您好:
以下簡單說明個人資料保護法(以下簡稱「個資法」)相關規定,提供您參考。若有個案諮詢需求,建議您尋求專業律師的協助。
哪些是個資法保護的「個人資料」?
根據個資法的規定,個人資料指的是可以「直接識別」或「間接識別」特定人身分的資料,其中可能包括自然人的姓名、出生年月日、身分證字號、教育、職業、病歷、聯絡方式等[1]。至於「直接識別」、「間接識別」是什麼意思?以下簡單用2個例子說明:
根據個資法的規定,個人資料指的是可以「直接識別」或「間接識別」特定人身分的資料,其中可能包括自然人的姓名、出生年月日、身分證字號、教育、職業、病歷、聯絡方式等[1]。至於「直接識別」、「間接識別」是什麼意思?以下簡單用2個例子說明:
身分證字號
一組身分證字號只能對應到一位特定的國民,既然可以直接連結特定的一個人,就屬於個人資料[2]。
一組身分證字號只能對應到一位特定的國民,既然可以直接連結特定的一個人,就屬於個人資料[2]。
出生年月日
單純從一組出生年月日(例如2023/3/1)無法知道所指是何人,但如果有其他資料可供對照,而能間接確認特定人的身分,那麼這組出生年月日也屬於個人資料[3]。
不過,在沒有其他資料可供對照情形下,由於單純的一組出生年月日無法辨識出特定人的身分,這組出生年月日就不屬於個人資料,也不會受到個資法保護[4] 。
單純從一組出生年月日(例如2023/3/1)無法知道所指是何人,但如果有其他資料可供對照,而能間接確認特定人的身分,那麼這組出生年月日也屬於個人資料[3]。
不過,在沒有其他資料可供對照情形下,由於單純的一組出生年月日無法辨識出特定人的身分,這組出生年月日就不屬於個人資料,也不會受到個資法保護[4] 。
提問人的情形,是否涉及個資法的民、刑事責任?
問題所詢的情形,是否會涉及個資法中的民、刑事責任,應視店家公布的資訊是否能讓公眾辨識出提問人的身分。
舉例來說,若提問人使用本名在店家的Google評論頁面上留言,而其他人在比對姓名與店家揭露的「職業」資訊後,透過網路搜尋,能夠確定提問人的身分,店家的行為就會構成「違法利用個人資料」[5]。
問題所詢的情形,是否會涉及個資法中的民、刑事責任,應視店家公布的資訊是否能讓公眾辨識出提問人的身分。
舉例來說,若提問人使用本名在店家的Google評論頁面上留言,而其他人在比對姓名與店家揭露的「職業」資訊後,透過網路搜尋,能夠確定提問人的身分,店家的行為就會構成「違法利用個人資料」[5]。
違法利用個人資料,可能面臨的法律責任
刑事責任或行政責任
如果是為了自己或他人不法的財產利益,或是想要損害他人的利益,例如想要公眾「肉搜」、「起底」當事人,造成當事人為人指責的效果,因而違法利用他人的個資,且足以造成他人的損害,將構成「侵害個資罪」,會面臨最高5年有期徒刑,及最高100萬元的罰金[6]。
不過,如果違法利用個資,並不是出於獲取不法財產利益,或損害他人利益的目的;或是行為不足以造成他人的損害,雖然不構成侵害個資罪,但仍是違反個資法的行為,會被主管機關處5萬至50萬元的罰鍰[7]。
民事責任
違法利用他人的個資,因而造成他人財產上或非財產上的損害,需要負賠償責任[8]。如果被害人無法舉證說明實際損害,可以請法院依據個案情況,就每個事件酌定5百元至2萬元的賠償金額[9]。
延伸閱讀:
韓瑋倫(2022),《哪些資料是個人資料?判斷標準是什麼?》。
黃郁真(2022),《一般人公布他人的個人資料違法嗎?》。
法律百科(2022),《網路上的法律問題—個人資料保護》。
蔡文元(2022),《什麼是公然侮辱罪?》。
註腳
- 個人資料保護法第2條第5項:「本法用詞,定義如下:
一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。」 - 臺灣高等法院111年度上訴字第2918號刑事判決。
- 個人資料保護法施行細則第3條:「本法第二條第一款所稱得以間接方式識別,指保有該資料之公務或非公務機關僅以該資料不能直接識別,須與其他資料對照、組合、連結等,始能識別該特定之個人。」
- 臺灣高等法院108年度上訴字第1519號刑事判決:「惟觀之本案被告透過LINE傳送給告訴人關於以手謄寫紙張照片內容顯示,僅左上角有西元年月日排列之8 位數字外,其餘部分並無類如上開法條規定所示之個人資料相關訊息一情,……單憑此資訊,實難識別出與告訴人具有同一性,則是否屬於應受保護之個人隱私資料,已非無疑。」
- 可參考臺灣高等法院臺南分院111年度上訴字第16號刑事判決:「本件系爭照片雖僅有局部特寫,而無告訴人之其他個人特徵,然告訴人係以本名於臉書社團發文(偵一卷第9頁),此為被告所明知,並據此查尋告訴人於○○○診所之醫療紀錄,再將系爭照片上傳於留言區,則雖系爭照片並無告訴人其他個人特徵,然由被告所留言之內容配合告訴人以本名發文之內容,即可間接識別系爭照片為告訴人進行醫療美容之前後比對照片,則系爭照片屬具有間接識別性之個人資料,即堪認定。」
- 個人資料保護法第41條:「意圖為自己或第三人不法之利益或損害他人之利益,而違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定,或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分,足生損害於他人者,處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。」
- 個人資料保護法第47條:「非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣五萬元以上五十萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之:
一、違反第六條第一項規定。
二、違反第十九條規定。
三、違反第二十條第一項規定。
四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。」 - 個人資料保護法第28條第1項、第2項:「
I 公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限。
II 被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。」 - 個人資料保護法第28條第3項:「依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。」