綜合專業文章部落格


關於版主
站內搜尋 Search

專業部落格 Blog

全域分類 Menu

益思

2009/04/29 12:53
電子商務個人資料保護法制之研究(4)

•第二項 個人資料權之形成與確立

•第一款 個人資料權之形成

盜取他人關於其個人之秘密而加以公開之情形,在向來隱私權之領域內,本屬隱私權侵害之一種,但在自動化資訊處理方法革新以後之今日,隱私之概念發生變動,以往未必稱得上秘密、保護需求性較弱的個人資料,已可認為包含在隱私權的範圍中。蓋在資訊社會,任何掌握資訊工具之人,均很容易地無須得該資料關係人之同意而取得其個人資料,同時,亦無須經該關係人之同意而極其便捷地予以保存、流通、使用或銷毀,

尤有進者,資訊業持有關於他人隱私之資料,不但早已不屬資料關係人同意與否之問題,反而已經是可能知悉他人是否有關於其自己隱私資料與否的問題,如此,在今天若未能對於自動化資訊處理體系予以相當之法律上規範,則個人因此而遭受的隱私權損害,自當遠較往昔之隱私權侵害更為複雜而且深刻,同時隱私權之理論方面,若未能針對自動化資訊處理之革新從事因應之改變與充實,則所謂隱私權之保護,自屬有名無實[1]

亦且,由於一般人對電子媒體的個人隱私權,在意識型態上甚為薄弱;而資料處理者任意擷取窺視或組合他人資料,用以滿足個人之好奇心或私人需求卻不以為杵;復以有權蒐集、管理個人資料之權利者,僅持超平常心看待大量的個人資料而不加以尊重。在此三極化交相影響下,透過電腦特有之快速精確的分析比對處理技術,使得個人資料所受侵害程度日益加深。即便是以匿名之方式為個人資料之處理,在現今之資訊處理技術水準下,表面上無法破壞之匿名性,已可經由簡單之程序重新擬人化;經由相關資訊之附加,個人同一性重建之界限被繼續地降低,建立每個人廣泛且仔細之概像-亦即個人人格之剖面圖-並使個人形同「透明人」成為可能[2]

個人資料是否應予保護?如果應予保護法律上如何應對?凡此問題並非電腦問世之後才發生之問題,但不可否認地,電腦的使用使此等問題之發生更形頻繁,加害程度更形深刻、廣泛[3]。就在上述資訊處理的特性與發展下,個人資料保護問題愈行受到重視,個人資料權亦於焉浮現。

•第二款 個人資料權之意義及內涵

要了解個人資料的意義,首先必須掌握何謂「個人資料」。所謂個人資料或稱個人資訊,根據學者Raymond Wacks所下的定義,係指「有關於個人的事實、通訊和意見,被合理地期待為私密的或敏感的,因而對於它們的收集、使用或流傳會想加以阻止或限制。」[4]德國「聯邦個人資料保護法」第二條之定義為「關於特定或得特定之自然人屬人或屬事之個別資料。」[5]歐盟1995資料保護指令第二條定義為「指有關識別或足資識別自然人(資料當事人)之任何資訊;足資識別之人指直接或間接能予識別者,特別是以參考識別號碼或以其身體、生理、精神、經濟、文化或社會屬性之一項或多項特定因素。」[6]。美國一九七四年隱私權法a條第四款對「紀錄」(record)的定義為「有關一個人之任何單項性、累積性或集合性之資料,包括但不限於其教育、財務處理、醫療過程,及犯罪或職業經歷等,並包括其姓名、識別號碼、象徵或其他個人之特定表徵,諸如一手指指印、聲音音帶,或一張照片等資料在內。」[7]我國「電腦處理個人資料保護法」(以下簡稱個資法)第三條第一款之定義為「自然人之姓名、出生年月日、身分證統一編號、特徵、指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社會活動及其他足資識別該個人之資料。」

故從我國規定出發,兼採例示規定較純粹的抽象規定為佳,但所謂「足資識別該個人之資料」則有欠明確,語意上似在表明須有證明個人身分之作用,而有一點語焉不詳,尤其在一些新興的個別資料未在條文列舉之列者,例如E-mail信箱、domain name網域名稱等,是否屬於應受保護的個人資料就會發生疑問。所謂「足資識別該個人之資料」究竟應如何解釋,如果比較德國法的定義,其強調「個人關聯性」,若當事人是不特定的,也就是蒐集單位及其所得指揮之人員,均無法確定資料所關聯之個人為何者,那就不是該條所稱的個人資料[8];歐盟指令的定義則也有我國個資法「足資識別」的文字,不過它進一步將足資識別放寬包括「間接」能予識別者。

