在工作中所經手的客戶資料,可以出售給其他廠商嗎?與他人發生爭執,可以將他人的姓名、電話等資料任意上傳至Facebook(臉書)或LINE群組嗎?上述行為,都有可能因違反個人資料保護法的相關規定而需負擔刑事及民事責任,因此需要先知道個人資料的定義,還有判斷標準。(見圖1)
「個人資料」的定義規定於個人資料保護法第2條第1款,是指「自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料[1]」。
上述規定所例示的個人資料,如姓名、出生年月日、身分證字號等,為日常生活中經常被蒐集、處理及利用的個人資料,從字面上就可以理解,但因為社會態樣複雜,有些資料雖未直接指名道姓,一經揭露仍足以識別為某一特定人,對個人隱私仍會造成侵害,立法者在修法時就在個人資料的定義加上「其他得以直接或間接方式識別該個人之資料」的概括規定,以充分保護個人的人格權[2]。
所謂「得以直接識別特定個人之資料」,是指透過該資料本身,就可以直接連結至特定個人,不需要搭配其他資料,例如法院實務認為,「行動電話號碼」對於使用人有專屬性及獨特性,因此行動電話號碼應屬於個人資料保護法第2條第1款所保障的「得以直接方式識別之個人資料」[3]。
而「得以間接方式識別該個人之資料」,是指除了這個資料以外,必須再與其他資料相互「對照、組合、連結」,才可以識別出是屬於特定個人的資料[4]。舉例而言,法院實務認為行動電話號碼所屬的「電信業者別」(如中華電信、遠傳電信等電信業者的名稱),可以與其他個人資料如姓名、身分證號碼等資料,相互「比對、組合、連結及勾稽」後,據以作為間接識別特定個人的社會活動資料之一,故屬於個人資料保護法所保護的個人資料[5]。
依個人資料保護法目前的規範方式,除了第2條第1款所例示的資料類型外,要判斷一份資料是否為個人資料,並無一致性的標準,只能在個案中從蒐集者本身綜合各種情況與事證加以判斷到底能不能直接或間接識別出特定的個人[6],對於不同蒐集者而言,在不同的情境下,就可能會產生不同的判斷結果。
因此,建議資訊蒐集者在蒐集資訊前先瞭解個人資料保護法的相關規範,並諮詢相關專家學者,以避免可能發生的訴訟或糾紛。
註腳