法律諮詢及常年法律顧問、刑事法律、民事法律、企業法律、行政救濟、智財法律、各類書狀之代撰、審核或見證。法律諮詢及常年法律顧問、刑事法律、民事法律、企業法律、行政救濟、智財法律、各類書狀之代撰、審核或見證。法律諮詢及常年法律顧問、刑事法律、民事法律、企業法律、行政救濟、智財法律、各類書狀之代撰、審核或見證。法律諮詢及常年法律顧問、刑事法律、民事法律、企業法律、行政救濟、智財法律、各類書狀之代撰、審核或見證。法律諮詢及常年法律顧問、刑事法律、民事法律、企業法律、行政救濟、智財法律、各類書狀之代撰、審核或見證。法律諮詢及常年法律顧問、刑事法律、民事法律、企業法律、行政救濟、智財法律、各類書狀之代撰、審核或見證。

法律資訊

個人資料蒐集的合法要件

黃于珊律師
原文刊載於網路資訊雜誌,2012年7月》

 

「我們公司是不是一定要取得員工的書面同意後,才可以蒐集他們的個人資料」、「我們以前蒐集的客戶資料,在新修正的個人資料保護法施行後是否還可以繼續使用」、「我是否可以與其他公司進行合作,取得他們公司的客戶資料來進行行銷」,新修正的個人資料保護法通過後,許多企業對於應該如何蒐集個人資料,才能符合新法的規定,一直存在許多疑問,因此本文茲就新修正個人資料保護法中,關於個人資料蒐集的合法要件,整理說明如下:

 

應踐行告知義務

公務機關或非公務機關直接向其客戶或員工蒐集個人資料時,應明確告知其下列事項:
一、蒐集這些個人資料的公務機關或非公務機關名稱。
二、蒐集這些個人資料的目的。又根據法務部對於現行「電腦處理個人資料保護法」所發布的「電腦處理
個人資料保護法之特定目的及個人資料之類別」可知,公司對於此處的蒐集目的,並不需要鉅細靡
遺的一一描述,只須概括性的說明其目的為「人事行政管理」、「行銷」或「客戶管理」等即可。
三、所蒐集的個人資料類別。根據法務部對於現行「電腦處理個人資料保護法」所發布的「電腦處理個人
資料保護法之特定目的及個人資料之類別」可知,公司所蒐集的個人資料若為姓名、職稱、住址、
電話號碼、電子郵遞地址等資料,則屬於「識別個人者」;若為銀行帳戶之號碼與姓名、信用卡或
簽帳卡之號碼等資料,則屬於「辨識財務者」;若包含身分證統一編號、證照號碼、護照號碼等資
料,則屬於「政府資料中之辨識者」;若包含年齡、性別、出生年月日、出生地、國籍等資料,則
屬於「個人描述」。
四、個人資料利用之期間、地區、對象及方式。
五、當事人可以行使的權利,包含查詢或請求閱覽其個人資料、請求製給複製本、請求補充或更正、請求
停止蒐集、處理或利用、請求刪除等,以及他們行使權利的方式,例如自行上網進行閱覽、更正或
是與專人連絡。
六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。

 

此外,公務機關或非公務機關若不是直接向其客戶或員工蒐集個人資料,而是從其他人或其他公司處取得這些個人資料,則必須告知當事人其是從何人或何公司處取得這些資料。又在個人資料保護法修正施行前,非由當事人所提供的個人資料,應自本法修正施行之日起一年內完成前述的告知,逾期未告知而處理或利用者,以違反告知義務來論處。

 

應符合法定的情形

公務機關或非公務機關要合法蒐集個人資料,除了要踐行前面的告知義務外,還必須要符合法律所規定的情形,又個人資料保護法中關於個人資料合法蒐集的規定,區分為敏感性個人資料以及一般個人資料,且有不同的要件,茲說明如下:

一、敏感性個人資料:

