資訊之自動化,已在各國普遍展開,而且其普遍化之程度亦深及生活中之 各領域,而資訊自動化之發展來自美國,隨著資訊自動化之日益普遍,關於個 人隱私所受之損害亦感深刻,故美國法對隱私權保護之研究日感迫切,其對各
110參閱藍培青,隱私權在美國演進歷史之研究,淡江大學美國研究所博士論文,1999 年 6 日,
第 135 頁。
國隱私權立法之影響不可不謂重大111。
美國有關資料之公開、運用與處理等程序係依照「美國聯邦行政程序法」
辦理,該法於一九四六年六月十一日公布施行,其被編入『美國聯邦法典』(The United States Code)第五章與第十章。其中第五百五十二條規定「資料公開」, 係由一九六六年資訊自由法(Freedom of Information Act 1966)所編入;其 中第五百五十二 a 條規定「個人資料保護」,係由一九七四年「隱私權法」(Privacy Act 1974)所編入。
在資訊自由法中,有關隱私權益的保護範圍,其界定通常視某一侵犯行為 是否係「不合理」或「未授權的」;基於這樣的標準,受理公開請求之機關必須 考慮資訊請求者之利益與受侵害者的利益,亦即根據此作一利益衡量。
美國於一九七四年制定「隱私權法」112,旨在加強個人隱私權益之保護,對 於個人資料之隱密或公開,有關行政機關及法定監護人之權責,民事之損害賠 償及刑事制裁,均有規定。
美國隱私權法共計十七條,由於美國隱私權法對歐洲各國資料保護之立法 影響深遠,特列舉其中與資料保護原則有關者,分述如下113:
(一)限制蒐集原則:依隱私權法第 e 條第二項規定:「若依據聯邦計畫而享有 之權利、利益及特權等,使該項資料可能導致產生不利 之決定時,會對某人應儘可能直接向相關的個人予以蒐 集。」另外,對記錄保管機關所能蒐集有關個人資訊之
111 參閱翁岳生,資訊立法之研究,第 74-75 頁。
112 隱私權法共計十七條,其重要內容有:一、適用範圍僅限於聯邦部會以上之人員,而不及於 部會級以下之機構或州政府之各級行政機構。二、資料相關人之權利主張。三、個人資料保護、
使用及流通之限制。四、行政機構確保個人隱私權應負之義務。五、民、刑事責任之論斷。六、
其他規定。
113 參閱許文義,個人資料保護法論,第 170-171 頁;張裕榮,論資訊公開與個人資料保護之界 線~以少年非行資料為中心,中央警察大學法律學研究所碩士論文,2000 年,第 83 頁;劉坤旺,
從憲法觀點論警察處理個人資料法制,中央警察大學行政警察研究所碩士論文,1999 年,第 41 頁;陳秀峰,「日本之個人資料保護制度─兼論歐美之資訊保護法」,憲政時代第十七卷第一期,
1991 年 7 月,第 100 頁。
種類,應加以限制,且規定記錄保管機關蒐集資訊之方 法,必須具備一定要件。
(二)公開原則:在隱私權法第 e 條第三項、第四項與第八項中,均有通知當 事人與應予公告事項內容之規定。個人資料記錄保管系統不 得以秘密之形態而存在,關於其方針、業務系統,應採取公 開政策。
(三)內容正確完整原則:依隱私權法第 e 條第五項規定:「行政機關在對任何 人做決定時,其所運用之檔案紀錄,均應力求保持 正確、合時及完整,以利在其做成決定時,能合理 保證對該個人具有相當之公正性。」同條第六項規 定:「在傳遞任何有關個人之檔案紀錄給行政機關以 外之其他人時,除非該項傳遞是根據第 b 條第二項 之規定,否則行政機關均應從事合理之努力,藉以 保證該項檔案紀錄為正確、完整與合時,且與該行 政機關之目的相關者。」
(四)目的明確原則:依隱私權法第 e 條第一項規定:「任何保存檔案紀錄系統 之行政機關,均應在其檔案紀錄中,僅保存某些相關而 且必要之個人資料,藉以達成國會制定法與美國總統命 令所賦予該行政機關之特定目的。」同條第六項最後一 句規定:「藉以保證該項檔案紀錄與該行政機關之目的相 關」,亦與本原則有關。
(五)限制利用原則:依隱私權法第 b 條第七項規定:「公開檔案紀錄提供予另 一行政機關,或某一可由美國政府控制或管轄而具有政 府性機能之組織,藉供作某項已經法律授權之民事事件 或刑事事件執法活動之用,而該行政機關或組織之主
管,曾向保管該項檔案紀錄之行政機關提出書面之申 請,並特別說明所希望獲得檔案紀錄之特別部分,以及 該項檔案紀錄與該執法活動之相互關連。」同法第 e 條 第四項第 D 款規定:「該項檔案紀錄系統所包含任何一項 對檔案紀錄之例行性使用,包括使用者之種類及使用之 目的,均應通知當事人。」此係對於在記錄保管機關內 對於有關個人資訊之內部使用,加以限制。
(六)安全維護原則:依隱私權法第 e 條第十項規定:「創設適當之行政性、技 術性及物理性之安全措施,藉以保障檔案紀錄之安全性 與機密性,並應防止對這些檔案紀錄安全性及完整性之 任何預期性之威脅或危險,以免對該等資料所記載之個 人資訊,造成相當之損害、不便或不公平之後果。」
(七)個人參與原則:依隱私權法第 d 條規定,個人對檔案紀錄之權利主張,
其中,包括閱覽檔案紀錄、取得該項檔案紀錄之複製本、
更正權等權利。有關自己之資訊為記錄保管機關所保有 之個人,有訂正或修正該資訊內容之權利。而有關自己 之資訊,有可能識別個人之形式,而被記錄保管機關所 保有之個人,有查閱及複印該資料之權利。
(八)責任原則:依隱私權法第 g 條規定「民事責任」與第 i 條規定「刑罰懲 戒」 均為責任原則之具體化。記錄保管組織就其個人資料保 管方針、業務及系統,負有其責任。
(九)提供管制原則:對於記錄保管機關就有關個人資訊所得為之外部提供,
加以限制,且就確定合理且適切的資訊管理方針及業務方 法,以保障該組織對有關個人資料之蒐集。
但因美國隱私權法立法急促、草率,結果在體系、結構上均呈現出弱點與
