您好:
以下僅說明個人資料保護法(以下簡稱「個資法」)的相關規定,提供您參考。如果有個案諮詢需求,建議您尋求專業律師的協助。
Instagram帳號資訊,是否屬於個資法保護的「個人資料」?
什麼是「個人資料」?
為了保障人民的人格權(隱私權),個資法規範公務機關及非公務機關(例如自然人、公司)蒐集、處理、利用個人資料的行為[1]。
根據個資法的規定,個人資料指的是可以「直接」或「間接」識別出特定人身分的資料,包括自然人的姓名、出生年月日、身分證字號、特徵、職業、聯絡方式等[2]。換句話說,如果無法從資料中提供的資訊,得知該資料屬於何人,就不屬於個人資料,也就不受個資法的保護。
為了保障人民的人格權(隱私權),個資法規範公務機關及非公務機關(例如自然人、公司)蒐集、處理、利用個人資料的行為[1]。
根據個資法的規定,個人資料指的是可以「直接」或「間接」識別出特定人身分的資料,包括自然人的姓名、出生年月日、身分證字號、特徵、職業、聯絡方式等[2]。換句話說,如果無法從資料中提供的資訊,得知該資料屬於何人,就不屬於個人資料,也就不受個資法的保護。
Instagram帳號資訊,是「個人資料」嗎?
由於不確定提問中該篇貼文具體來說涉及哪些資訊,以下提供您簡單的判斷標準。
由於不確定提問中該篇貼文具體來說涉及哪些資訊,以下提供您簡單的判斷標準。
必須涉及「現在生存的自然人」[3]
前面提到個資法是為了保障人民的人格權,只有自然人有人格權,且人格權是一身專屬權。也就是說,只有現在生存的自然人的個人資料受到個資法保護,法人(例如公司)或已故之人[4]的資料不受到個資法保護。
前面提到個資法是為了保障人民的人格權,只有自然人有人格權,且人格權是一身專屬權。也就是說,只有現在生存的自然人的個人資料受到個資法保護,法人(例如公司)或已故之人[4]的資料不受到個資法保護。
能不能識別出當事人的身分
如果貼文的附圖是當事人Instagram帳號頁面的截圖畫面,而頁面中包含當事人的照片、學歷、職業等資訊,在各樣資訊的比對、對照後,可辨識出當事人的身分,就屬於個人資料[5]。
如果貼文的附圖只有揭露一組帳號,透過Google或Instagram搜尋,即可找到當事人的帳號頁面,而頁面上有可辨識出當事人身分的資料,這組帳號也可能屬於個人資料[6]。
如果貼文的附圖是當事人Instagram帳號頁面的截圖畫面,而頁面中包含當事人的照片、學歷、職業等資訊,在各樣資訊的比對、對照後,可辨識出當事人的身分,就屬於個人資料[5]。
如果貼文的附圖只有揭露一組帳號,透過Google或Instagram搜尋,即可找到當事人的帳號頁面,而頁面上有可辨識出當事人身分的資料,這組帳號也可能屬於個人資料[6]。
可以散布他人的Instagram帳號資訊嗎?
根據個資法的規定,如果當事人的個人資料是自行公開或已合法公開,或是可以透過網路、新聞等管道取得,原則上可以蒐集或處理[7]。
所以,如果Instagram帳號是公開帳號,任何人都可以看到當事人自行揭露的個人資料;或雖然是不公開帳號,但在Instagram搜尋仍可瀏覽當事人的帳號名稱、大頭照等資訊,原則上對這樣的帳號頁面截圖,並不會違反個資法[8]。
然而,這並不意味截圖之後可以任意利用蒐集到的帳號資訊。大法官在釋字第603號解釋中表示,人民對個人資料享有個人自主控制的權利(資訊隱私權),也就是個人可以自行決定是否揭露、何時揭露、向誰揭露個人資料,以及揭露的方式、範圍[9]。所以除非得到當事人同意,或有其他法定事由,否則即便當事人的帳號頁面是公開的,仍不得在爆料社團散布當事人的Instagram帳號資訊[10]。
根據個資法的規定,如果當事人的個人資料是自行公開或已合法公開,或是可以透過網路、新聞等管道取得,原則上可以蒐集或處理[7]。
所以,如果Instagram帳號是公開帳號,任何人都可以看到當事人自行揭露的個人資料;或雖然是不公開帳號,但在Instagram搜尋仍可瀏覽當事人的帳號名稱、大頭照等資訊,原則上對這樣的帳號頁面截圖,並不會違反個資法[8]。
然而,這並不意味截圖之後可以任意利用蒐集到的帳號資訊。大法官在釋字第603號解釋中表示,人民對個人資料享有個人自主控制的權利(資訊隱私權),也就是個人可以自行決定是否揭露、何時揭露、向誰揭露個人資料,以及揭露的方式、範圍[9]。所以除非得到當事人同意,或有其他法定事由,否則即便當事人的帳號頁面是公開的,仍不得在爆料社團散布當事人的Instagram帳號資訊[10]。
違法散布他人的Instagram帳號資訊,可能面臨的法律責任
刑事責任或行政責任
如果是為了自己或他人不法的財產利益,或是想要損害他人的利益,例如想要公眾「肉搜」、「起底」當事人,造成當事人為人指責的效果,因而違法利用他人的個資,且足以造成他人的損害,將構成「侵害個資罪」,會面臨最高5年有期徒刑,及最高100萬元的罰金[11]。
不過,如果違法利用個資,並不是出於獲取不法財產利益,或損害他人利益的目的;或是行為不足以造成他人的損害,雖然不構成侵害個資罪,但仍是違反個資法的行為,會被主管機關處5萬至50萬元的罰鍰[12]。
