綜合專業文章部落格


關於版主
站內搜尋 Search

專業部落格 Blog

全域分類 Menu

益思

2009/04/29 11:51
職場電子郵件監視的隱私權問題研究(6)

 二  電腦處理個人資料保護法

在討論電子郵件監看的隱私權問題時,一般並沒有提到電腦處理個人資料保護法(以下簡稱個資法)的適用,或許是因為感覺屬於秘密通訊自由的範疇,而應落在通訊保障的範圍來討論。但是不可否認的,電子郵件的往來中,包含甚多個人資料,而由於電子郵件電子化的性質,也會該當「電腦處理」的要件,而應受個資法的規範。也就是說,電子郵件的性質特殊,使它除被理解為通訊的一種形式外,也可能包含個人資料的電腦處理行為在內。

首先應說明的是,電子郵件監視是否涉及,以及涉及那些個人資料的電腦處理。電子郵件的監視,會有將信件備份的動作,而該信件所包含的成分─寄件人和收件人的姓名、電子郵件地址、信件標題及內容、接收或發送時間等─均被蒐集而儲存下來,這些資訊是否為個人資料,值得檢視。就姓名而言,是個資法第三條第一款個人資料定義中的例示事項,屬於個人資料並沒有問題﹔電子郵件地址雖未被例示,一般均認為係個人資料[1],法務部所公佈的「電腦處理個人資料保護法之個人資料之類別」亦將「電子郵遞地址」明白列於識別類的C○○一辨識個人者之下[2]﹔有問題的是信件標題及內容、接收或發送時間等資料,究竟是否屬於個人資料,有待對個人資料的概念進一步釐清。

本文認為所謂個人資料,指關於個人的資料[3],因為只要和個人具有連結性,就有產生侵害之可能,至於實際上是否產生侵害,則非在定義層次所能承載的問題。在此認知之下,信件標題及內容、接收或發送時間等資料,與個人具有連結性,因此也應被包含在個人資料的範圍內,而進一步觀察保護個人資料的目的,就是在防免個人的形象透過個人資料的了解而暴露出來,而允許雇主任意獲取此種資料,正是會造成此種侵害,因此認為屬個人資料應屬合理。

而且須注意的是,雇主所蒐集到的個人資料不僅只有員工的,也涵括到與員工信件往來的第三人。

既然電子郵件包含甚多個人資料在內,而電子郵件這種電子化的特質,又使以電腦處理該等資訊成為可能,這從我們自己在郵件管理軟體如Outlook內管理、排列、搜尋信件甚至全文檢索其內容就可以很容易想像,因此就落入個資法的規範範圍內。

在個資法的思考下,電子郵件的監視等於是一種個人資料的蒐集行為,因此應遵守個資法第十八條之規定:「非公務機關對個人資料之蒐集或電腦處理,非有特定目的,並符合左列情形之一者,不得為之:一 經當事人書面同意者。二 與當事人有契約或類似契約之關係而對當事人權益無侵害之虞者。三 已公開之資料且無害於當事人之重大利益者。四 為學術研究而有必要且無害於當事人之重大利益者。五 依本法第三條第七款第二目有關之法規及其他法律有特別規定者。」由於雇主與員工之間已經有僱傭契約存在,因此文義上只要有特定目的,就可以依第二款規定合法化,不過本文從德國聯邦個人資料保護法第二十八條之規定及解釋[4]得到啟發,認為所謂「有契約或類似契約之關係」當作合法化蒐集處理個人資料的理由,應該要是在促進契約或類似契約關係之實現所必須者,才有合理化的可能,而排除與契約不相干的目的,否則本條規定將過度寬泛,導致一簽契約個人資料就處於開放狀態﹔如果認為這樣的限縮解釋有超出文義的問題,就顯然有修法的需要。

至於該款後段所謂「而對當事人權益無侵害之虞者」,本文以為是個篩選作用有限的要件,因為不論何種形式的個人資料蒐集,恐怕都難說「對當事人權益無侵害之虞」,蓋每一筆資料或許無害,但如果和其他某些資料連結,或將許多細微的資料累積、分析,就可能造成極大的侵害,而個人資料保護在資訊時代的意義,正是要防免此種危險,因此有謂「沒有無利益之資料」、「舉凡資料蒐集、處理或利用等行為均具干預性質」即此之謂,就算還是認為有篩選作用,如此不確定概念,也是不易掌握,因此,第二款兩項要件均不妥當,放在一起也無法正當化,實有檢討必要。第三、四款所謂「無害當事人之重大利益」也有類似的問題,均值再予檢討。[5]

