個資法保護範圍有哪些?個人資料定義與判斷標準 開場故事:阿明的個資驚魂記 阿明在網路上看到一個抽獎活動,只要填寫姓名、電話和地址,就有機會得到最新款手機。他心想:「反正只是姓名和電話,應該沒什麼吧?」於是爽快地填了資料。沒想到過了幾天,他開始接到一堆推銷電話,從保險、貸款到直銷應有盡有,甚至有人冒充銀行說他欠款,要求匯款。阿明氣炸了,打電話去罵主辦單位,對方卻說:「我們只有你的電話和地址,又沒你的身分證字號,這不算個資啦!我們沒違法。」阿明半信半疑,難道只有身分證字號才算個資嗎?到底哪些資料受個資法保護?法院又怎麼認定呢?今天就讓我們用輕鬆的方式,一次搞懂個資法的保護範圍! --- 個資法是什麼?保護誰? 「個人資料保護法」(簡稱個資法)在 2010 年修正,2012 年正式上路。它的目的很簡單:規範任何人(包括公務機關、公司行號、甚至個人)在蒐集、處理或利用他人個資時,必須遵守遊戲規則,不能濫用,否則可能會吃上民事賠償或刑事責任。 只要是「自然人」的資料,原則上都受到保護。換句話說,你、我、隔壁老王,甚至網紅、明星的資料,通通都在保護傘下。但要注意,個資法不保護已經過世的人(除非另有規定),所以那些歷史人物的資料就比較自由啦! --- 哪些資料算是「個人資料」? 個資法第 2 條第 1 款開出了一串清單: 個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。 這個定義有兩個重點: 1. 列舉常見類型:像是姓名、身分證字號、病歷、犯罪前科等等,這些都是大家比較熟悉的個資。 2. 概括條款:最後一句「其他得以直接或間接方式識別該個人之資料」是關鍵!也就是說,就算某項資料不在列舉項目中,只要單獨或結合其他資料能夠「識別出特定自然人」,就是個資。 舉例來說: - 你的臉書帳號、IG 暱稱,如果結合你的發文習慣或 IP 位址,可能就能鎖定到你本人,所以很可能也算個資。 - 你家地址、車牌號碼、電子郵件、甚至購物紀錄,只要能夠連結到你的身分,通通都算。 --- 怎麼判斷「直接或間接識別」? 「直接識別」很簡單,例如身分證字號、姓名+生日,一看就知道是誰。 「間接識別」就比較微妙了:資料本身可能無法直接看出是誰,但透過交叉比對、資料庫連結,還是有機會還原出特定個人。法院實務上對「間接識別」的認定非常廣泛。 參照111年度憲判字第13號判決所述:「個資若經處理,依其資料型態與資料本質,客觀上仍有還原而間接識別當事人之可能時,無論還原識別之方法難易,若以特定方法還原而可間接識別該個人者,其仍屬個資。」 意思是,就算你把姓名刪掉,只留下年齡、性別、居住地、就醫紀錄,如果這些資料組合起來足以鎖定某個人,那它還是個資,不能亂用。 什麼情況下才不算個資呢?必須達到「完全匿名且無還原可能性」。例如把資料徹底亂數化,沒有任何方法可以追回原始身分,那就不受個資法保護了。 111年度憲判字第13號判決也說:「無從識別特定之當事人」之文義,首可明確排除「可直接識別該個人」之資料型態;又與個資法第2條第1款規定之個資定義合併觀察,亦可排除「完全匿名且無還原可能性,因此不在個資法保護範圍內」之資料型態。」 所以,企業常說的「去識別化」並不是免死金牌,必須真正做到無法還原,才能脫離個資法的管制。 --- 高敏感特種個資:更嚴格的保護 有些資料特別私密,一旦外洩可能對當事人造成嚴重傷害,因此個資法第 6 條針對下列六類資料給予「特種個資」的嚴格保護: - 病歷 - 醫療 - 基因 - 性生活 - 健康檢查 - 犯罪前科 原則上,除非符合法律明文規定的例外情形(例如當事人書面同意、公務機關執行法定職務、學術研究且經過去識別化等),否則禁止蒐集、處理或利用。 