缺失,依據該法設立之「隱私權保護研究委員會」於一九七七年之報告中指出,
隱私權法並未適度地保障個人以限制政府使用或取得個人資訊之利益,「隱私權 法固然代表向前邁進了一大步,但由其立法史及一般人所期待該法所獲致之成 就觀之,猶不足以認定該法已為公眾提供了普遍之福祉」114。其在立法上的缺失,
分述如下115:
(一)適用範圍:本法雖名為隱私權法,就隱私權保護之立場而言,其適用對 象倍受限制,無形中減少本法功能;本法由於配合「聯邦資訊 自由法」(Freedom of Information Act 1978)之適用,故最 高法院及國會被排除在本法適用範圍之外;而隱私權法所適用 對象僅限於「檔案紀錄(Records)」及「檔案紀錄系統」(System of Record),前者指行政機關所保存屬於某個人之任何單項 性、累積性及組合性之資料,其內容包括「犯罪、醫療紀錄、
手紋、聲音」;後者指任何機關所掌握之資料,得以藉個人之 姓名或身分字號等方法加以檢索之資訊。
(二)依本法規定,得受隱私權法保護之人,不但包括美國之本國人,且包含 經合法允許永久居住於美國之外國人,惟此處所指之人,法人並不在適 用範圍內,資料保護有疏漏之處。
(三)美國隱私權之保護因涉及科技發展,故行政機關以行政規則蒐集個人資 料,有違法律保留精神,實為立法倉卒、粗糙之結果。
隱私權之概念由美國學者提出後,歷經最高法院判例及大法官解釋,隱私 權之發展能適應時代演進,使法律追求公平正義理念得以實現。美國「隱私權 法」制定,對個人資料保護無疑是一項里程碑,更喚起各國對隱私權保護之重 視。陸續立法予以保障。隨著資訊電腦化的結果,個人資料處理電腦化為不可
114參閱洪榮彬,資訊時代之資料處理與資料保護─以德國聯邦個人資料保護法為中心,第 20 頁。
115參閱朱柏松,隱私權概念之衍變及其損害防止立法之動向,第 95 頁。
避免之趨勢,惟電腦及相關網路系統發展一日千里,益發暴露隱私權保護之不 足。美國隱私權法之制定,使民主自由制度下,個人不受干擾之基本權能受保 障,邁向二十一世紀之同時,美國隱私權法之制定具有相當之時代意義116。 然因無法以司法判例來補充「隱私權法」之缺失,於是在一九八七年參議 員科恩提出「一九八七年電腦資料比對和隱私權保護法案」( The Computer Matching and Privacy Protection Act of 1987),以求在「政府效率之合理 需要」及「個人權利」間得到一適當平衡點。基於對個人隱私之保護立場,亦 將保護網路綿密地延伸至個人資訊之保障上,故該法案企圖修改一九七四年的 隱私權法,使個人資料隱私保護立法能跟得上電腦科技之躍進117。
除前述之外,美國其他有關隱私權之立法還包括有「家庭教育權和隱私權 法案」(The Family Educational Rights and Privacy Act) 、「財務隱私 權法」 (Right to Financial Privacy Act of 1978)、「隱私權保護法」
(Privacy Protection Act)、「聯邦有線通訊政策法案」 (The Federal Cable Communication Policy Act)、「受雇人測謊保護法」 (Employee Polygraph Protection Act of 1988)、「錄影帶隱私權保護法」 (Video Privacy Protection Act of 1988)及「駕駛人隱私權保護法」(Driver's Privacy Protection Act of 1994)。而在有關保護電子通訊的隱私權方面,美國國會在一九八六年通過
「聯邦電子通訊隱私權法案」(Electronic Communication Privacy Act of 1986,簡稱 ECPA),內容主要在將一九六八年一般犯罪防制和街道安全法第三 篇的保障擴及新的通訊方式,包括行動電話、電子郵件、電腦資料的傳輸及網 路服務的提供者,而該法也禁止任何人未經授權,非法故意進入電子儲存資料 系統118。
116 參閱劉坤旺,從憲法觀點論警察處理個人資料法制,第 42 頁。
117參閱許文義,個人資料保護法論,第 168 頁。
118參閱簡榮宗,網路上資訊隱私權保障問題之研究,取自於 http://www.cyberlawyer.com.tw/alan4-08_3-2.html,93 年 9 月 8 日。
綜上所述,由於美國法中對於個人資料之保護重點在於隱私權,因此,美 國法的設立,旨皆在於加強個人隱私權益之保護。而在美國法中,較特別之處 在於強調提供管制原則,對於記錄保管機關就有關個人資訊所得為之外部提 供,加以限制。而隨著資訊自動化技術日漸發達,基於對個人隱私之保護,亦 將保護延伸至個人資訊之保障上,以期使個人資料隱私保護立法能跟上電腦科 技之進步。
二、德國
在德國,係由聯邦憲法法院,完成關於個人資料保護具憲法規範性質的確
認 。 雖 然 聯 邦 憲 法 法 院 一 直 到 了 「 一 九 八 三 年 人 口 普 查 案 」
(Volkszahlungsurteil),才正式使用「資訊自決權」此一名詞,不過事實上,
就其內涵而言,早在人口普查案之前,聯邦憲法法院便已經在有關個人隱私權
(Privat-und Geheimsphare)的保護、平衡報導請求權、再社會化權利以及免 於自我責難(Selbstbezichtigung)等有關判決中,提示了資訊自決權的內涵119。
人口普查案的重要性不僅是聯邦憲法法院對於人口普查法的看法,更重要