接下來的問題是,假如採前述的限縮解釋,那電子郵件監看行為是不是在僱傭契約目的範圍內?是一個不易回答的問題。從前面貳、一監看的理由來看,許多目的似與僱傭目的有關,不過也要注意的是,個資法第六條稱:「個人資料之蒐集或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍。」表現出目的與手段之間合比例性的要求,因此在這個地方應該就必須考慮雇主監看目的的正當性,以及所採取手段對其目的的促進效果,而選擇侵害最小的手段,本文在貳、三的論述,或有助於此處的判斷。

再來,公司亦可以透過第一款「經當事人書面同意者」來取得蒐集及利用的權力,並且此種方式可以較清楚的界分當事人間的權利義務關係,有它的好處,只是這樣的同意和前面通訊保障及監察法提到的一樣,是否基於自由意志值得吾人再思考。

接下來,蒐集之後的利用行為個資法也有規範,第二十三條規定:「非公務機關對個人資料之利用,應於蒐集之特定目的必要範圍內為之。但有左列情形之一者,得為特定目的外之利用:一、為增進公共利益者。二、為免除當事人之生命、身體、自由或財產上之急迫危險者。三、為防止他人權益之重大危害而有必要者。四、當事人書面同意者。」因此就算在第十八條的判斷下,公司可以透過監看電子郵件蒐集到員工的個人資料,也不代表它可以任意使用、傳遞或揭露,因為這些行為都可能進一步造成隱私權的侵害,故要求必須在目的必要範圍內為之。此時所涉及的,其實也同樣是利益衝突與兼顧的問題。

違反上述規定的效果如何?依據個資法第二十八條第一項:「非公務機關違反本法規定,致當事人權益受損害者,應負損害賠償責任。但能證明其無故意或過失者,不在此限。」首先須負民事賠償責任,而相較於民法,有明確的行為態樣規定,且採推定過失責任,對受害人較為有利,但仍然要具體檢討個案中損害的存在與否和大小。

其次,第三十三條有刑事責任之規定:「意圖營利違反......第十八條......第二十三條......致生損害於他人者,處二年以下有期徒刑......。」除了意圖營利的要件外,也是必須要具體檢討是否有損害發生。

此外,第三十八條規定有行政處罰,對於違反第十八、二十三等規定者,可處負責人新台幣二萬元以上十萬元以下罰鍰,並令限期改正,逾期未改正者,按次處罰之。


 


[1] 參照陳家駿等,我國網際網路管理辦法建議草案之訂定,交通部電信總局委託研究,頁166(1998/7)﹔簡榮宗,網路上資訊隱私權保障問題之研究,http://taiwanic.com/alan/alan4-08_7-2.html (2001/2/16瀏覽)

[2] 參照行政院法務部,電腦處理個人資料保護法問答手冊,頁88(1996/9再版)

[3] 參照德國「聯邦個人資料保護法」第二條對個人資料之定義:「關於特定或得特定之自然人屬人或屬事之個別資料。」關於德國「聯邦個人資料保護法」的中譯,參照林錫堯譯,德國聯邦個人資料保護法,法學叢刊,三十六卷四期,頁1-18

[4] 「有左列情形之一者,得儲存、變更或傳遞個人資料,或以利用個人資料為執行自己業務目的之方法:一 在與當事人間之契約關係或類似契約之信任關係之目的範圍內者。二......」關於本條之說明參照洪榮彬,資訊時代之資料處理與資料保護─以德國聯邦個人資料保護法為中心,輔仁大學法研所碩士論文,頁239-240(1993/6)

[5] 該款後段相關檢討意見可參照許文義,個人資料保護法論,頁242,台北,三民(2001/1)﹔黃三榮,個人資料之保護─兼評我國電腦處理個人資料保護法,資訊法務透析,頁48(1998/1)


Copyright IS-Law.com
由 益思客服 發表於 綜合專業文章部落格 | 引用 (0) | 閱讀(2631)