敏感性個人資料是指醫療、基因、性生活、健康檢查及犯罪前科之個人資料。因為這些資料具有特殊
性、敏感性,而且可能造成社會的不安,以及對當事人造成難以彌補的傷害,因此這些資料原則上不
得蒐集、處理或利用,除有下列情形之一者外:
1、法律明文規定。例如保險法第177-1條即規定經本人書面同意,得蒐集、處理或利用病歷、醫療
、健康檢查之個人資料的情形。
2、公務機關執行法定職務或非公務機關履行法定義務所必要,且有適當安全維護措施。例如醫院得
蒐集、處理或利用病歷、醫療、健康檢查之個人資料。
3、當事人自行公開或其他已合法公開之個人資料。例如明星在媒體上公開其性取向。
4、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且經一
定程序所為蒐集、處理或利用之個人資料。
 

二、一般個人資料:

一般個人資料是指姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、
教育、職業、病歷、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
因個人資料保護法中關於一般個人資料合法蒐集的規定,區分為公務機關與非公務機關,而規定不同的
要件,茲說明如下:
1、公務機關
對於一般個人資料之蒐集或處理,應有特定目的,並符合下列情形之一:
(1)執行法定職務之必要範圍內。例如戶政機關蒐集、處理全國國民的戶籍資料。
(2)經當事人書面同意。當事人進行書面同意前,蒐集者應先踐行前述告知義務,當事人再為允許
之書面意思表示。又書面意思表示的方式,如其內容可完整呈現,並可於日後取出供查驗者,
經蒐集者及當事人同意,可以電子文件為之。
(3)對當事人權益無侵害。
2、非公務機關
對於一般個人資料之蒐集或處理,應有特定目的,並符合下列情形之一:
(1)法律明文規定。例如:金融業者依銀行法及相關法令對有利害關係者及同一人或同一關係人授
信限制之規範,對相關授信限制對象為資料蒐集與電腦處理,係法律明文規定,而無須當事人
書面同意。
(2)與當事人有契約或類似契約之關係。這裡所指的契約關係,涵蓋任何性質的契約,例如雇傭契約
、買賣契約、贈與契約等,所以當業者利用贈送物品的方式要求活動參與者留下個人資料,即
屬與當事人間成立贈與契約,而無須當事人書面同意。又所謂類似契約關係,是指契約成立前
為訂立契約或進行交易,所為接觸、磋商形成的信賴關係,或是契約消滅時,為了行使權利、
履行義務或確保個人資料完整性等目的,所形成的連繫關係。例如:某顧客嫌某銀行利息過高
,致洽談後不願意貸款,則該銀行之前取得該客戶個人資料行為即為類似契約關係。
(3)當事人自行公開或其他已合法公開之個人資料。例如政府公報中已經公開的個人資料。
(4)學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其
揭露方式無從識別特定之當事人。
(5)經當事人書面同意。
(6)與公共利益有關。
(7)個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大
利益者,不在此限。例如從網際網路中所取得的個人資料,雖不能確定該資料是否為當事人所自
行公開者,或是屬於其他已合法公開之個人資料,但因該資料是取自於一般可得之來源,除非當
事人對於該資料的禁止處理或利用,顯然有更值得保護的重大利益者外,應可合法蒐集。
 
由前述說明可知,「取得當事人書面同意」並不是合法蒐集個人資料的唯一要件。其中,關於敏感性個人資料
,即使「取得當事人書面同意」還是無法蒐集或利用,而一般個人資料,如有法律明文規定,或是與當事人有
契約或類似契約之關係等,則無須當事人書面同意,亦可合法蒐集該個人資料。
 
此外,還必須特別注意,蒐集個人資料時,除必須有法定要件外,蒐集者還必須要踐行告知義務,且在個人資
料保護法修正施行前,非由當事人所提供的個人資料,應自本法修正施行之日起一年內完成前述的告知,否則
都會被認為違反告知義務。