的是,聯邦憲法法院藉此機會表達了其對於國家資訊處理的原則性意見,並確 立了「資訊自決權」。德國聯邦憲法法院在此案判決中指出,基本法第二條第一 項連結到第一條第一項的一般人格權提供了對此之保障;基於自決之想法可所 得出,個人可以自行決定,何時及於何種範圍內,公開其個人的生活事實。而 聯邦憲法法院在確認資訊自決權的同時,其亦一併提及個人對其切身資料並無 所謂絕對、不受限制的支配權(Herrschaft);所以即便是個人資料,亦屬於社 會事實的寫照;所以在組織及程序的預防上,立法者必須採取比以前防止人民 人格權遭受侵害更多的措施。從而當國家公權力欲對涉及人民資訊自決權的領 域進行規範之際,其除了必須受到法律保留原則,授權明確性原則以及比例原
119 參閱陳東輝,論政府資訊公開與個人資訊自決之衡平,第 126 頁。
則之拘束外,其尚有義務在組織及程序上採取相對應的預防措施,以保障個人 之資訊自決權得以有效發揮其功能120。
在人口普查案前,聯邦憲法法院對於個人私人領域是否受到保障的界定,
僅係以「領域理論」(Spharentheorie)來解決。該理論之出發點即是將個人事 務予以階層化的區分,並使其受到不同程度的保障121;其將受保護的私人生活形 成領域,放置於一個同心圓的模型上,在此模型中,越接近中心的核心部分,
亦即隱密領域(Imtimsphare)的事務,受到的保護越強122。但聯邦憲法法院於 人口普查案中,提到了在綜合性資料系統下,透過個人資料之組合,可以將個 人人格圖像之部分或完整予以呈現,以致會對於個人人格產生威脅。因此原本 無關緊要的一項資料,可能在資料整合之下產生新的價值,所以在此情形下,
已不再有所謂不重要的資料123,由此可見,聯邦憲法法院自此揚棄了以資料本身 作為判斷標準的「領域理論」,而改以資料的使用與結合可能性,來作為決定性 的標準。此後,對於資訊自決權保護範圍的決定性因素,不在於資料內容本身,
非依該資訊出於何領域而定,而是視其與個人之關係124。
德 國 於 一 九 七 七 年 制 定 「 聯 邦 個 人 資 料 保 護 法 」 (Bundesdatenschutzgesetz),在法結構上,和美國法相比,德國法更明確、簡
120參閱蕭文生譯,關於「一九八三年人口普查法」之判決,第 288-328 頁。
121參閱黃越欽,個人資料保護法一奧地利 DSG 之研究,政大法學評論第二十九期,1984 年 6 月,
第 66 頁以下。
122參閱 Bruno/Klein, GG-Komm. , 1999, Art. 2,Rdnr.2c; Schmitt Glaeser,Schutz der Privatsphare, in:Isensee/Kirchhof,Handbunh des Staatrechts, Bd.VI, §129,Rdnr.14.;Pieroth/Schlink,StaatsrechtⅡ,1993, Art. 2Abs. 1,Rdnr.434.;Vgl.Degenhart.Das allgemeine Personlichkeitssrecht Art.2Ⅰi.Ⅴ.mit Art.1IGG,Jus 1992,361;轉引自陳志忠,個人資訊自決權之研究,第 56 頁。此一不同階層的區分,一般分為 私人領域(Privatsphare)、秘密領域(Geheimsphare)及隱密領域(Imtimsphare)三個部分;但亦 有學者將之分為絕對受到保障的隱密領域、在重大公益及比例原則的保護下可以被限制的私人 領 域 、 屬 於 個 人 在 社 會 中 與 他 人 接 觸 而 發 展 , 在 較 少 嚴 格 保 護 下 可 被 干 預 的 社 會 領 域
(Sozialsphare)以及自始即朝向公眾,原則上不存在著任何秘密保護的公開領域。
123BverfGE65,1/45,參閱肅文生譯,關於「一九八三年人口普查法」之判決,第 288-328 頁。
124 參閱 Monika Sulzberger, Datenschutz und Privatfunk,1989,S.37ff;轉引自陳東輝,論政府資訊 公開與個人資訊自決之衡平,第 128 頁。
潔且有條理125,茲將聯邦個人資料保護法之內容分述之126:
(一)該法第一條明白揭示其立法目的,在確保任何個人資料在無其例外 規定之情況下,應避免因被加以輸入、傳遞、變更及銷除(四者合稱資料處理 Datenver arbeitung)而受到濫用、侵害,從而達到維護個人利益之目的。而 個人資料包括由行政機關、其他公務機關及非公務機關,對任何人依上述四種 方式加以處理之任何資料而言。就資料之取得、變更、傳遞、消除而言,德國 法採只要符合法定要件或經當事人書面同意,即得為之。不論進行何種方式之 資料處理,均負有守密義務,為達確保他人隱私之目的,同法第八條規定,應 依科技進步程度(fortschriftliches Verfahren)之設備及處理方式採取必要 因應措施。個人對自己所涉及之資料,應享有權利,本法第四條明白規定有請 求告知權、請示更正權,於資料從知悉是否正確或輸入之資料已無存在之必要 時,有請求封鎖(Sperrung)及消除等權利。
(二)行政機關(Behorden)及其他公務機關(Offentliche Stellen)之 資料處理與個人資料保護:
依本法第二章規定除少數例外,任何聯邦行政及非行政機關、直屬邦法人、
公共設施(Anstalten)、公法上之財團(Stiftungen)均受本法規範。此等機關 人員原則上基於行政需要有蒐集、儲存人民資料之權利,但須於第一次蒐集之 時公告,使相關人知悉其關係資料業已受到蒐集,惟經蒐集之資料,其傳遞除 係同為公務機關者外,應受嚴格限制與禁止(第 11、12 條)。
蒐集資料機關,有必要將蒐集之部分加以公告,期使資料關係人知悉,任 何人亦得請求查詢,行政機關此項告知義務,在若干情況,例如「告知,將危 害輸入機關主管業務之合法執行」,即受到排除(第 12、13 條)。資料如有不正
