法律观点-违反个资法,比你想像更容易
依该次修正理由所述,因社会态样复杂,有些资料虽未直接指名道姓,但一经揭露仍足以识别为某一特定人,对个人隐私仍会造成侵害,因此在个人资料定义加上「其他得以直接或间接方式识别该个人之资料」的概括规定,以充分保护人格权。因此,依照上开规定,只要足以识别某特定人的资料,就有可能经法律评价为个资。
但依一般民众理解,自然人之姓名、出生年月日、国民身分证统一编号、护照号码、特征、指纹、婚姻、家庭、教育、职业、病历、医疗、基因、性生活、健康检查、犯罪前科、联络方式、财务情况等资讯,因具有隐私之合理期待,不欲为外人得知,该等资料属于个资,较无疑义,但条文提及之「社会活动」、「得以直接或间接方式识别该个人之资料」,其意涵为何,较不明确,导致民众或企业管理者,恐误判个资法对个资保护之范围,不得不提醒留意。
■行动电话号码属于个资
以行动电话号码是否属于个资为例,虽有主张,行动电话号码本身仅系一串数字组合,无特定识别性,非个人资料云云。惟现今民众已手机不离身,加上行动支付普及,各种商业App盛行,行动电话已与民众日常生活密不可分,除艺人大S曾因行动电话号码20年未更换,使许久未联系之前男友得以联络外,电信业者推出之号码转携服务,使门号经特定民众长期使用,促成行动电话号码与个人之高度连结,具专属性、独特性,得直接识别出特定个人,故司法实务肯认行动电话号码属于个资(台湾高等法院台南分院105年度上易字第393号刑事判决意旨),应无疑义。
值得注意的,行动电话号码所属的「电信业者别」(如中华电信、台湾大哥大、远传等),是否属于个资?司法实务认为,电信业者别是个人电话号码之附属资料,得与其他个人资料如姓名、国民身分证统一编号等资料,相互比对、组合、连结及勾稽后,据以作为「间接识别」特定个人之「社会活动」资料之一,亦属个资法所定「联络方式」之个人资料(台湾台北地方法院103年度小上字第155号民事判决意旨参照)。即「电信业者别」透由与其他资讯连结,得以「间接识别」方式,推知某特定人使用某电信业者提供之服务,为该个人之「社会活动」,故电信业者别属于个资。
■个资认定向客观说靠拢
此种以「间接识别」特定人「社会活动」,即肯认属于个资,似有调整过往对于个资认定采主观说(即视该搜集者有无可能与所有之其他资讯连结后识别特定个人)的见解,而逐渐与欧盟一般资料保护规范(GDPR)所采取的客观说(即视该资料客观上有无可能与其他资料连结而识别特定个人)靠拢,值得观察。以公司内部分机表为例,若公司未对外公开,于判断是否属于个资层次,因分机表可透由与其他个人资料(如:姓名等)相互连结,而以间接识别方式,得知某人于公司内从事何特定职务之社会活动,采客观说下,即有认定属个资之高度可能性。
最后,即便就个资法所称之个资采取客观说下,非公务机关符合告知义务、目的原则限制及合法要件等,仍得搜集、处理及利用。在我国个资法下,最明确的阻却违法方式,是「经当事人同意」,但应注意目的外利用之同意,系指经搜集者明确告知特定目的外之其他利用目的、范围及同意与否对其权益之影响后,单独所为之意思表示;而特种个资之同意并限于书面方式。因此,公司于搜集、处理及利用个资时,透由专业人士撰拟同意文件,善尽告知义务并取得个资所有人之事前同意,并留下日后可供检验之证据,即可避免衍生日后纠纷。