一、前言
個人資料[1]中有部分資料的性質較為特殊或具敏感性,如任意蒐集、處理或利用,恐怕會造成社會不安或對當事人造成難以彌補的傷害,因此個人資料保護法特別於第6條規範需要受到特別保護的「特種個人資料[2]」。
然而,因為個人資料保護法關於「特種個人資料」的規定具有高度爭議性,經過多次修法後,於2016年3月15日才正式施行。(見圖1)
資料來源:韓瑋倫 / 繪圖:Yen
二、特種個人資料的定義
個人資料保護法將6種需要受到特別保護的個人資料定義為「特種個人資料」,原則上是不能蒐集、處理或利用的,分別為:
(一)病歷[3];
(二)醫療[4];
(三)基因[5];
(四)性生活[6];
(五)健康檢查[7];
(六)犯罪前科[8]。
三、特種個人資料的合法運用方式
由於特種個人資料具有高度敏感性,無論是公務機關或非公務機關,原則上都不可以蒐集、處理或利用,除非符合個人資料保護法第6條但書規定的6種情況之一:
(一)法律明文規定。
例如醫師依醫師法[9]及醫療法[10]的規定,於執行業務時,有製作病歷的義務,並有增刪病歷的權限。
(二)公務機關執行法定職務,或非公務機關履行法定義務所必要,且有適當安全維護措施。
例如國防部為加強營區緝毒,將申請入營洽公人員名冊提供臺灣高等檢察署輸入全國毒品資料庫查核是否為毒品高危險人口,可能涉及犯罪前科這類特種個人資料,符合「公務機關執行法定職務[11]」。另例如台灣票據交換所依「票據交換及銀行間劃撥結算業務管理辦法」第17條第1項至第3項規定[12]蒐集、處理及利用支票存款戶的票據信用資訊及使用票據涉及犯罪的偵審結果等特種個人資料,符合「非公務機關履行法定義務所必要[13]」。
(三)當事人自行公開,或其他已合法公開之個人資料。
例如法院依法公開的判決內容。但要特別注意,如果是司法單位寄到家裡的起訴書或判決書,因為上面載有當事人的年籍資料、居住地址等個人資料,就與法院公開的判決內容不同,不可任意轉貼、散布,以免觸法。
(四)公務機關或學術研究機構,為了醫療、衛生或犯罪預防,必須進行統計或學術研究,且經一定程序所為蒐集、處理或利用之個人資料。
例如實務見解認為[14],衛生福利部中央健康保險署將民眾的個人健保資料提供予國家衛生研究院建置「全民健康保險研究資料庫」及衛生福利部建置「衛生福利資料科學中心」,即符合本款的要件。
(五)為協助公務機關執行法定職務,或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
例如醫療機構依高雄市政府衛生局的請求提供失聯精神個案的就醫病歷資料[15]。
(六)經當事人書面同意[16]。但請留意即使得到當事人書面同意,如果逾越特定目的的必要範圍,或其他法律另有限制不可以只依當事人書面同意便蒐集、處理或利用,或當事人是在違反意願的情況下表示同意(例如受到脅迫),仍然不可以蒐集、處理或利用。
四、小結
一般民眾在蒐集、處理、利用他人的「特種個人資料」時,若違反個人資料保護法第6條第1項的規定,輕則處以新臺幣5萬元以上50萬元以下罰鍰[17],重則有5年以下有期徒刑及併科新臺幣100萬元以下罰金的刑事責任[18]。因此,如有任何法律適用上的疑慮,請務必事先諮詢法律專業人士,以免觸法。
註腳
- 關於哪些資料屬於個人資料,請見韓瑋倫(2021),《哪些資料是個人資料?判斷標準是什麼?》。
另外其他個人資料保護的相關文章,請見韓瑋倫(2020),《什麼是利用個人資料的「特定目的」與「必要範圍」?》;
韓瑋倫(2019),《個人資料保護法對於公務機關,是怎麼規範的?》;
韓瑋倫(2020),《如果違法蒐集、處理或利用個人資料,會有甚麼法律責任?》。 - 個人資料保護法第6條:「
I 有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:
一、法律明文規定。
二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
三、當事人自行公開或其他已合法公開之個人資料。
四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。
II 依前項規定蒐集、處理或利用個人資料,準用第八條、第九條規定;其中前項第六款之書面同意,準用第七條第一項、第二項及第四項規定,並以書面為之。」 - 個人資料保護法施行細則第4條第1項:「本法第二條第一款所稱病歷之個人資料,指醫療法第六十七條第二項所列之各款資料。」
