【時事】個人資料能夠隨便使用嗎？

【案例】

網紅A因在與前夫B離婚訴訟中，將向醫療人員取得載有前夫B個人病史及用藥資料提供給法院，因而被檢察官認為網紅A逾越蒐集前夫B個資的目的用作訴訟證據，也與當初網紅A向醫療人員蒐集個資的目的不符，以違反「個人資料保護法」起訴，日前經台北地方法院一審判決網紅A無罪，可再上訴【註1】。

【什麼是個人資料】

我國為了規範個人資料的蒐集、處理及利用，制定了「個人資料保護法」，個人資料，指的是「自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料」【註2】。所謂得以間接方式識別該個人之資料，依個人資料保護法施行細則第3條規定【註3】，是指該資料可以透過結合其他資料來識別該特定之個人。

而病歷、醫療、基因、性生活、健康檢查及犯罪前科等個人資料，又被稱為特種個人資料，這些個人資料原則上不得蒐集、處理或利用，除非符合特定要件【註4】。

【他人個人資料能隨便使用嗎】

「個人資料保護法」就是為了防止濫用他人個人資料而制定，因此對於個人資料如何使用也有相當之規範。

首先，法規將使用個人資料的主體分為「公務機關」跟「非公務機關」，而有不同之規範，使用的態樣有蒐集、處理及利用；蒐集是指以任何方式取得個人資料、處理是指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送、利用是指將蒐集之個人資料為處理以外之使用【註5】。

公務機關或非公務機關在蒐集當事人個人資料前，原則上皆須告知當事人其名稱、蒐集之目的等事項【註6】，若是蒐集之資料並非由當事人提供，在處理或利用前，亦須告知當事人個人資料來源及其名稱、蒐集目的等事項【註7】。

而公務機關或非公務機關蒐集或處理個人資料，除應有特定目的、不得逾越必要範圍外，也需符合一定要件，如執行法定職務必要範圍內、當事人同意等【註8】；利用個人資料原則上不能超過該特定目的範圍【註9】；特定目的為何，須參考法務部發布之「個人資料保護法之特定目的及個人資料類別」說明符合哪種特定目的，而必要範圍，簡單說就是蒐集、處理或利用要符合比例原則之規定【註10】。

【任意使用他人個資需負之責任】

個人資料的蒐集、處理、利用及保存，皆須符合個人資料保護法之規定，倘若違反個人資料保護法規定，公務機關或非公務機關除了有民事責任，行政責任外，甚至會有刑事責任。

民事部分，公務機關、非公務機關因違法個人資料保護法規定，致個人資料遭到不法蒐集、處理或利用，應負損害賠償責任【註11】，而當事人除依個人資料保護法規定請求損害賠償外，也可以依民法第184條侵權責任規定請求損害賠償。

行政部分，若非公務機關違法蒐集處理利用個人特種資料、逾越特定目的及必要範圍或蒐集個人資料前未告知相關事項等情形，中央目的事業主管機關或直轄市、縣（市）政府得處以罰鍰【註12】。

刑事部分，依個人資料保護法第41條、第42條規定，若意圖為自己或第三人不法利益或損害他人利益，而違反蒐集、處理、利用之規定或以非法變更、刪除等方式，妨害個人資料之正確，則有刑法之適用【註13】，另依實務見解，「意圖為自己或第三人不法利益」，此不法利益僅限於「財產上利益」，但若為「損害他人利益」，就不限於財產上利益【註14】。

本件一審之所以判決網紅A無罪，理由為雖然網紅A提供之資料屬於個人資料保護法第6條規定之有關醫療之個人資料，原則上不得蒐集、處理或利用，但網紅A提出該有關醫療之個人資料，是為了協助另案家事庭法官審理親權事件所必要行為，且該個人資料有適當安全維護措施，因此符合人資料保護法第6條第1項但書第5款之規定，且亦無損害他人利益之意圖，所以不屬於非法利用個人特種資料【註15】。

【註1】潘千詩，拿前夫病史打離婚訴訟「個資法」無罪　理科太太：時間證明一切，https://news.tvbs.com.tw/local/2822409。(最後瀏覽日期:114年4月2日)

【註2】個人資料保護法第2條第1項第1款。

【註3】個人資料保護法施行細則第3條：「本法第二條第一款所稱得以間接方式識別，指保有該資料之公務或非公務機關僅以該資料不能直接識別，須與其他資料對照、組合、連結等，始能識別該特定之個人。」

【註4】個人資料保護法第6條：

「有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得蒐集、處理或利用。但有下列情形之一者，不在此限：有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得蒐集、處理或利用。但有下列情形之一者，不在此限：一、法律明文規定。二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內，且事前或事後有適當安全維護措施。三、當事人自行公開或其他已合法公開之個人資料。四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內，且事前或事後有適當安全維護措施。六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用，或其同意違反其意願者，不在此限。」

【註5】個人資料保護法第2條第1項第3、4、5款。

【註6】個人資料保護法第8條。

【註7】個人資料保護法第9條。

【註8】個人資料保護法第15、19條。

【註9】個人資料保護法第16、20條。

【註10】臺灣高等法院臺南分院103年度上易字第186號刑事判決。

【註11】個人資料保護法第28、29條。

【註12】個人資料保護法第47條至第50條。

【註13】個人資料保護法第41條:「意圖為自己或第三人不法之利益或損害他人之利益，而違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定，或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分，足生損害於他人者，處五年以下有期徒刑，得併科新臺幣一百萬元以下罰金。」、第42條:「意圖為自己或第三人不法之利益或損害他人之利益，而對於個人資料檔案為非法變更、刪除或以其他非法方法，致妨害個人資料檔案之正確而足生損害於他人者，處五年以下有期徒刑、拘役或科或併科新臺幣一百萬元以下罰金。」

【註14】最高法院109年度台上大字第1869號刑事裁定。

【註15】臺灣臺北地方法院113年度訴字第516號刑事判決。

#個人資料保護法 #特種個人資料 #蒐集 #處理 #利用