然而,「間接能予識別」其實還是很不清楚的概念,國內的論述似乎並沒有看到非常明白的解釋,本文認為,解釋上至少應以從寬為原則,因為就個資法例示的項目而言,許多事項例如教育、職業、健康、財務情況、社會活動等,如果不是和姓名、身分證統一編號等資料扣合在一起,事實上也欠缺確認是那一個人的能力,卻已明文受到保護;何況某項資料本身雖不能指涉其所有人,但透過與其他資料的比對或連結,就可能發生個人關聯性,而保護個人資料某種程度也就是在避免這種風險﹔甚至我們可以說,個人資料即使是最典型的身分證字號或姓名,單獨來看都可能是無意義、不造成損害的,但問題就在當它們被和其他資料連結時,將有造成損害的危險,而判斷是否存在此種風險,也就是判斷是否為個人資料所要負擔的功能,其結果,只要是與個人相關的資訊均有產生此種風險的可能,因此也就均應被評價為個人資料,至於是否真的造成損害,則是另一問題而非判斷個人資料所應承載的作用。

在具體的認定上例如IP位址,一般認為其僅為數字之組合,且歸屬於機構或組織而非個人所擁有,應該不能認為屬足資識別個人之資料[9],但如果是個人申請的IP位址則似乎有被認為個人資料的可能;又如cookies[10]所蒐集的網路活動資料,姑且不論有解釋為例示的「社會活動」之可能,至少和病歷、財務情況、社會活動等歷史記錄具有同質性,而且cookies可以識別出是同一電腦再度光臨,而可能解釋為間接識別使用者,遑論其與其他資訊扣合之機會甚大,比如加入會員輸入的會員資料、寄網上文章給朋友輸入的E-mail信箱、購買東西輸入的信用卡號碼等。

在釐清個人資料的定義後,個人資料權的意義也就呼之欲出。和隱私權可界定為對隱私的控制權一樣,個人資料權也就是對個人資料的控制權。主體是個人,客體是前述的個人資料,而作用則是控制,也就是對個人資料的掌握和自主,個人可以將其個人資料事務開放,使他人或公眾知悉、參與,也可以將其封閉,排除他人或國家的介入或支配。賦予個人控制的權利,就是讓個人可以決定在何時、何地、何種程度下,何人可以知悉或參與其個人資料的成分。

從此出發,可認知個人資料權的內涵,應包括國家或他人不得任意蒐集個人資料,否則即破壞個人對其資料之自主和掌握;即令在當事人同意下獲取資訊,亦應在符合當事人認知之範圍內為運用,否則亦超出當事人之控制而違反個人資料權;尤其不應容許任意揭露和公開,蓋此種對隱私侵害的明顯化,在向來隱私權之保護即已被理解。

當然,個人對其資料並無所謂絕對、無法加以限制的控制權;畢竟個人不可能遠離社會而獨居於陰暗的角落,必須考量其在社會團體內發展、依賴聯絡交往之人格。在這樣的社會活動中,不可避免部分個人資料在部分人間流轉,這種輕微的脫離控制例如朋友把自己的姓名、生日告知另一朋友,不應認為係侵害個人資料權[11]。不過,由於國家沒有人際交往的問題,也就沒有此種因素之考慮,毋寧應儘可能避免蒐集資訊,除非是在正當社會公益的考量下,方允許對人民個人資料權為合比例的限制。


 


 

[1] 相關說明參照翁岳生等,資訊立法之研究,行政院研究發展考核委員會委託研究,頁39-40(1994/7)

[2] 葉淑芳,行政資訊公開之研究─以隱私權益之保障為中心,中興大學法研所碩士論文,頁144-145(1999/7)

[3] 參照朱柏松,個人資料保護之研究-近代隱私權概念之形成與發展(上),法學叢刊,一一四期,頁75; 朱柏松,資訊時代的新權利-個人資料權,中信通訊,一八一期,頁93(1991/9)

[4] 參照詹文凱,隱私權之研究,台灣大學法研所博士論文,頁65(1998.7)

[5] 德國「聯邦個人資料保護法」的中譯,參閱林錫堯譯,德國聯邦個人資料保護法,法學叢刊,三十六卷四期,頁1-18。

[6] 歐盟1995年資料保護指令之中譯,參照熊愛卿、詹文凱合譯,歐盟1995年資料保護指令,收錄於熊愛卿,網際網路個人資料保護之研究,台灣大學法研所博士論文,附錄(2000/7)。

[7] 參照詹文凱,隱私權之研究,台灣大學法研所博士論文,頁65(1998.7)

[8] 參照洪榮彬,資訊時代之資料處理與資料保護─以德國聯邦個人資料保護法為中心,輔仁大學法研所碩士論文,頁77(1993/6)

[9] 認為IP位址不在個資法保障範圍者,參照陳家駿等,我國網際網路管理辦法建議草案之訂定,交通部電信總局委託研究,頁166(1998/7)﹔簡榮宗,網路上資訊隱私權保障問題之研究,http://tawanic.com/alan/alan4-08_6-2.html (2001/2/16瀏覽)

[10] 關於cookies技術本文在第三章第一節第一項有略作說明。

[11] 所以歐盟1995資料保護指令第三條就將「自然人單純為個人或家計活動者」排除於適用範圍之外。歐盟1995年資料保護指令之中譯,參照熊愛卿、詹文凱合譯,歐盟1995年資料保護指令,收錄於熊愛卿,網際網路個人資料保護之研究,台灣大學法研所博士論文,附錄(2000/7)


Copyright IS-Law.com
由 益思客服 發表於 綜合專業文章部落格 | 引用 (0) | 閱讀(3117)