【鼎昊說法】個人資料保護法(七)

【鼎昊說法】蒐集之要件—非公務機關(一)

 

個人資料保護法第19條規定:「非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:一、法律明文規定。二、與當事人有契約或類似契約之關係,且已採取適當之安全措施。三、當事人自行公開或其他已合法公開之個人資料。四、學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。五、經當事人同意。六、為增進公共利益所必要。七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。八、對當事人權益無侵害。

 

蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。」

 

前度說明公務機關於蒐集或處理個人資料時所必須符合之要件,本次即分款說明非公務機關於蒐集或處理個人資料時,所應符合之要件。當然,非公務機關同於公務機關,蒐集個人資料時,亦應具有特定目的,並符合一定情形。

 

一、法律明文規定

個人資料保護法施行細則第9條解釋本款之「法律」係指法律或法律具體明確授權之法規命令。

據此所稱之法律僅指法律及行政機關基於法律授權,對多數不特定人民就一般事項所作抽象之對外發生法律效果之法規命令(行政程序法第150條),排除上級機關對下級機關,或長官對屬官,依其權限或職權為規範機關內部秩序及運作,所為非直接對外發生法規範效力之一般、抽象之行政規則(行政程序法第159條),當然更遑論民間單位所自行訂定之規約。

 

法務部 106年5月10日 法律字第 10603505040 號函

說明三:

次按個資法第19條第1項規定:「非公務機關對個人資料之蒐集或處理,除第6條第1項所規定資料外,應有特定目的,並符合下列情形之一者:1、法律明文規定。…5、經當事人同意。6、為增進公共利益所必要。」上開第1項規定所稱法律,指法律或法律具體明確授權之法規命令(個資法施行細則第9條規定參照)。且非公務機關對於個人資料之蒐集、處理,應依上開規定為之,並應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要

範圍,並應與蒐集之目的具有正當合理之關聯(個資法第5條參照)。本件社區保全人員為執行「場所進出安全管理」之特定目的(代號116),要求訪客出示身分證件、拍照並提供姓名、身分證字號、電話等個人資料供社區建檔,不論其係依「社區規約」(公寓大廈管理條例第3條第12款規定參照)或「管理委員會指示」,均非個資法第19條第1項第1款之「法律明文規定」,自不得作為蒐集、處理社區訪客區個人資料之依據。

 

二、與當事人有契約或類似契約之關係,且已採取適當之安全措施

所謂之契約關係指本約,及非公務機關與當事人間為履行該契約,所涉及必要第三人之接觸、磋商或聯繫行為及給付或向其為給付之行為;而類似契約關係則指(一)非公務機關與當事人間於契約成立前,為準備或商議訂立契約或為交易之目的,所進行之接觸或磋商行為,以及(二)契約因無效、撤銷、解除、終止而消滅或履行完成時,非公務機關與當事人為行使權利、履行義務,或確保個人資料完整性之目的所為之連繫行為。(個人資料保護法施行細則第27條)。

此處所應考量者在於是否因契約或類似契約之關係,契約相對人就可任意的蒐集各式個人資料並加以運用,在考量此點前,仍應回歸個人資料保護法第5條:「個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。」亦即仍應在符合比例原則情形下,蒐集適當且合理之個人資料。而如果所蒐集者包括其他與契約履行無關之個人資料或並非為履行契約所必需者,則應有其他法定要件始為合法。

 

法務部 106年6月15日 法律字第 10603503880 號函

說明二:

(二)2.本件○○雜誌如因「消費者、客戶管理與服務」之特定目的(代號090),基於與當事人有契約關係,在履行契約事務之必要範圍內,蒐集報名講堂活動者之個人資料(例如辨識報名者之聯絡資訊等),則該蒐集行為與個資法第19條第1項第2款「與當事人有契約或類似契約之關係」規定相符。然如所蒐集者包括其他與契約履行無關之個人資料或並非為履行契約所必需者,則應依個資法第7條第1項規定,應於契約之外另行取得當事人同意(個資法第19條第1項第5款規定),始為合法。

 

而在有契約前提下,如果蒐集者所蒐集之個人資料,並非為當事人真意所提供,則其蒐集行為亦屬違法。

 

法務部 102年1月3日法律字第10100226680 號函

說明三:

依本件來函所述當事人之交易真意,僅在須單次利用照相設備,而無意將個人數位照片影像檔案資料由交易相對人(旨揭公司)留存且傳輸至境外供未來使用,則旨揭公司如未將該個人照片影像留存,尚不屬於本法之規範之蒐集行為;然若旨揭公司擅將其數位照片影像檔案資料留存、傳輸及利用,當事人與旨揭公司間雖有利用快照設備之契約行為,但因無合意由旨揭公司留存照片影像檔案資料,是以,該留存照片影像檔案資料之蒐集行為即已違反本法規定。

 

以法務部法律字第10100226680 號函為例,該案係於便利商店所提供之自動照相設備,在雲端化的現代,該設備預設將相片個人數位照片影像檔案資料由交易相對人留存且傳輸至境外供未來使用,當事人與公司間雖有利用快照設備之契約行為,但因無合意由旨揭公司留存照片影像檔案資料,因此該照片影像檔案保存仍屬違法。

 

三、當事人自行公開或其他已合法公開之個人資料

本款於個人資料保護法第6條業已出現,本次再加以說明。

個人資料保護法施行細則第13條解釋本款之「當事人自行公開」係指當事人自行對不特定人或特定多數人揭露。而「已合法公開」則指法律或法律具體明確授權之法規命令所公示、公告或以其他合法方式公開之個人資料。

 

當事人已自行公開之個人資料,隱私已無被侵害之虞,此為前段規定依據,而後斷之已合法公開部份,在電腦處理個人資料保護法時,該款規定為「已公開之資料且無害於當事人之重大利益者。」。於99年修法時,因不易認定而將後段「且無害於當事人之重大利益者」予以刪除,至此,有無造成當事人重大利益之損害,已非此款法定要件之考量,而應回歸至個人資料保護法第5條之誠信原則加以判斷。且原本之「已公開」前則因非由當事人公開之情形,有合法公開與非法公開,如非法公開之個人資料得由他人任意蒐集、處理,對當事人隱私權之保護勢必不週。是以,修正為「已合法公開」。亦即,如前所公開之情形係屬非法,亦無得適用本款規定。

 

法務部 104年1月30日法律字第10403501320 號函

說明四:

末按非公務機關對個人資料之蒐集或處理,應符合個資法第19條第1項各款情形之一(法律明文規定、當事人自行公開或其他已合法公開之個人資料、與公共利益有關、個人資料取自於一般可得之來源…等,惟其中第7款有但書之例外),倘候選人於製作選舉文宣時,係透過上述已合法公開之法院裁判書查知其他候選人之犯罪前科資料,或係透過大眾傳播、網際網路、新聞、雜誌等一般人可得知悉或接觸之來源而取得該資料,如符合上開個資法第19條第1項所列情形,則任何人均得為蒐集、處理或利用。至於所詢文宣是否符合個資法第19條第1項其他各款之蒐集事由,則須視具體個案情事分別審認判斷,尚難一概而論。

 

作者 蕭崴仁律師

 

Write a Reply or Comment