法律觀點-違反個資法,比你想像更容易
依該次修正理由所述,因社會態樣複雜,有些資料雖未直接指名道姓,但一經揭露仍足以識別爲某一特定人,對個人隱私仍會造成侵害,因此在個人資料定義加上「其他得以直接或間接方式識別該個人之資料」的概括規定,以充分保護人格權。因此,依照上開規定,只要足以識別某特定人的資料,就有可能經法律評價爲個資。
但依一般民衆理解,自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況等資訊,因具有隱私之合理期待,不欲爲外人得知,該等資料屬於個資,較無疑義,但條文提及之「社會活動」、「得以直接或間接方式識別該個人之資料」,其意涵爲何,較不明確,導致民衆或企業管理者,恐誤判個資法對個資保護之範圍,不得不提醒留意。
■行動電話號碼屬於個資
以行動電話號碼是否屬於個資爲例,雖有主張,行動電話號碼本身僅系一串數字組合,無特定識別性,非個人資料云云。惟現今民衆已手機不離身,加上行動支付普及,各種商業App盛行,行動電話已與民衆日常生活密不可分,除藝人大S曾因行動電話號碼20年未更換,使許久未聯繫之前男友得以聯絡外,電信業者推出之號碼轉攜服務,使門號經特定民衆長期使用,促成行動電話號碼與個人之高度連結,具專屬性、獨特性,得直接識別出特定個人,故司法實務肯認行動電話號碼屬於個資(臺灣高等法院臺南分院105年度上易字第393號刑事判決意旨),應無疑義。
值得注意的,行動電話號碼所屬的「電信業者別」(如中華電信、臺灣大哥大、遠傳等),是否屬於個資?司法實務認爲,電信業者別是個人電話號碼之附屬資料,得與其他個人資料如姓名、國民身分證統一編號等資料,相互比對、組合、連結及勾稽後,據以作爲「間接識別」特定個人之「社會活動」資料之一,亦屬個資法所定「聯絡方式」之個人資料(臺灣台北地方法院103年度小上字第155號民事判決意旨參照)。即「電信業者別」透由與其他資訊連結,得以「間接識別」方式,推知某特定人使用某電信業者提供之服務,爲該個人之「社會活動」,故電信業者別屬於個資。
■個資認定向客觀說靠攏
此種以「間接識別」特定人「社會活動」,即肯認屬於個資,似有調整過往對於個資認定採主觀說(即視該蒐集者有無可能與所有之其他資訊連結後識別特定個人)的見解,而逐漸與歐盟一般資料保護規範(GDPR)所採取的客觀說(即視該資料客觀上有無可能與其他資料連結而識別特定個人)靠攏,值得觀察。以公司內部分機表爲例,若公司未對外公開,於判斷是否屬於個資層次,因分機表可透由與其他個人資料(如:姓名等)相互連結,而以間接識別方式,得知某人於公司內從事何特定職務之社會活動,採客觀說下,即有認定屬個資之高度可能性。
最後,即便就個資法所稱之個資採取客觀說下,非公務機關符合告知義務、目的原則限制及合法要件等,仍得蒐集、處理及利用。在我國個資法下,最明確的阻卻違法方式,是「經當事人同意」,但應注意目的外利用之同意,係指經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所爲之意思表示;而特種個資之同意並限於書面方式。因此,公司於蒐集、處理及利用個資時,透由專業人士撰擬同意文件,善盡告知義務並取得個資所有人之事前同意,並留下日後可供檢驗之證據,即可避免衍生日後糾紛。