個人資料保護法第5條規定:「個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。」也就是說,任何人、任何機關(公務機關及非公務機關)對於個人資料[1]的蒐集、處理或利用,都應具有特定目的,且必須在必要範圍之內。
究竟什麼是運用個人資料時,應該遵守的「特定目的」及「必要範圍」?(見圖1)
個人資料保護法第53條規定:「本法所定特定目的及個人資料類別,由法務部會同中央目的事業主管機關指定之。」,法務部參酌歐盟、英國、比利時、西班牙等外國立法例[2],經會商各中央目的事業主管機關意見後,於2012年10月1日發布「個人資料保護法之特定目的及個人資料之類別[3]」,明定182種特定目的、85種個人資料類別。然而,法務部發布的特定目的類別只是例示規定,並無法包含所有可能的活動,運用個人資料時若無法找到相對應的特定目的,則應以文字詳細說明業務活動的內容[4]。
為確保個人資料的蒐集、處理或利用合法且正當,個人資料保護法規定蒐集者應採取適當的安全維護措施[5],包含「界定個人資料的範圍」、「個人資料蒐集、處理及利用的內部管理程序」及「保存相關的證據文件」等[6],說明個人資料蒐集、處理或利用的「特定目的」,即屬於安全維護適當措施的一部份,非公務機關如果沒有採取適當的安全措施,主管機關可依法處以2萬元以上20萬元以下的罰鍰[7],因此公務機關及非公務機關在蒐集、處理或利用個人資料時,建議都以書面或網頁說明等方式具體說明「個人資料保護法之特定目的及個人資料之類別」所示的特定目的項目及代號。
舉例而言,檢察機關公告檢察官所為起訴、不起訴處分或緩起訴處分的偵查結果,為執行刑事偵查所生後續相關事務,屬於「刑事偵查」(代號025)及「其他司法行政」(代號174)的特定目的範圍[8];銀行於經營的營業項目必要範圍內蒐集客戶的個人資料,特定目的可能包含「行銷」(代號040)、「金融服務業依法令規定及金融監理需要,所為之蒐集處理及利用」(代號059)、「金融爭議處理」(代號060)、「帳務管理及債權交易業務」(代號104)等。
個人資料保護法的「必要範圍」的概念較為抽象,其內涵其實就是指憲法第23條規定的「比例原則」[9]。
法院審酌個人資料保護法第5條規定的特定目的「必要」範圍時,會考量是否有違:
審酌當事人行使的手段是否可達成其目的。
在所有可能達成目的的方法中,是否已選擇對他人最少侵害的手段。以及
所欲完成的目的及使用手段,是否與因此造成的損害或負擔不成比例。
此外,並應斟酌當事人利用他人個人資料的行為,是否出於非法、不當的目的。
司法實務案例曾認為,社區管理委員會的主任委員核可張貼管理委員會臨時會議的開會通知書,通知書上雖載明特定住戶曾有前案詐欺的刑事紀錄,但只是為了說明該住戶前案詐欺與討論強制遷離議案相關之處,且從主任委員張貼在社區固定公告文書的地點,並未任意在其他地方張貼,判斷主任委員已選擇對於該住戶最少侵害及影響之手段,認為主任委員所為於客觀上並未違反合適性原則、必要性原則及狹義比例原則,主觀上也沒有違反個人資料保護法的不法犯意[10],通過「必要範圍」的檢驗。
個人資料的蒐集、處理及利用是否符合個人資料保護法第5條規定的「特定目的」及「必要範圍」,涉及具體個案的事實認定,建議公務機關或非公務機關於參考法務部發布的「個人資料保護法之特定目的及個人資料之類別」,選擇特定目的及個人資料類別時,仍提出詳盡的業務活動說明,並將其列入證據文件或個人資料檔案公開事項作業內,以避免日後可能發生的爭議。
註腳