125 參閱朱松柏,「個人資料保護之研究—近代隱私權概念之形成及發展(下)」,法學叢刊第 115 期,1984 年 7 月,第 97 頁。
126 參閱翁岳生,資訊立法之研究,第 58、74、243、269 頁;轉引自劉坤旺,從憲法觀點論警 察處理個人資料法制,第 52 頁。
確(unrecht)者,行政機關應依職權或依關係人之請求予以更正。
德國資料保護法最大特色,乃資料、隱私保護監督制度之創設,在一般行 政機關之資料處理情形,設有「聯邦資料保護監察官(Bundesbeaufragen),其 他情形設有「資料保護監察人(Beautragen fur Datenschutz」。前者主要職掌 在於,監察一般行政機關是否依本法規定從事資料保護。監察官有調查權、訴 追權、蒐証 權、糾正權及受理申訴之權。監察官亦負有守祕、提出報告、作證、
設置記錄供 查證之義務(17 至 21 條)。
(三)非公務機關(Nicht Offenliche Stellen)為自己目的之資料處理 與個人資料保護:
此處所指非公務機關包括行政機關以外之自然人、私法人、合夥及其他私 法人上之人合公司,這一部分與下面所述者固同其主體,但因處理資料目的不 同,應受規範之義務亦有所不同。此處之資料處理,係基於各機關為自己之營 業目的或營業目標而為,與下列所描述之他人之清況不同。此等機關輸入他人 資料,僅於下列三情況下,始為合法,亦即:1、為其輸入係本諸當事人間之契 約關係,或係本於類似契約之信賴關係而為之者;2、為確保資料輸入人正當利 益所必要者;3、為無足以推定將使資料關係人之利益受到侵害之理由。
在非公務機關處理資料之情形,亦有監察制度之設立,但其設置係附條 件,亦即該機關係屬經常僱用五人以上之工作者,且於開始工作後一個月內,
始有必要以書面設置資料保護監察人,該監察人由於非法定機關,其職權人頗 受限制。(28、29 條)
(四)非公務機關為他人目的之營業性資料處理與個人資料保護:
依聯邦個人資料保護法本章之規定,其適用之對象與第三章相同,惟資料 處理係為他人目的之營業行為,故原則上應有針對此目的而單獨成立之條文,
本章不論在資料之輸入、傳遞及變更,均強調資料關係人應受保護,利益不因 此而受侵害,始為資料處理之合法條件,此與第三章在於強調是否屬於契約關
係或類似契約信賴關係之行為者,有所不同(31 至 40 條)。 (五)罰則:
第四十一條第一項規定,對本法所保護且非公開之個人資料無權者,若有 傳遞或變更之行為,或獲取對外關閉之資料檔者,處一年以下有期徒刑或罰金;
第二項就意圖營利自己或他人或加害於他人之上述行為,加重其刑責為二年以 下有期徒刑或罰金;第三項明定本罪為告訴乃論。第四十二條明文規定故意或 過失違反本法之行為者,予以行政罰處分,最高得處五萬元馬克。
本法於一九七七年公布施行後,引起學者諸多批評並建議修法。在一九八 0 年進行第一次修正,其主要問題包括127:1.保護範圍過於狹隘;2.許可資料處理 條件太廣泛;3.保護個人法益其用語似嫌曖昧。而本法並未定有當事人得請求 損害賠償之條文,由於本法未制定損害賠賞之條文,故只能依一般之損害賠償 原則請求救濟,然依一般原則請求損害賠償時,當事人須証明資料處理者有故 意過失之行為者始能獲得賠償,但其舉証相當不易,造成當事人救濟成效不彰
128。之後,該法為配合歐洲議會對保護個人資料於資訊自由流通之準則,於二 00 一年再度加以修正。此外,鑒於網際網路的普及衍生出許多問題,德國乃於 一九九七年制定「多元媒體法」(Multimediagesetz),藉以規範網際網路行為,
其內容包羅萬象,包含刑法、違反秩序法、散布危害青少年文書法、電信服務 使用法、電信服務資料保護法、著作權法、價格標示法及其辦法等,甚至數位 簽章法都被列在其中,以配合發展資訊與通訊的腳步129。
德國聯邦憲法法院於一九八三年十二月十五日作成人口普查判決,在該判 決中提出「資訊自決權」的概念,承認個人原則上有自行決定其個人生活內涵,
及有關個人資料之使用之權利;而資訊自決權(或資料保護)發展至今,幾已 植根於基本權利之清單中,並已成為諸多實證法的一部分,並進而成為支配司
127 詳閱翁岳生,資訊立法之研究,第 71-74 頁。
128 參閱劉坤旺,從憲法觀點論警察處理個人資料法制,第 53 頁。
129 林安邦,德國「資訊自主權」之概念在我國法律上之應用,第 116 頁。
法實務運作之原則。而德國亦不斷修正現行法律,並陸續制定新法律,以配合 資訊發展的進步,規範更多和電腦使用、網際網路相關的資訊保護問題。
三、日本
在日本現行憲法中,其憲法第十三條規定的「幸福追求權」,強調個人對於 生命、自由及幸福的追求權利。然隱私權是私生活不受侵害或是私人事務不受 報導或公開之自由及權利,而被承認是一種獨立保護之法益,學者將其稱為「新 的人權」,其目的乃為對抗因科技發展所衍生的問題。而尋求法律予以規範,藉 以保護基本人權。
第二次世界大戰後,日本戰敗,憲法因政治因素大幅修改,一九四六年制 定之憲法,一掃絕對主義色彩,揭櫫國民主權、基本人權保障、和平主義和法 治主義四大原則130。日本於第二次世界大戰後,深受歐美人權思想影響,將隱私 權歸納於其民法人格權體系之內,並因科技之突飛猛進,電腦處理個人資料與 隱私權之密切關連,政府逐漸注重隱私權之立法政策,民間團體亦擬據有關之 法律草案,如民社黨於一九八 0 年提出之「隱私權保護法」及「公文書公開法 案」,社會黨於一九八一年提出「資訊公開法案」,以及自由人權協會所提出之
「資訊公開模範條例」等草案,足見其資訊立法之趨勢131。