如果是為了自己或他人不法的財產利益,或是想要損害他人的利益,例如想要公眾「肉搜」、「起底」當事人,造成當事人為人指責的效果,因而違法利用他人的個資,且足以造成他人的損害,將構成「侵害個資罪」,會面臨最高5年有期徒刑,及最高100萬元的罰金[11]。
不過,如果違法利用個資,並不是出於獲取不法財產利益,或損害他人利益的目的;或是行為不足以造成他人的損害,雖然不構成侵害個資罪,但仍是違反個資法的行為,會被主管機關處5萬至50萬元的罰鍰[12]。
延伸閱讀:
韓瑋倫(2022),《哪些資料是個人資料?判斷標準是什麼?》。
黃郁真(2022),《一般人公布他人的個人資料違法嗎?》。
法律百科(2022),《網路上的法律問題—個人資料保護》。
註腳
- 個人資料保護法第2條第3、4、5款:「本法用詞,定義如下:
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。」 - 個人資料保護法第2條第1款:「本法用詞,定義如下:
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。」 - 個人資料保護法施行細則第2條:「本法所稱個人,指現生存之自然人。」
- 國家發展委員會(2020),《國家發展委員會發法字第1090021610號函》。
- 可參考臺灣橋頭地方法院112年度簡字第194號刑事判決、臺灣新北地方法院111年度訴字第1416號刑事判決、臺灣嘉義地方法院111年度訴字第68號刑事判決。
- 可參考臺灣新北地方法院109年度審簡字第837號刑事判決。
- 個人資料保護法第19條第1項第3款、第7款:「非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:
三、當事人自行公開或其他已合法公開之個人資料。
七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。」
個人資料保護法施行細則第28條:「本法第十九條第一項第七款所稱一般可得之來源,指透過大眾傳播、網際網路、新聞、雜誌、政府公報及其他一般人可得知悉或接觸而取得個人資料之管道。」 - 臺灣嘉義地方法111年度訴字第68號刑事判決:「被告劉○○張貼之臉書截圖裡,所含屬於告訴人個人資料之相片,因係告訴人自我公開於眾之資料,故被告劉○○將告訴人臉書首頁加以截圖並儲存之行為,並不構成非法蒐集個人資料行為。」
- 司法院大法官釋字603號解釋:「隱私權雖非憲法明文列舉之權利,惟基於人性尊嚴與個人主體性之維護及人格發展之完整,並為保障個人生活私密領域免於他人侵擾及個人資料之自主控制,隱私權乃為不可或缺之基本權利,而受憲法第二十二條所保障(本院釋字第五八五號解釋參照)。其中就個人自主控制個人資料之資訊隱私權而言,乃保障人民決定是否揭露其個人資料、及在何種範圍內、於何時、以何種方式、向何人揭露之決定權,並保障人民對其個人資料之使用有知悉與控制權及資料記載錯誤之更正權。」
- 個人資料保護法第20條第1項:「非公務機關對個人資料之利用,除第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:
一、法律明文規定。
二、為增進公共利益所必要。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
六、經當事人同意。
七、有利於當事人權益。」 - 個人資料保護法第41條:「意圖為自己或第三人不法之利益或損害他人之利益,而違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定,或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分,足生損害於他人者,處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。」
- 個人資料保護法第47條:「非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣五萬元以上五十萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之:
一、違反第六條第一項規定。
二、違反第十九條規定。
三、違反第二十條第一項規定。
四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。」 - 個人資料保護法第28條第1項、第2項:「
I 公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限。
II 被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。」 - 個人資料保護法第28條第3項:「依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。」