淺談個人資料保護法(一)

個人資料保護法(下稱個資法)原名為電腦處理個人資料保護法。由於電腦處理個人資料保護法保護的範圍限於經電腦處理的個人資料，而且受規範的行業也不多，適用範圍過於狹隘，已經無法適用於資訊傳媒及網路發達的時代，因此在民國99年99年5月26日公布修正全文並更名為個人資料保護法，旨在資訊科技的時代，創造一個安全的資訊生活環境，避免人格權受侵害並促進個人資料合理利用，近年來，也根據歐盟、日本等國的個人資料保護法數次修正個資法。

個人資料保護法為了因應社會變遷，將適用範圍擴張至所有形式的個人資料(包含紙本資料)，受拘束的行業也從原本的8大行業擴張到所有行業，負舉證責任者也從受害人改為被告企業公司，另外也加重刑事責任、民事賠償額度、行政罰責以及負責人的監督責任。

受個人資料保護法所保護的資料，依個資法第2條的定義，包含「自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。」

也就是說，只要是足以讓人直接或間接識別出是個人的資料，不論是紙本或是數位資料，都受到個資法保護。

其中「醫療、基因、性生活、健康檢查、犯罪前科」等資訊，一般稱之為敏感性個資，根據同法第6條所規定，原則上不得蒐集、處理、和利用。除此以外的個資稱之為一般個資。

個資法第5條規定:「個人資料之蒐集、處理或利用，應尊重當事人之權益，依誠實及信用方法為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。」由此可知，處理個人資料有三個層次，分別是個人資料蒐集、處理、利用的原則，這條條文也可說是個資法理的帝王條款。

在蒐集層次，必須明確地告知當事人資料的使用目的及範圍，且須依當事人的請求，就蒐集之資料答覆查詢、提供閱覽或副本。

在處理層次，蒐集資料的目的消失或期限屆滿時，應主動或依當事人請求刪除、停止處理或利用該個人資料。

在利用層次，個人資料只得在執行法定職務及蒐集資料的特定範圍內加以利用。

誠峰國際法律事務所 2018.12.19