日本國會於一九八八年十二月十八日公布通過「行政機關個人電腦資料保 護法」(行政機關の保育する電子計算機處理に係る個人情報の保護に関する法 律),其主要內容依據經濟合作開發組織之「有關個人資料之國家流通及隱私權 保護準則」之八大原則,共分四章。第一章為一般規定(第一條至第三條),第 二章為電腦處理個人資料(第四條至第十二條),第三章為已處理資料之公開與
130 許志雄,戰後日本行政法學之發展─以方法和對象之論爭為中心,東海法學論叢第三期,1987 年 8 月,第 60 頁。
131 參閱宇賀克也,個人情報保護法案の檢討,法學教室二五 0 號,2001 年 7 月,第 7 頁;轉 引自張裕榮,論資訊公開與個人資料保護之界線~以少年非行資料為中心,第 88-89 頁。
更正(第十三條至第十九條)與第四章為其他規定(第二十條至第二十七條),另 有補充規定(計三條,內容分別為:生效、過渡規定與該法不罰適用範圍),共 計三十條132。
日本「行政機關個人電腦資料保護法」中所規定之原則有:
(一)限制蒐集原則:依該法第四條第一項規定,行政機關僅為達成其法定任 務必要與確實為此目的時,始得建立個人資料庫。
(二)內容完整正確原則:依該法第十七條規定,當事人得提出書面申請,對 已遭處理之資料予以更正。
(三)目的明確原則:依該法第四條第一項規定,須為達成行政機關法定任務 之目的,始得建立個人資料庫。
(四)限制利用原則:依該法第九條規定,限制利用與已處理資料之提供。
(五)安全保護原則:依該法第五條規定,個人資料之安全確保。
(六)公開原則:依該法第八條規定,個人資料庫之公開登錄,第十三條規定,
已處理資料之公開。第十四條規定,已處理資料之不公開,
第十五條規定,公開之時間限制等。
(七)個人參與原則:依該法第七條第一項規定,對於個人資料庫索引,得公 開閱覽之。
(八)責任原則:依該法第十條規定,接收者之義務,須採取必要措施。第十 一條規定,被委託者以電腦處理個人資料之義務,與第十二 條規定,行政機關或被委託者之職員以電腦處理個人資料義 務等,均與責任原則有關。
如今在日本學界大多認為,為確保施政之遂行而對國民個人資料之收集、
保管及利用仍不能有害於個人生活之平穩及自我決定權,從而保障國民關於自
132參閱陳秀峰,日本之個人資料保護制度一兼論歐美之資訊保護法,憲政時代第 17 卷第 1 期,
1991 年 7 月,第 107 頁以下。
己情報之控制權,即成為情報化先進之行政國家所特有之情報隱私權133;而且,
在日本隱私權雖非其憲法第十三條所明文規定,但學說上對關於 「自己資訊操 控權」(自己情報コントロール)134,「控制自己情報」之隱私權益多廣泛加以承 認。同前第二章第二節中所述,所謂「資料自行決定權」,依日本學者松井茂記 之見解,應包括:一、有關個人資料之蒐集、貯存、使用、傳遞等之控制權,
亦即本人應得就其相關個人資料加以支配。資料之蒐集、使用、貯存、傳遞原 則上應得當事人同意,此蒐集並應以符合政府必要且重大之利益,並以對人民 權利侵害最小之方式行之;且資料之貯存、使用、傳遞則須符合當初蒐集之目 的。二、當事人對自己被蒐集之資料應有閱覽、繕寫之權利,對於不全、錯誤 或逾時之資料得要求加以更正;而已失去蒐集目的或非法取得及有致當事人人 身或財產利害受損之虞者,得請求銷毀。由此可見,資訊自決權之概念與理念 在日本早已生根發芽。
而日本於二 000 年由行政機關彙整出「個人情報保護基本法制大綱」
,該大綱內容第一條開宗明義指出,本法制定之目的係為因應高度資訊社會之發展與 擴大個人資訊之利用,規定作成個人資料之正當蒐集、基本原則、基本方針及 其他個人資料保護之相關政策等基本事項,並明確規定國家及地力自治團體之 責任與個人資料處理機構之義務,以符合個人資料有用性,進而達成保護個人 權利之目的。該大綱內容之基本原則有135:一、人格尊重理念:個人資料應在人 格尊重之理念下慎重處理,並對於個人資料之處理明示應遵守之基本原則,另 對個人資料蒐集處理之正當程序加以強調。二、利用目的之限制:個人資料利 用之目的必須明確,必須在該目的達成之範圍內方得蒐集處理。三、正當取得
133詳閱中川剛,基本的人權の考かぇ,有裴閣,1991 年 8 月,第 86 頁;轉引自陳東輝,論政府 資訊公開與個人資訊自決之衡平,第 125 頁。
134參閱林素鳳,日本個人資料保護之法制化,收錄於黃宗樂教授六秩祝賀─公法學篇(一),學 林文化,2002 年 5 月,第 117 頁。
135參閱陳秀峯,日本個人資訊保護法制─以個人資訊保護法為中心,成大法學第 4 期,2002 年 12 月,第 102 頁。
原則:個人資料必須以合法正當之方式取得。四、正確性之確保:個人資料必 須在達成其利用目的之必要範圍內,保持資料內容之正確及更新。五、安全性 之確保個人資料之收集處理,必須其有防止其遺漏、滅失、毀損及其他安全管 理上之必要措施。六、透明性之確保:個人資料之收集處理必須本人得以適切 參與。
有關個人資料之保護,日本雖已於一九八八年十二月制定了「行政機關個 人電腦資料保護法」,惟國會於審議該法過程中,即以作成相關附帶決議,要求 政府盡快檢討,以制定不僅限於電腦資訊之所有資訊,故由行政機關於二 000 年制定「個人情報保護基本法制大綱」,比較上述二者之立法內容,雖幾乎大同 小異,但其擴大了個人資料保護的範圍,對於個人資料保護之立法,可謂又向 前跨了一大步。然為整合行政機關與民間機構對於個人資料保護之處理,日本 內閣會議以「個人情報保護基本法制大綱」為基礎,於二 OO 一年三月二十七日 向國會提出「個人資料保護法案」,該法於二 00 三年通過,共計六章五十九條,
