在工作中所經手的客戶資料,可以出售給其他廠商嗎?與他人發生爭執,可以將他人的姓名、電話等資料任意上傳至Facebook(臉書)或LINE群組嗎?上述行為,都有可能因違反個人資料保護法的相關規定而需負擔刑事及民事責任,因此需要先知道個人資料的定義,還有判斷標準。(見圖1)
一、個人資料的定義
「個人資料」的定義規定於個人資料保護法第2條第1款,是指「自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料[1]」。
二、其他得以直接或間接方式識別該個人之資料
(一)個人資料保護法2008年修法時新增的原因
上述規定所例示的個人資料,如姓名、出生年月日、身分證字號等,為日常生活中經常被蒐集、處理及利用的個人資料,從字面上就可以理解,但因為社會態樣複雜,有些資料雖未直接指名道姓,一經揭露仍足以識別為某一特定人,對個人隱私仍會造成侵害,立法者在修法時就在個人資料的定義加上「其他得以直接或間接方式識別該個人之資料」的概括規定,以充分保護個人的人格權[2]。
(二)得以直接方式識別該個人之資料
所謂「得以直接識別特定個人之資料」,是指透過該資料本身,就可以直接連結至特定個人,不需要搭配其他資料,例如法院實務認為,「行動電話號碼」對於使用人有專屬性及獨特性,因此行動電話號碼應屬於個人資料保護法第2條第1款所保障的「得以直接方式識別之個人資料」[3]。
(三)得以間接方式識別該個人之資料
而「得以間接方式識別該個人之資料」,是指除了這個資料以外,必須再與其他資料相互「對照、組合、連結」,才可以識別出是屬於特定個人的資料[4]。舉例而言,法院實務認為行動電話號碼所屬的「電信業者別」(如中華電信、遠傳電信等電信業者的名稱),可以與其他個人資料如姓名、身分證號碼等資料,相互「比對、組合、連結及勾稽」後,據以作為間接識別特定個人的社會活動資料之一,故屬於個人資料保護法所保護的個人資料[5]。
三、小結
依個人資料保護法目前的規範方式,除了第2條第1款所例示的資料類型外,要判斷一份資料是否為個人資料,並無一致性的標準,只能在個案中從蒐集者本身綜合各種情況與事證加以判斷到底能不能直接或間接識別出特定的個人[6],對於不同蒐集者而言,在不同的情境下,就可能會產生不同的判斷結果。
因此,建議資訊蒐集者在蒐集資訊前先瞭解個人資料保護法的相關規範,並諮詢相關專家學者,以避免可能發生的訴訟或糾紛。
註腳
- 個人資料保護法第2條第1款:「個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。」
- 立法院(2008),《立法院公報》,第97卷第48期,頁122-123。
- 臺灣高等法院臺南分院105年度上易字第393號刑事判決參照。
- 個人資料保護法施行細則第3條:「本法第二條第一款所稱得以間接方式識別,指保有該資料之公務或非公務機關僅以該資料不能直接識別,須與其他資料對照、組合、連結等,始能識別該特定之個人。」
- 臺灣臺北地方法院103年度北小字第1360號小額民事判決、臺灣臺北地方法院103年度小上字第155號民事判決參照。
- 法務部法律決字第10303506500號函(2014/6/17)意旨參照。
請問這句話,我想問對方如何得知我是某醫院員工,並有我電話。這算個資外洩嗎?