例如,醫院要使用病人的病歷做研究,必須先將資料去識別化,或取得病人同意;公司要求求職者提供健康檢查報告,也必須有法律依據或取得同意,否則就是違法。 111年度憲判字第13號判決提到個資法第6條第1項但書第4款規定:「公務機關或學術研究機構基於醫療、衛生……之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。」這表示即使是高敏感個資,若用於統計或學術研究,且經過去識別化,仍有可能合法利用。 但要注意,去識別化必須做到「無從識別特定當事人」,否則還是可能觸法。 --- 法院怎麼說?實際判決見解 案例1:檢察書類(起訴書、不起訴處分書)含有個資嗎? 個資籌法字第 1130001604 號判決指出:「檢察書類如包含此類資料,即屬個資法之適用範圍。」 個資籌法字第 1130001604 號判決也說:「檢察書類如包含此類資料,即屬個資法之適用範圍。」 所以,檢察機關製作的起訴書、不起訴處分書等,因為記載了當事人的姓名、出生年月日等資訊,當然屬於個資,受到個資法規範。即使是公務機關,也不能任意提供給他人,除非符合法定事由。 案例2:緩起訴資料算個資嗎? 個資籌法字第 1130001758 號判決提到,緩起訴資料雖然沒有直接記載當事人姓名,但與其他資料連結後可能識別特定個人,因此仍屬個資。 這告訴我們,資料就算表面上匿名,只要有可能透過其他管道還原,就不算真正的匿名。 案例3:電子郵件地址是個資嗎? 法律字第 10603503880 號判決表示:「電子郵件地址若可識別個人,即屬個人資料。」 如果你的電子郵件是 `john.doe@company.com`,公司內部一看就知道你是誰,那當然是個資。就算是 `abc123@gmail.com`,如果結合你的註冊資訊或購物紀錄可以識別出你,也可能被認定為個資。 案例4:新聞報導引用法院判決書,可以揭露當事人姓名嗎? 法律字第 10503502850 號判決提到,新聞報導使用法院公開之裁判書資料(如姓名、年齡等),可能符合個資法第9條第2項之免告知事由,但仍須衡量公共利益與個人隱私。如果報導是為了公共利益(例如司法透明、公眾監督),且揭露範圍適當,可能被認為合法;但若過度揭露或造成當事人重大不利益,仍可能違法。 上述仍可能違法的規定是這個議題的重要環節,而網路法律自保指南從更多面向整理了完整的處理流程。 這個案例顯示個資保護並非絕對,有時基於公共利益可以合理利用,但必須拿捏分寸。 --- 日常生活中有哪些常見的個資地雷? 1. 網路購物:許多網站要求你填寫姓名、電話、地址,這些當然是個資。如果網站沒有做好資安防護導致外洩,你可以依法求償。 2. 社群媒體:你在臉書上打卡、標註朋友、分享照片,都可能涉及他人個資。未經同意標記他人,理論上也算處理個資,但實務上通常認為是合理使用(因為是使用者自主標記)。但若惡意公開他人隱私,就可能觸法。 3. 公司內部通訊錄:員工的姓名、分機、電子郵件,都足以識別個人,屬於個資。公司必須依法告知員工並採取安全措施。 4. 問卷調查:如果問卷包含出生年月日、職業、收入等,即使沒有姓名,但若結合其他資料能辨識身分,仍屬個資。主辦單位必須遵守個資法。 5. 監視器畫面:拍到人臉或車牌,可以識別特定人,也是個資。所以店家裝設監視器必須張貼告示,且不得任意公開畫面。 --- 保護個資,你可以這樣做! - 謹慎提供個資:在網路上填寫資料前,先確認網站是否安全(網址開頭為 `https`)、是否有隱私權政策。