第一章為總則,揭示立法之目的,並針對本法條文中之用語加以定義,界定所 保護個人資訊之範圍;第二章則分項列舉處理個人資訊之基本原則;第三章規 定國家及地方公共團體為保護個人資訊有實施必要措施之責任,亦即政府應修 正現行行政機關個人資訊保護法,以符合本法案之基本原則。第四章規定政府 有於聽取國民生活審議會之意見後,制定保護個人資訊基本方針之義務,為協 助地方公共團體制定或實施保護個人資訊之政策,及輔導國民或企業等採取適 當且有效行動以確保正當處理個人資訊,國家應提供資訊、制定方針、措施等 以為支援。此外,企業與資訊本人間因個人資訊之處理發生紛爭時,國家應適 當且迅速地採取必要措施以為解決。而法案中亦規定地方公共團體也有施行前 述所定必要措施之義務。此一法律賦予企業保護個人情報的義務,俾謀求個人 隱私可確切獲得保障。
資訊自決權之概念與理念在日本早已生根發芽,日本在其法律中,強調透
明性之確保,亦即本人得以適切參與個人資料之蒐集處理。有關個人資料保護 之相關法律,日本於一九八八年十二月制定了「行政機關個人電腦資料保護 法」,然為整合行政機關與民間機構對於個人資料保護之處理,在二 OOO 年,日 本內閣會議以「個人情報保護基本法制大綱」為基礎,於二 OO 一年三月二十七 日向國會提出「個人資料保護法案」,此法於二 00 三年通過,以謀求個人資料 保護可獲得確切保障。
貳、我國憲法及法律有關個人資料保護的規定 一、憲法規定
我國憲法與其他國家相似,雖然對「隱私權」並未有明文規定,在文字描 述中亦未提及,但對於人身自由(第八條)及通訊祕密(第十二條)等隱私相關 權利,在憲法中予以明文保護。
德國及日本憲法均明文規定「人性尊嚴不可侵犯」及「尊重國民生命、自 由及追求幸福之權利」。我國憲法雖未有類似規定,但揭櫫憲法第十二條規定:
「人民有祕密通訊自由」以觀,實寓有保障人民資訊權生活之意義。
就祕密通訊自由而言,法條文不為人民有祕密通「信」之自由規定,而規 定祕密通「訊」之自由,即並非取狹隘之意136,凡任何個人內部信息來往(internal communication),例如書信、電話、電報或其他傳達訊息之方法,皆有本條之 適用137。但若欲「祕密通訊自由」之規定涵蓋資訊社會中控制關於自己資料,為 憲法上之依據實有所不足。
我國憲法對於秘密通訊之自由,已於第十二條予以明文承認並提供保障,
但其與人格利益、個人自主有密切關連,且為隱私權衍生之權利,對與隱私權
136 參閱林紀東,中華民國憲法逐條釋義(一),三民書局,1987 年 3 月增訂三版,第 160-161 頁。
137 參閱朱松柏,個人資料保護之研究(上),法學叢刊第 114 期,1984 年 4 月,第 78 頁。
相關之生活利益,應如何從憲法的觀點提供適當的尊重及保護,在我國學界及 實務界一般理解中,乃透過憲法第二十二條基本權利概括條款之解釋與適用予 以處理。隱私權及資訊自決權雖非我國憲法明文所保障之權利,依憲法第二十 二條立法意旨觀之,正當之隱私權及資訊自決權之行使,不但不妨害社會公共 利益,且為人性尊嚴及追求幸福之具體實現。憲法第二十二條規定:「凡人民之 其他自由及權利,不妨害社會秩序公共利益者,均受憲法之保障。」本條之規 定,依一般學說之見解,係屬人民基本權利保障之補充規定,以概括規定之形 式補充憲法本文中對明文列舉之基本權利在隨時代變遷或制憲時可能脫漏之不 足138。
依我國憲法規定,司法院解釋憲法,並有統一解釋法律與命令之權(第七十 八條)。不僅法律與憲法有無抵觸發生疑義時,應由其解釋(第一七一條第二 項),當命令與憲法有無抵觸,以及地方自治法規與憲法有無抵觸時,亦應由其 解釋(第四條與第一七三條),基此,我國憲法以司法院為「憲法之維護者」(Huter der Verfassung)應無疑問139。目前司法院大法官會議解釋,與個人資料保護較 相關者共計二號解釋:釋字第二九三號解釋及釋字第三九九號解釋,茲分述如 下:
(一)釋字第二九三號解釋:
司法院大法官會議於民國八十一年三月十三日公布第二九三號解釋,其內 容如下:「銀行法第四十八條第二項規定銀行對於顧客之存款、放款或匯款等有 關資料,除其他法律或中央主管機關另有規定者外,應保守祕密,旨在保障銀 行之一般客戶財產上之祕密及防止客戶與銀行往來資料之任意公開,以維護人 民之隱私權。惟公營銀行之預算、決算依法應受議會之審議,議會因審議上之 必要,就公營銀行依規定已屆逾期放款,除收回無望或已報呆帳部分,仍依現
138 參閱林紀東,中華民國憲法逐條釋義(一),第 333-334 頁。
139 參閱翁岳生,行政法與現代法治國家,台大法學叢書(二),第 480 頁。
行規定處理外,其餘部分,有相當理由足認其放款顯有不當者,經議會之決議,
在銀行不透露個別客戶姓名及議會未公開有關資料之條件下,要求銀行提供該 項資料時,為兼顧議會對公營銀行之監督,仍應予以提供。」
本號解釋之意義,主要在於隱私權首次透過大法官之解釋,而獲得憲法層 次之肯認,而具有憲法上基本權利之地位,雖然在本號解釋中,隱私權之意義,
概念範圍及法源等問題都未獲得解決,甚至未提及,但從大法官會議解釋文中 確立隱私權具有憲法地位而言,實已創設出憲法未明文規定之基本權利,對於 解釋基本權利發展邁出巨大一步。
關於本件爭議,大法官會議於釋字第二九三號解釋文中,首先闡明銀行法 第四十八條第二項規定,其立法意旨即在保護人民之隱私權。本件解釋,有下 列幾點值得討論:1、大法官會議解釋文首次揭示隱私權概念,並認為其應受保 障,藉以充實憲法基本權之內容,體察隱私權重要性,具相當時代意義。2、解 釋文中採不同意見之大法官亦肯定隱私權應予保護,肯認『此項法律所規定保 守銀行祕密之隱私權亦為人格權之一種』,並指出其憲法上之依據為第二十二 條、第二十三條,足見隱私權為我國憲法所保障之權利,已形成共識。3、隱私 權應受保障固無疑義,但基於公益之理由,在一定條件下仍可限制之。4、本件 解釋中有關隱私權之性質仍屬消極防衛權,對於「資訊自決權」之概念尚未提 及140,然「資訊自決權」之概念發展現已有結果,以達到落實與保障人格權之目 的。