- 個人資料保護法施行細則第4條第2項:「本法第二條第一款所稱醫療之個人資料,指病歷及其他由醫師或其他之醫事人員,以治療、矯正、預防人體疾病、傷害、殘缺為目的,或其他醫學上之正當理由,所為之診察及治療;或基於以上之診察結果,所為處方、用藥、施術或處置所產生之個人資料。」
- 個人資料保護法施行細則第4條第3項:「本法第二條第一款所稱基因之個人資料,指由人體一段去氧核醣核酸構成,為人體控制特定功能之遺傳單位訊息。」
- 個人資料保護法施行細則第4條第4項:「本法第二條第一款所稱性生活之個人資料,指性取向或性慣行之個人資料。」
- 個人資料保護法施行細則第4條第5項:「本法第二條第一款所稱健康檢查之個人資料,指非針對特定疾病進行診斷或治療之目的,而以醫療行為施以檢查所產生之資料。」
- 個人資料保護法施行細則第4條第6項:「本法第二條第一款所稱犯罪前科之個人資料,指經緩起訴、職權不起訴或法院判決有罪確定、執行之紀錄。」
- 醫師法第12條第1項規定:「醫師執行業務時,應製作病歷,並簽名或蓋章及加註執行年、月、日。」
- 醫療法第68條第2項規定:「前項病歷或紀錄如有增刪,應於增刪處簽名或蓋章及註明年、月、日;刪改部分,應以畫線去除,不得塗燬。」
- 法務部法律字第10703515980號函(2018/10/19)意旨參照。
- 票據交換及銀行間劃撥結算業務管理辦法第17條第1項至第3項規定:「
I 票據交換所及辦理支票存款業務之金融業者基於辦理票據交換業務之目的,應蒐集支票存款戶之票據信用資訊,辦理支票存款業務之金融業者應將其保有之票據信用資訊提供票據交換所。
II 前項票據信用資訊發生變動者,票據交換所應予以註記;對票據信用顯著不良者之下列資料,並應定期通報辦理支票存款業務之各金融業者:
一、個人戶之戶名、身分證統一編號。
二、不具法人人格之行號、團體戶之戶名、負責人姓名及身分證統一編號。
三、法人戶之戶名、公司或商業統一編號或扣繳單位統一編號。
III 第一項規定之票據信用資訊,包括開戶基本資料、掛失止付、撤銷付款委託、退票紀錄(含警示戶與凍結戶)、被列為拒絕往來戶、使用票據涉及犯罪之偵審結果資料、提示人資料、交換票據及其他有關票據信用之資料;但辦理支票存款業務之金融業者所蒐集之票據信用資訊不含使用票據涉及犯罪之偵審結果資料。」 - 法務部法律字第10103103460號函(2012/5/8)意旨參照。
- 臺北高等行政法院103年度訴更一字第120號判決參照。
- 法務部法律字第10603509600號函(2017/9/5)意旨參照。
- 例如保險法第177條之1對於同意方式,便更明確規定:「
I 符合下列各款規定之一者,於經本人書面同意,得蒐集、處理或利用病歷、醫療、健康檢查之個人資料:
一、依本法經營或執行業務之保險業、保險代理人、經紀人、公證人。
二、協助保險契約義務之確定或履行而受保險業委託之法人。
三、辦理爭議處理、車禍受害人補償業務而經主管機關許可設立之保險事務財團法人。
II 前項書面同意方式、第一款業務範圍及其他應遵行事項,由主管機關訂定辦法管理之。
III 保險業為執行核保或理賠作業需要,處理、利用依法所蒐集保險契約受益人之姓名、出生年月日、國民身分證統一編號及聯絡方式,得免為個人資料保護法第九條第一項之告知。
IV 中華民國一百年六月十四日修正之本條文施行前,第一項各款之人已依法蒐集之病歷、醫療、健康檢查之個人資料,於修正施行後,得繼續處理及為符合蒐集之特定目的必要範圍內利用。」 - 個人資料保護法第47條第1款規定:「非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣五萬元以上五十萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之:一、違反第六條第一項規定。」
- 個人資料保護法第41條規定:「意圖為自己或第三人不法之利益或損害他人之利益,而違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定,或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分,足生損害於他人者,處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。」