不要輕易提供身分證字號、健保卡號等敏感資料。 - 善用個資法賦予的權利:根據個資法第 3 條,你可以向蒐集你個資的機關或企業請求: - 查詢、閱覽、製給複製本 - 補充或更正 - 停止蒐集、處理或利用 - 刪除你的個資 - 留意高敏感個資:病歷、基因、犯罪前科等資料,除非必要(例如就醫、求職法律規定),否則不要隨便提供。 - 遭遇侵害時,勇敢主張權利:如果你發現個資被不當使用,可以先向蒐集者申訴;若未獲處理,可向主管機關(如各縣市政府、數位發展部)檢舉,或提起民事損害賠償訴訟。 --- 常見問題 Q&A Q1:暱稱(例如網路遊戲 ID)算個資嗎? A:如果暱稱單獨無法識別特定人,但結合其他資訊(例如 IP 位址、登入時間、消費紀錄)可以識別,就可能被認定為個資。法院實務上傾向從寬認定,只要有可能識別,就受保護。 Q2:匿名化的資料(例如大數據分析用的去識別化資料)還受個資法規範嗎? A:如果已經達到「完全匿名且無還原可能性」,就不屬於個資,不受個資法規範。但若仍有還原風險(例如保留部分欄位可與其他資料庫串接),則仍受規範。參考111年度憲判字第13號判決,必須真正無法識別特定當事人才行。 Q3:個資法適用於所有行業嗎?連路邊攤也要遵守? A:是的,個資法適用於所有「非公務機關」,包括自然人、法人、團體,不論規模大小。所以即使是小吃店蒐集顧客的姓名、電話,也必須遵守個資法。但法律也考量到小型商家可能資源有限,因此在執行上會有合理期待,但基本原則(如告知義務、安全維護)仍須遵守。 Q4:我在臉書上公開別人的姓名和電話,違反個資法嗎? A:原則上,未經同意公開他人個資可能構成「非法利用」。除非符合法定例外,例如為增進公共利益所必要(例如揭發公眾人物不法行為),或當事人自行公開等。但一般私人糾紛中任意公開他人個資,很可能觸犯個資法第 41 條的刑事責任(可處五年以下有期徒刑),也可能要負民事賠償。 Q5:公司內部員工通訊錄算個資嗎?可以傳給同事嗎? A:員工的姓名、分機、電子郵件等,足以識別特定自然人,當然屬於個資。公司蒐集時必須有特定目的(例如人事管理),並告知員工。內部傳遞通訊錄必須在必要範圍內,且不得用於其他目的(例如賣給行銷公司),否則可能違法。 Q6:如果我只是蒐集朋友的生日、星座,沒有其他資料,這樣算個資嗎? A:如果只有生日和星座,通常無法直接識別特定人(除非你朋友是雙胞胎且星座相同?),但如果結合其他你已知的資訊(例如你本來就知道朋友是誰),可能還是能識別,但法律上判斷個資是否成立,是看資料本身「能否」識別,而不是看蒐集者主觀知不知道。因此,若單憑生日和星座無法識別,就不算個資;但若加上姓名縮寫或照片,就可能構成。 --- 結語:個資保護,從了解開始 個資法的保護範圍遠比一般人想像的廣,不只身分證字號,連電子郵件、IP 位址、甚至去識別化後仍可能還原的資料,都可能受到保護。了解個資的定義與判斷標準,不僅能保護自己的隱私,也能避免不小心觸法。下次在網路上填資料時,記得先想一想:這些資料真的有必要提供嗎?對方會如何保護我的個資?如果遇到個資爭議,別忘了你還有法律賦予的權利,必要時可以尋求專業法律協助,捍衛自己的資訊自主權! 參考判決:本文所引法院見解來自 TaiLexi 系統提供之判決書片段,編號 111年度憲判字第13號、個資籌法字第 1130001604 號、個資籌法字第 1130001604 號、個資籌法字第 1130001758 號、111年度憲判字第13號、111年度憲判字第13號、法律字第 10603503880 號、法律字第 10503502850 號 等,謹供讀者參考。
