什麼是利用個人資料的「特定目的」與「必要範圍」?

文:韓瑋倫(認證法律人)
  • 2   0
    刊登:2019-10-25 ‧ 最後更新:2020-05-28

    本文
    前言
    個人資料保護法第5條規定:「個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。」也就是說,任何人、任何機關(公務機關及非公務機關)對於個人資料[1]的蒐集、處理或利用,都應具有特定目的,且必須在必要範圍之內。
    究竟什麼是運用個人資料時,應該遵守的「特定目的」及「必要範圍」?
    個人資料保護法所指的「特定目的」
    詳細規定
    個人資料保護法第53條規定:「本法所定特定目的及個人資料類別,由法務部會同中央目的事業主管機關指定之。」,法務部參酌歐盟、英國、比利時、西班牙等外國立法例[2],經會商各中央目的事業主管機關意見後,於2012年10月1日發布「個人資料保護法之特定目的及個人資料之類別[3]」,明定182種特定目的、85種個人資料類別。然而,法務部發布的特定目的類別只是例示規定,並無法包含所有可能的活動,運用個人資料時若無法找到相對應的特定目的,則應以文字詳細說明業務活動的內容[4]
    為什麼需要說明「特定目的」?
    為確保個人資料的蒐集、處理或利用合法且正當,個人資料保護法規定蒐集者應採取適當的安全維護措施[5],包含「界定個人資料的範圍」、「個人資料蒐集、處理及利用的內部管理程序」及「保存相關的證據文件」等[6],說明個人資料蒐集、處理或利用的「特定目的」,即屬於安全維護適當措施的一部份,非公務機關如果沒有採取適當的安全措施,主管機關可依法處以2萬元以上20萬元以下的罰鍰[7],因此公務機關及非公務機關在蒐集、處理或利用個人資料時,建議都以書面或網頁說明等方式具體說明「個人資料保護法之特定目的及個人資料之類別」所示的特定目的項目及代號。
    實例
    舉例而言,檢察機關公告檢察官所為起訴、不起訴處分或緩起訴處分的偵查結果,為執行刑事偵查所生後續相關事務,屬於「刑事偵查」(代號025)及「其他司法行政」(代號174)的特定目的範圍[8];銀行於經營的營業項目必要範圍內蒐集客戶的個人資料,特定目的可能包含「行銷」(代號040)、「金融服務業依法令規定及金融監理需要,所為之蒐集處理及利用」(代號059)、「金融爭議處理」(代號060)、「帳務管理及債權交易業務」(代號104)等。
    個人資料保護法所指的「必要範圍」
    內涵
    個人資料保護法的「必要範圍」的概念較為抽象,其內涵其實就是指憲法第23條規定的「比例原則」[9]
    法院審酌個人資料保護法第5條規定的特定目的「必要」範圍時,會考量是否有違:
    合適性原則:審酌當事人行使的手段是否可達成其目的。
    必要性原則:在所有可能達成目的的方法中,是否已選擇對他人最少侵害的手段。以及
    狹義比例原則:所欲完成的目的及使用手段,是否與因此造成的損害或負擔不成比例。

    此外,並應斟酌當事人利用他人個人資料的行為,是否出於非法、不當的目的。
    實例
    司法實務案例曾認為,社區管理委員會的主任委員核可張貼管理委員會臨時會議的開會通知書,通知書上雖載明特定住戶曾有前案詐欺的刑事紀錄,但只是為了說明該住戶前案詐欺與討論強制遷離議案相關之處,且從主任委員張貼在社區固定公告文書的地點,並未任意在其他地方張貼,判斷主任委員已選擇對於該住戶最少侵害及影響之手段,認為主任委員所為於客觀上並未違反合適性原則、必要性原則及狹義比例原則,主觀上也沒有違反個人資料保護法的不法犯意[10],通過「必要範圍」的檢驗。
    結論
    個人資料的蒐集、處理及利用是否符合個人資料保護法第5條規定的「特定目的」及「必要範圍」,涉及具體個案的事實認定,建議公務機關或非公務機關於參考法務部發布的「個人資料保護法之特定目的及個人資料之類別」,選擇特定目的及個人資料類別時,仍提出詳盡的業務活動說明,並將其列入證據文件或個人資料檔案公開事項作業內,以避免日後可能發生的爭議。

    註腳

    1.   關於哪些資料屬於個人資料,請見韓瑋倫(2019),《哪些資料是個人資料?判斷標準是什麼?》。
      另外其他個人資料保護的相關文章,請見韓瑋倫(2019),《有哪些資料是受到特別保護的特種個人資料?應如何合法運用這些資料?》;
      韓瑋倫(2019),《個人資料保護法對於公務機關,是怎麼規範的?》。
    2.   法務部法律字第10103111060號(2013/1/21)意旨參照。
    3.   法務部,個人資料保護法之特定目的及個人資料之類別:https://mojlaw.moj.gov.tw/LawContent.aspx?LSID=FL010631
    4.   法務部,電腦處理個人資料保護法之特定目的及個人資料之類別修正總說明(2012.10.01修正):https://mojlaw.moj.gov.tw/DESC.aspx?lsid=FL010631
    5.   個人資料保護法第18條:「公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」、
      同法第19條第1項第2款:「非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:二、與當事人有契約或類似契約之關係,且已採取適當之安全措施。」、
      同法第27條第1項:「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」
    6.   個人資料保護法施行細則第12條:「本法第六條第一項但書第二款及第五款所稱適當安全維護措施、第十八條所稱安全維護事項、第十九條第一項第二款及第二十七條第一項所稱適當之安全措施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施。前項措施,得包括下列事項,並以與所欲達成之個人資料保護目的間,具有適當比例為原則:
      一、配置管理之人員及相當資源。
      二、界定個人資料之範圍。
      三、個人資料之風險評估及管理機制。
      四、事故之預防、通報及應變機制。
      五、個人資料蒐集、處理及利用之內部管理程序。
      六、資料安全管理及人員管理。
      七、認知宣導及教育訓練。
      八、設備安全管理。
      九、資料安全稽核機制。
      十、使用紀錄、軌跡資料及證據保存。
      十一、個人資料安全維護之整體持續改善。」
    7.   個人資料保護法第48條第4款:「非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者,按次處新臺幣二萬元以上二十萬元以下罰鍰:……四、違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。」
    8.   法務部法律字第10303515150號(2014/12/27)意旨參照。
    9.   中華民國憲法第23條:「以上各條列舉之自由權利,除為防止妨礙他人自由、避免緊急危難、維持社會秩序,或增進公共利益所必要者外,不得以法律限制之。」
    10.   臺灣士林地方法院104年度自字第14號刑事判決
    2
    這篇文章有幫助到你的話,
    請給我一個讚,謝謝。
    送出 取消
    網站採用CC授權,內容歡迎轉載分享。