(二)釋字第三九九號解釋:
司法院大法官會議於民國八十五年三月二十二日公布第三九九號解釋,其 內容如下:「姓名權為人格權之一種,人之姓名為其人格之表現,如何命名為人 民之自由,應為憲法第二十二條保障。姓名條例第六條第一項第六款規定命名 文字字義粗俗不雅或有特殊原因經主管機關認定者,得申請改名,是有無申請
140 參閱劉坤旺,從憲法觀點論警察處理個人資料法制,第 59 頁。
改姓名之特殊原因,由主管機關於受理個別案件,就具體事實認定之。姓名文 字與讀音會意有不可分之關係,讀音會意不雅,自屬上開法條所稱得申請改名 之特殊原因之一。內政部中華民國六十五年四月十九日台內戶字第六八二二六 六釋『姓名不雅,不能以讀音會意擴大解釋』,與上開意旨不符,有違憲法保護 人格權之本旨,應不予援用。」
本件解釋乃大法官透過憲法第二十二條對基本權利所為之解釋,憲法第二 十二條本身文字敘述並無法得出任何有實質積極意義的判準,以決定何種利益 能成為基本權利,而是透過釋憲者藉由解釋憲法方式,以個人主觀價值判斷,
自行決定某種特定利益能否成為基本權利。隱私權在我國法制發展,大法官會 議解釋利用憲法第二十二條概括權利規定,而為隱私權之解釋,使得憲法由法 官決定,成為法官憲法(Richterverfassungsrecht)141。
二、電腦處理個人資料保護法
(一)電腦處理個人資料保護法內容簡介
「電腦處理個人資料保護法」針對個人資料自決權保護為本法之立法主 旨,其課予政府主管單位對各資料持有機構之監督責任外,並明白賦予個人控 制其自身資料之權利,此權利實可謂「資訊自決權」之具體實現。
我國為配合資訊國際化、現代化目標,促進經濟成長及產業昇級,全面推
動行政電腦化。惟公務機關行政資訊化之結果,民眾基本資料被政府及民間企 業之資料庫毫無遺漏蒐集,極易對基本權利造成侵害。政府體認個人資料保護 法制建立之重要性,因此蒐集各國立法相關理論、實務資料,並邀集學者、專 家及各機關代表舉行座談會,廣泛聽取立法意見,於民國八十一年五月中旬,完成「個人資料保護法草案」初稿,廣徵各界意見作為草案修改參考,行政院
141 參閱劉坤旺,從憲法觀點論警察處理個人資料法制,第 60 頁。
於八十二年一月正式向立法院提出「電腦處理個人資料保護法草案」,經朝野政 黨協商,於八十四年八月十一日經總統公布施行「電腦處理個人資料保護法」
(以下簡稱電資法),對我國個人資料於電腦處理之保護,加以明文規定。
而該法之施行細則,則係於民國八十五年五月一日經法務部公布施行。為 進一步釐清適用上的疑義,法務部、財政部、經濟部、教育部、交通部、行政 院新聞局與行政院衛生署共同於民國八十五年八月七日公佈「電腦處理個人資 料保護法之特定目的」與「電腦處理個人資料保護法之個人資料類別」,對所應 適用該法之特定目的與研究蒐集之個人資料類別,作明確之規定。
我國電資法結構與德國聯邦個人資料保護法類似,共分為六章。第一章為 總則,規定本法之立法目的,在於為規範電腦處理個人資料,以避免人格權受 侵害,並促進個人資料之合理利用;第二章規定公務機關資料處理的要件,包 括公務機關對於個人資料之蒐集或電腦處理;第三章規定非公務機關對於個人 資料處理的合法要件;第四章係規定當事人,對於違反本法規定之公務或非公 務機關的損害賠償請求權及其他救濟途徑;第五章係規定罰則;第六章為附則。
綜觀我國電資法,可以看出我國電資法在立法當初,雖已洞燭機先看出資 訊發展快速,針對以電腦設備進行個人資料蒐集、處理行為,予以立法規範,
但是網際網路應用發展迅速,至今網際網路環境早已自成另一體系,與舊有觀 念單純以電腦設備加強處理效率之著眼點已有不同,訊息交換便利快速、互動 回應之角色早已取而代之,爾後將要面臨的可能是以網際網路為體系之個人資 料收集及管理。而我國之電腦處理個人資料保護法中,似乎欠缺「透明性」確 保之部分,是立法疏漏或有意省略不得而知。該項原則在個人資料保護上佔有 相當重要之地位,例如我國電腦處理個人資料保護法第十條第三款將個人刑事 資料列為不公告之事項,若個人無法參與知悉其本人資料,恐將有疏漏或錯誤 之虞,在我國標榜注重程序正義之時,似有應修法改進之處。
(二)現行法內容評析
電腦處理個人資料保護法,全法共六章四十五條。雖然本法在適用範圍上
僅限於電腦處理個人資料的情形,其他以人工方式的個人資料處理則未為其效 力所及,是為本法作為我國目前個人資料保護法制上主要規制的一項缺失。不 過由於目前大多數的個人資料處理,均係透過電腦為之,且經電腦處理之個人 資料,較一般處理情形更易侵害個人權益,所以其保護較迫切。然較有爭議之 處,在於本法對於非公務單位之適用上,依本法第三章以下之規定,只有徵信 業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業受到本法的 規範,其他不在此規定的行業除非經法務部會同目的事業主管機關指定(第三條 第七款(三)),否則不受本法之規範,因此即可能發生疏漏。因此在現行法下,法務部及各目的事業主管機關應隨時注意,即時指定142。其次,對於各種不同的 個人資料,其在資料處理過程中所可能面臨的風險程度不一,對於不同風險的 個人資料亦應分別給予不同密度的保護,例如對於個人婚姻與性關係之資料、
健康資料或有關精神思想的資料等,就其在資料蒐集、處理及使用的合法要件,
以及相應之資料保全義務上,均應高於一般個人資料的處理。
以下,試分析個人資料保護應有之具體內容,並就我國電資法之相關規定 做評析143。
1、資料保護之主體:
電腦處理個人資料保護法所應保護之權利主體,應以自然人為限,或及於 法人?一般而言,自然人之個人資料應受保護較無爭議,亦即,自然人應屬個人 資料保護之主體。依現行法第二條規定:「個人資料之保護,依本法之規定。但 其他法律另有規定者,依其規定。」同法第三條第一款規定:「個人資料:指自
142 參閱陳家駿,淺談電腦網路上隱私權之保護,月旦法學雜誌第 23 期,1997 年 4 月,第 72 頁。
143 參閱黃三榮,個人資料之保護─兼評我國電腦處理個人資料保護法,第 43-51 頁;劉坤旺,
從憲法觀點論警察處理個人資料法制,第 62-65 頁。
然人之姓名、出生年月日、身分證統一編號、特徵、指紋、婚姻、家庭、教育、
職務、健康、病歷、財務狀況、生活活動及其他足資識別該個人之資料。」足 見本法所保護之主體限於自然人所擁有之資料,至於法人資料不在此限。
對於法人資料是否應立法保護,有不同看法。認為法人資料應立法保護,
但並非合併在個人資料保護立法中,其理由大致如下:(1)法人非憲法體系所 保障之基本人權主體,其本質與自然人所享有隱私權內涵並不相同。關於此點,
研究者以為,惟資訊時代法人資料受非法侵害之可能性,可謂與自然人不相上 下,故法人資料應受立法保護。(2)經濟合作及發展組織所揭示之八項個人資 料保護原則,係基於保護個人之隱私權而生,與法人資料之保護無關,故此八 項個人資料保護原則,未能適用於法人資料之保護。(3)法人因涉及商業行為 及營業秘密,基於商業公開經營與交易安全,若將法人資料保護與個人資料保 護同置於相同之法律體系,兩者易生適用上之困擾,因此法人資料保護應另以 一獨立之法律體系予以規範。
其次,前述「自然人」或「法人」是否包括「外國自然人」及「外國法人」,
亦值加以探究。按各國對於外國人人權中隱私權之保障,已逐漸朝向平等主義 而捨互惠主義144,然資訊自決權既屬私權之一,故外國自然人亦應屬個人資料保 護法之受保護主體,以求個人充分受到保障。
2、受保護之資料內容:
依該法第一條規定:
「為規範電腦處理個人資料,以避免人格權受侵害,並促進個人資料合理利用,特制定本法。」第三條第三款規定:「電腦處理:指使 用電腦或自動化機器為資料之輸入、儲存、編輯、更正、檢索、刪除、輸出、
傳遞或其他處理。」從法律之規定,資料保護僅限經電腦或自動化程序處理者。
而不及於人工或半自動化之處理。惟實務運作上,資訊自決權之侵害不限於自
144 參閱馬漢寶,國際私法總論,著者自刊,1986 年 7 月 9 版,第 158-160 頁。
動化資訊處理始有可能,依人工或半自動化方式從事資料處埋,亦可能致他人 權利遭受侵害,故條文應增訂關於非自動化資料處理資料相關規定,對資料保 護方可稱周延。
關於個人資料,有將關於個人身心之基本資料,如人種、個人之思想、政 治或宗教信仰、精神等資料,稱為「隱私權之固有資料」,除此以外,敏感性較 低資料,稱為「隱私權之外延資料」145,前者即所謂「敏感性資料」。我國「電 腦處理個人資料保護法」就個人資料之定義依第二條第一款規定係指:自然人 之姓名、出生年月日、身分證統一編號、特徵、指紋、婚姻、家庭、教育、職 業、健康、病歷、財務狀況、社會活動及其他足資識別該個人之資料」,可見我 國現行電資法,所指之「個人資料」範圍甚廣。然我國未有將個人資料區分是 否為「敏惑性資料」之規定,是否妥適,當有待多方深入探究。
3、資料處理之主體:
不論是「政府部門所保有之資料」,或「民間部門所保有之資料」,均應為受 電腦處理個人資料保護法所保護之對象。而我國電腦處理個人資料保護法規 定,不論公務機關及非公務機關均受該法之規範,而將「政府部門所保有之資 料」及「民間部門所保有之資料」均納入受保護之對象。
該法第二章及第三章分別規定公務機關與非公務機關之資料處理,該法將 公務機關與非公務機關均納入規範之列。然除日本及美國立法例以公務機關為 限外,各國立法例大多將公務機關與非公務機關一併列入規範。本法將公務機 關與非公務機關均列入規範立法例,與絕大部份立法例相同,且將二者一併納 入立法規範,易收統一適用且體系明晰之效。然本法中關於非公務單位之適用 範圍,依本法第三章以下之規定,只限於徵信業、醫院、學校、電信業、金融 業、證券業、保險業及大眾傳播業等八大行業,其他不在此規定的行業,除非
145 轉引自黃三榮,個人資料之保護─兼評我國電腦處理個人資料保護法,第 45 頁。
經法務部會同目的事業主管機關指定,否則不受本法之規範,因此即可能發生 疏漏,導致個人資料遭受侵害,是值得注意之處。
4、資料蒐集、處理與利用之許可條件:
依該法第六條、第七條、第八條、第二十三條、第二十四條,分別就公務 機關與非公務機關許可條件予以明定,原則上尊重當事人權益,依誠實信用方 法,且不得逾越特定目的之必要範圍。除本法或其他法令有特別許可之規定,
或當事人書面同意或對當事人權益無損言者外,不得任意為之。
各國立法例就此等許可條件,均以法律明文定之,當事人同意或其他經權 衡公益與私利後為之特別許可為蒐集條件,為基本原則。惟本法對資料蒐集、
處理及利用條件規定太過簡略,在實務判斷上易生困擾,應充實其規範內容以 利適用。
5、個人資料安全維護與正確性確保之規制:
維護及確保個人資料之安全,應於電腦處理個人資料保護法中加以明文規 定,以落實安全保護原則。該法第十七條及第二十六條第一項,分別規定公務 機闆及非公務機關關於個人資料安全維護確保之義務等。惟事實上,個人資料 之安全確保,自資料開始蒐集即應進行,而非自個人資料被蒐集為個人資料檔 案後,才開始保護。
對於建立及保有個人資料檔案,依前述資料內容正確性原則,可知個人資
料須維持確保其正確性。故該法中對如何確保個人資料正確性,自當有所規制。依該法第十三條第一項:「公務機關應維護個人資料之正確,並應依職權或當 事人之請求適時更正或補充 之。」及第二十六條規定:「第十二條、第十三