資料來源:黃蓮瑛、黃彥倫 / 繪圖:Yen
一、什麼是個人資料?
隨著臺灣社會的進步,對於「隱私權」的意識也逐漸增加,人們漸漸體會到有關個人重要的資訊,其他人不能任意蒐集、處理和利用[1]。目前臺灣針對個人資料的保護,也有「個人資料保護法」做規範。
個人資料保護法所定義的「個人資料」內容有很多,其中的關鍵在能不能看到資料就可以辨認知道是誰[2]。在各種個人資料中,其中部分比較敏感的個人資料(通常合稱「特種資料」),包含病歷、醫療、基因、性生活、健康檢查及犯罪前科,原則上除了個人資料保護法所規定的6種理由,是不可以蒐集、處理和利用的[3]。其他的資料,則屬於一般個人資料。
二、私人企業可以蒐集、處理和利用個資嗎?如果能使用又有什麼限制呢?
在對個人資料的定義有一定了解後,下一步要討論的是什麼人才可以依法蒐集、處理和利用個人資料。在個人資料保護法中,對於使用個資的人以及使用個資的限制,除了前一段所提到的因資料種類不同而有不同程度保護外,還區分是公家機關或是私人單位而有所不同[4]。
私人單位要使用特種資料以外的個人資料,必須是
(一)法律有規定、
(二)契約有約定、
(三)已經公開或合法被公開、
(四)學術研究需要、
(五)當事人同意、
(六)增進公共利益所必要等等
個人資料保護法第19條第1項所規定的情形,並且具有特定目的[5],才可以蒐集、處理和利用[6]。
三、住宿業者依法可以要求登記、影印身分證資料
從前兩段可以知道,身分證上資料有身分證號碼、姓名、出生年月日、住址等等,都是一般的個人資料,而住宿業者如果要求登記以及影印,則是個人資料保護法的「蒐集和處理」行為,因此住宿業者需要符合個人資料保護法允許的理由才可以要求房客提供身分證資料。
在「觀光旅館業管理規則」、「旅館業管理規則」以及「民宿管理辦法」中,均有規定住宿業者必須登記每日住宿旅客資料[7],立法理由說明需要登記的理由是為了確保交易及旅客住宿安全,因此住宿業者確實可以要求登記、影印身分證資料,然而依照個人資料保護法的規定,必須基於確保交易及旅客住宿安全的特定目的,而如果是為了分析旅館的來客資料,或寄送廣告信等,就必須另外符合個人資料保護法第20條的規定[8]才可以。業者如果沒有對每日住宿旅客登記資料的話,可能面臨1 ~ 5萬元的罰鍰[9]。
四、結論
住宿業者若是為確保交易及旅客住宿安全需要,於入住時依法可以請求住客提供身分證資料登記、影印,但是因此蒐集的資料除非有其他法律允許的理由,不可以挪為他用。
註腳
- 這邊所寫的行為,是參考個人資料保護法的行為種類,可以看個人資料保護法第2條第3至5款:「本法用詞,定義如下:……
三、蒐集:指以任何方式取得個人資料。
四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。
五、利用:指將蒐集之個人資料為處理以外之使用。」 - 個人資料保護法第2條第1款:「本法用詞,定義如下:一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。(以下略)」
- 個人資料保護法第6條第1項:「有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:
一、法律明文規定。
二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。」 - 個人資料保護法第2章「公務機關對個人資料之蒐集、處理及利用」;第3章「非公務機關對個人資料之蒐集、處理及利用」。
- 法務部依照個人資料保護法第53條授權,有公布「個人資料保護法之特定目的及個人資料之類別」,提供使用個資的人或是企業參考。例如其中即有「一七○ 觀光行政、觀光旅館業、旅館業、旅行業、觀光遊樂業及民宿經營管理業務」。
- 個人資料保護法第19條第1項:「非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:
一、法律明文規定。
二、與當事人有契約或類似契約之關係,且已採取適當之安全措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
五、經當事人同意。
六、為增進公共利益所必要。
七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。
八、對當事人權益無侵害。」 - 旅館業管理規則第23條:「
I 旅館業應將每日住宿旅客資料登記;其保存期間為半年。
II 前項旅客登記資料之蒐集、處理及利用,並應符合個人資料保護法相關規定。」
立法理由:「
一、按現行條文原係配合流動人口登記辦法第三條規定而訂定,嗣該辦法業於九十七年九月九日廢止,故目前已無每日將旅客登記資料報送警察機關之必要。惟為確保交易及旅客住宿安全,仍有登記每日住宿旅客資料之需要,爰修正第一項規定,保留旅館業登記每日住宿旅客資料之法源依據。
二、電腦處理個人資料保護法於九十九年五月二十六日修正為個人資料保護法並自一百零一年十月一日施行後,旅館業已納入適用範圍,其依第一項規定取得旅客個人資料,應有該法之適用,爰增訂第二項規定,就其蒐集、處理及利用逕依該法規定,本規則不另為其他規定。」
觀光旅館業管理規則第19條:「
I 觀光旅館業應登記每日住宿旅客資料;其保存期間為半年。
II 前項旅客登記資料之蒐集、處理及利用,並應符合個人資料保護法相關規定。」
民宿管理辦法第28條:「
I 民宿經營者應將每日住宿旅客資料登記;其保存期間為六個月。
II 前項旅客登記資料之蒐集、處理及利用,並應符合個人資料保護法相關規定。」 - 個人資料保護法第20條:「
I 非公務機關對個人資料之利用,除第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:
一、法律明文規定。
二、為增進公共利益所必要。
三、為免除當事人之生命、身體、自由或財產上之危險。
四、為防止他人權益之重大危害。
五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
六、經當事人同意。
七、有利於當事人權益。
II 非公務機關依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。
III 非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支付所需費用。」 - 發展觀光條例第55條第3項:「觀光旅館業、旅館業、旅行業、觀光遊樂業或民宿經營者,違反依本條例所發布之命令,視情節輕重,主管機關得令限期改善或處新臺幣一萬元以上五萬元以下罰鍰。」