隨著資訊科技發達與大數據應用普及,個人資料(下稱個資)的保護已成為保障人格權與隱私權的核心。不論是一般企業、金融業、保險業、醫療診所或甚至一般店家等,在行銷、建檔時若不慎違反《個人資料保護法》(下簡稱個資法),不僅會面臨鉅額賠償,更可能觸犯刑責。
究竟什麼是個資?收集資料時有哪些法定事由?本文將為您拆解個資法適用的五大核心要件,幫助企業與個人合法合規地達成資訊運用與隱私保護之平衡。
一、 什麼是「個人資料」?(個資法第2條)
我國《個資法》保護的對象為「現生存之自然人」。其定義採「例示加概括」規定,主要分為以下兩大類識別方式:
1. 直接識別資料
指透過資料本身即可直接連結、認出特定個人。
- 常見範例:姓名、身分證字號、出生年月日、護照號碼、個人特徵、病歷、犯罪前科。
- 實務見解:法院判決明確認為「行動電話號碼」具有專屬性與獨特性,屬於直接識別資料。
2. 間接識別資料
指單看資料無法知悉何人,但只要與其他資料進行「對照、組合、連結」後,就能識別出特定個人的資料。
- 常見範例:聯絡電話、婚姻、家庭、教育、職業、性生活、社會活動等。
二、 個資法規範的三大行為階段:蒐集、處理、利用
只要涉及以下三種行為,都屬於個資法的管轄範圍:
- 蒐集:以任何方式(如紙本問卷、網站 Cookie、線上表單)取得個資。
- 處理:為建立或利用個資檔案,所進行的紀錄、輸入、儲存、編輯、刪除或內部傳送等行為。
- 利用:將蒐集來的個資,拿來做處理以外的使用(例如:發送行銷簡訊、進行數據分析)。
三、 如何合法收集個資?必須符合的法定事由與原則
企業在蒐集、處理或利用個資時,必須同時滿足以下三大合法性要件:
1. 誠信原則與比例原則
應尊重當事人權益,依誠實信用方法為之。收集的資料不得逾越「特定目的」之必要範圍,且必須與目的具有正當合理關聯(例如:辦理會員卡不需要詢問配偶的職業)。
2. 非公務機關的合法事由(六大條件之一)
民間企業或個人若要蒐集一般個資,除了必須具備「特定目的」外,還必須符合下列條件之一:
- 法律明文規定
- 與當事人有契約或類似契約關係(例如:網購平台出貨需要地址,且須採行適當安全措施)
- 當事人自行公開或合法公開
- 經當事人同意
- 增進公共利益所必要
- 對當事人權益無侵害
3. 特種資料(敏感個資)的嚴格限制
對於病歷、醫療、基因、性生活、健康檢查及犯罪前科等 6 項「特種個資」,原則上全面禁止蒐集、處理或利用。除非符合「法律明文規定」、「執行法定職務必要範圍」或經當事人「書面同意」等特定例外情形,否則極易觸法。
四、 企業的兩大合規義務:告知義務與安全維護
1. 履行明確告知義務
向當事人蒐集資料時,應明確告知:
- 蒐集者名稱、特定目的、資料類別。
- 利用的期間、地區、對象及方式。
- 當事人得行使的權利(如:查詢、閱覽、製給複製本、補充、更正、停止蒐集/處理/利用、刪除等)。
2. 安全維護與外洩通報義務
保有個資檔案的非公務機關,應採行適當的安全措施,防止資料被竊取、竄改、毀損或洩漏。若不幸知悉個資外洩,企業依法必須在查明後即時通知當事人,並採取補救措施。
五、 違反個資法有何後果?三大法律責任不可不知
一旦發生個資外洩或非法利用,行為人與企業將面臨以下重大責任:
- 民事賠償責任:若造成當事人損害,應負損害賠償責任。若受害者人數眾多,總賠償額相當驚人。
- 刑事處罰責任:意圖為自己或第三人不法利益,或損害他人利益而違反核心規定,足生損害於他人者,最高可處 5 年以下有期徒刑,得併科罰金。
- 行政裁罰責任:主管機關(如:個人資料保護委員會籌備處及各目的事業主管機關)得視情節處以罰鍰並限期改正。依最新修正條文,情節重大者最高可處新台幣 1,500 萬元罰鍰。
⚖️ 您正在規劃企業隱私權政策,或正面臨個資外洩糾紛嗎?
數位經濟時代下,個資合規條款(如隱私權政策、使用者條款)的擬定需要高度專業的法律實務經驗,絕非網路複製範本即可交差。一旦條款不完備或流程有漏洞,企業恐將面臨高達千萬元的行政罰鍰與集體訴訟。
[緊急辯護] 有處理個資法案件的豐富經驗。不論您需要擬定企業內控流程、撰寫同意書,或是面臨個資法律訴訟,我們都能提供全方位的專業協助。
👉 [點此立即預約台大常子薇律師] 📞 諮詢專線:02-66040-110