[觀點] 個資蒐集、處理、利用之注意事項

在個人資料保護法裡，隱含了二項重要的精神與要求，其中個人隱私維護是首要項目，它是指必須要在個人資料蒐集、處理、利用的過程中確保個人隱私不會受到侵害，其次則是如何善盡個人資料保護的責任，本文將說明相關的注意事項。

個人資料保護法全文共有56條，內容說明了公務機關與非公務機關在個人資料蒐集、處理及利用的注意事項，以及違反時的賠償與罰則，單就法條內容來看，其實不太容易馬上就能掌握其要求的重點。

但經過歸納分析之後，可以發現個人資料保護法的精神與要求，主要集中在兩件事上，分別是「個人隱私維護」和「個人資料保護」，需要在個人資料蒐集、處理、利用、傳輸，也就是在個人資料的生命週期中予以落實(圖1)。

圖1：個人資料保護法的要求全貌

個人隱私維護的要求，主要來自於個人資料保護法的第一條，「為規範個人資料之蒐集、處理及利用，以避免人格權受侵害，並促進個人資料之合理利用，特制定本法。」其中隱私就是人格權的重要一環，因此個人資料的揭露與否，必須尊重當事人的權益並獲得其同意，以免因侵犯個人的隱私而造成人格的受損。

個人資料保護的要求，則來自於個人資料保護法的第十八條，「公務機關保有個人資料檔案者，應指定專人辦理安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏。」；以及第二十七條，「非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。」

目前，依照法務部個人資料保護事項協調聯繫會議的決議，所有公務機關在99年底前都必須要指定一位個資聯絡窗口及個資召集人，來協調聯繫與個人資料有關的事項，而各機關也要在年底前完成制訂組織的「個人資料保護及管理規範」。

至於非公務機關，未來則是要依照所屬事業目的主管機關的要求，提出「個人資料檔案安全維護計畫」，這份維護計畫的建議內容，可參照上一篇文章的說明。

個人資料蒐集注意事項

所謂的蒐集是指以任何方式來取得個人資料，包括自動化(例如網頁上所填寫的個人資料)或非自動化(人工紙本記錄的個人資料)的方式來進行。

依照個人資料保護法第八條的規定，無論是公務機關或非公務機關，在向當事人蒐集個人資料時，都必須要明確告知當事人以下事項：

1. 蒐集資料的公務機關或非公務機關的名稱。
2. 蒐集的目的，也就是要在未來公布的特定目的中，至少找到一項適用的項目。
3. 個人資料的類別，同樣也是在未來公布的個資類別中，找到適合的類別名稱。
4. 個人資料利用的期間、地區、對象及方式，建議要向當事人說明資料使用時間和保存多久，在哪些地區使用，將會透過什麼方式來使用。
5. 當事人可以行使的權利及方式，例如當事人可以要求更正、刪除、停止使用其個人資料，或要求提供個人資料的複製本。
6. 應說明當事人可以自由選擇是否要提供個人資料，若當事人不願意提供的話，也要清楚告知不提供這些資料，對其個人權益會有哪些影響。

所以，請務必謹記，「只要有蒐集的行為，就會有告知的義務」，除非是法律規定可以不用告知，以及公務機關為了執行法定職務(例如警察執行公務)，或非公務機關為了履行法律規定的義務等，這部份請參照個人資料保護法第八條的五項免告知情形。

另外，依據個人資料保護法第十五條規定，公務機關對於個人資料的蒐集或處理，除了要有特定目的之外，還要符合以下三種情形之一，才可以進行：
一、執行法定職務必要範圍內。
二、經當事人書面同意。
三、對當事人權益無侵害。

建議在實務上，若不是執行法定職務，公務機關想要蒐集民眾的個人資料，最好的方式就是事先取得當事人的書面同意，以避免違反法規的要求。

個人資料處理注意事項

所謂的處理，簡單來說就是指蒐集個人資料之後，將這些資料經過編輯、修改、增刪、傳遞等動作，變成一份個人檔案的過程。依照第十條的規定，在正常情形之下，公務機關和非公務機關都要依照當事人的請求，針對這些個人檔案，提供查詢、閱覽或複製本，而且要在十五天內回覆當事人是否同意或拒絕其請求。

為了要維護這些檔案中個人資料的正確性，公務機關和非公務機關要主動或依照當事人的請求來予以更正或補充，至於回應的時間則是在三十天內要完成。若是個人資料的正確性有爭議時，也要主動或依照當事人請求，停止處理或利用這些個人資料。另外，隨著個人資料蒐集時的特定目的消失或是期限屆滿的時侯，也要依當事人請求，剛除、停止處理或利用這些個人資料。

為了避免個人資料的不當揭露，或是個人資料檔案受到不當的侵害，降低對當事人的衝擊，依據個人資料保護法第十二條的規定，無論是公務機關或非公務機關因違反了個人資料保護法的規定，而導致個人資料被竊取、洩漏、竄改，或是受到其他侵害，都要在查明之後盡快地通知當事人，也就是說，組織必須要事先建立一個通報機制，確保所使用的方式(例如電話、郵寄、email等)可以通知到當事人，並且留下記錄。

個人資料利用注意事項

將處理後的個人檔案使用在特定的目的上(例如行銷)，就是所謂的利用。在個人資料利用方面，最重要的一件事，就是要確認利用時是否和原先蒐集的特定目的是相同的，如果與原先的蒐集目的不同，依據個人資料保護法第十六條的規定，必須要符合以下情形，才能將個人資料用作其他目的：
一、有法律明文規定可引用。
二、為了維護國家安全或增進公共利益。
三、為了免除當事人的生命、身體、自由或財產上的危險。
四、為避免他人的權益受到重大危害。
五、為了公共利益進行統計或學術研究，且資料經過處理不會識別到當事人。
六、有利於當事人的權益。
七、經當事人書面同意。

基於以上的要求，未來在實務方面，建議若將個人資料作其他目的的利用時，最好事先再去取得當事人的書面同意，比較不會有違法利用的風險。

請小心留意才能避免觸法

個人資料保護法的精神與要求，在於個人資料的蒐集、處理或利用的過程中，如何去確保個人隱私和個人資料安全，這是所有擁有個人資料的組織或機關務必要去重視的地方。

在個人資料的蒐集、處理或利用的事項方面，如果是一般民營單位，受到公務機關委託執行和個人資料有關的事項，在個人資料保護法的適用範圍，依據第四條的規定是視同於委託機關的，換句話說，在個人隱私維護和個人資料保護的要求事項，就要比照公務機關來辦理才行。

此外，個人資料保護法第五條提到，「個人資料之蒐集、處理或利用，應尊重當事人權益，依誠實及信用方法為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。」換句話說，個人資料的蒐集、處理及利用，都必須要符合當初蒐集時向當事人說明並獲得同意的目的，而且要與此目的有明顯相關。

萬一日後需要將個人資料，作為其他目的的利用時，則必須要重新獲得當事人的書面同意，而非僅止於口頭上的通知，這點要請經常需要將個人資料用於行銷或業務使用的企業，務必要小心留意以免觸法。(本文刊載於2010年10月號網管人雜誌)