內容摘要
學校屬於「電腦處理個人資料保護法」之規範主體,對於學生個人資料之利用,應於蒐集之特定目的必要範圍內為之,如有逾越而造成當事人權益受損害時,應負損害賠償責任。
由於該法適用主體及保護客體太過狹隘,例如一般非以蒐集或處理個人資料為主要業務之個人、非以電腦處理之個人基本資料,均非本法規範之範圍,導致規範面不足,特別是隨著網路技術應用迅速發展,很多新興行業所蒐集或持有的個人資料若經不當利用,對個人隱私之侵害也相當嚴重,但卻不受該法規範,例如線上算命與婚姻仲介網站等,有必要因應現實社會之需要予以增修。
關於「電腦處理個人資料保護法」之修訂,法務部已於民國 92 年底完成修訂草案送院審查,行政院亦已於民國 93 年 9 月完成審查送立法院審議,目前立法院已就全案大體討論完成,並於 民國 94 年 4 月 18 日 初審通過,刻正付二讀中,修訂的重點計有下列六個方向:
一﹑擴大保護客體:將法規名稱修訂為「個人資料保護法」,擴大保護客體,不再以經電腦處理之個人資料為限,俾貫徹對個人資料之保護。
二﹑普遍適用主體:將依法行使公權力之各級政府機關、行政法人、自然人、法人或其他團體全數納入範圍,全面放寬規範主體。
三﹑增修行為規範:除規範電腦處理個人資料外,將本法規範行為擴及至包括各式蒐集、處理及利用行為,並應與蒐集之目的具有正當合理之關聯」,以防止資料蒐集者巧立名目或理由,任意的蒐集、處理或利用個人資料,或與其他目的作不當之聯結。
四﹑強化行政監督:中央目的事業主管機關或直轄市、縣 ( 市 ) 政府發現非公務機關違反本法規定或認有必要時,得採取強制措施,以明訂賦予監督機關有命令、檢查及處分權。
五﹑妥適調整罰則:為避免罰金數額上限偏低,無法收刑懲之效,修訂提高罰金數額上限;另增訂意圖營利違犯者,須負擔較高刑罰,以遏阻違犯意圖。
六﹑促進民眾參與:鼓勵民間公益團體能參與個人資料之保護並方便被害民眾行使損害賠償請求權,期能發揮民間團體力量,共同推動個人資料保護工作。
相信不久的將來修法通過後,適用主體與保護客體擴大,將更加能夠貫徹對個人資料的保護,減少當事人之隱私遭受侵害情形出現。
案例事實
霍元乙自就讀中部某私立大學農業經濟系一年級開始,便在該校的教務處當工讀生,他的主要工作就是協助將該校註冊學生的個人資料建立電子檔案,因此他可以接觸到該校大量的學生個人資料,包含學生本身年籍資料、通訊地址、電話號碼、家長年籍資料及職業等,從完整的在學生學籍資料,到歷屆畢業生通訊錄等電腦檔案,可說是鉅細靡遺。
這學年又即將結束,每年的暑假都是該校學生參加校外補習班補習,以準備明年畢業時報考研究所的旺季,由於補習班同業間競爭激烈,每家補習班都想掌握該校每屆學生的個人資料,以便利用該個人資料,招攬學生參加補習。
狀元補習班的老闆洪大功得知霍元乙在該校教務處打工,隨時可以輕易取得該校全體學生的個人資料,因此表示願意僱用霍元乙為該補習班的駐校專員,只要霍元乙提供該校學生的個人姓名、就讀系級、電子郵件地址或手機號碼,每一筆資料將可獲得新台幣五元,霍元乙心想這是個輕而易舉的工作,但是不知道是否合法?因此考慮甚久,苦惱不已。
法律分析
我國對於個人資料的保護,目前是依據現行之「電腦處理個人資料保護法」來規範,其制訂的宗旨即在於避免隱私權受到侵害,並促進個人資料之合理利用。因此,只要是符合本法定義中的「電腦處理個人資料」,未依規定蒐集、利用,即有可能觸犯其相關規定,如果侵害到資料當事人權益而遭到提出告訴,更必須擔負刑事或民事的責任。
依據「電腦處理個人資料保護法」第三條的規定:「個人資料:指自然人之姓名、出生年月日、身分證統一編號、特徵、指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社會活動及其他足資識別該個人之資料。電腦處理:指使用電腦或自動化機器為資料之輸入、儲存、編輯、更正、檢索、刪除、輸出、傳遞或其他處理。蒐集:指為建立個人資料檔案而取得個人資料。利用:指公務機關或非公務機關將其保有之個人資料檔案為內部使用或提供當事人以外之第三人。」,其中「非公務機關」指的是徵信業及以蒐集或電腦處理個人資料為主要業務之團體或個人、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業等八大行業。
其次,依「電腦處理個人資料保護法」第十八、十九及二十八條規定:非公務機關未經目的事業主管機關依本法登記並發給執照者,不得為個人資料之蒐集、電腦處理及利用,其對個人資料之蒐集或電腦處理,必須有特定目的,且須符合下列情形之一,方得為之:
(一)經當事人書面同意者。
(二)與當事人有契約或類似契約的關係而對當事人權益無侵害之虞者。
(三)已公開之資料且無害於當事人之重大利益者。
(四)為學術研究而有必要且無害於當事人之重大利益者。
(五)依本法第三條第七款第二目有關之法規及其他法律有特別規定者。
(六)違反本法規定者,致當事人權益受損害者,應負損害賠償責任。
此外,依「電腦處理個人資料保護法」第二十三條規定:非公務機關對個人資料之利用,應於蒐集之特定目的必要範圍內為之。除非有下列情形之一者,方得為特定目的外之利用:
(一)為增進公共利益者。
(二)為免除當事人之生命、身體、自由或財產上之急迫危險者。
(三)為防止他人權益之重大危害而有必要者。
(四)當事人書面同意者。
在本案例中,由於學生個人之學籍資料、歷屆畢業生通訊錄等電腦檔案,因內含學生之姓名、出生年月日、家庭、教育及其他足資識別該個人之資料,且使用電腦為資料之輸入、儲存、編輯,故屬於「電腦處理個人資料」,霍元乙在學校中工讀,係該校之受僱人,藉工作之便,如將其所取得的學生個人資料,無故提供洪大功利用,做為其招攬學生參加補習之用,則屬於屬非公務機關,因業務知悉或持有之個人資料,未獲得當事人之同意或依據其他法定合法事由提供他人,屬於上述該法中所規定之「對個人資料之不當利用」,確已侵害當事人權益,如經當事人提起告訴,霍元乙之僱用人,亦即該所私立大學,也就是該法所規定的「非公務機關」,將依該法之相關規定負其法律責任。
霍元乙就讀的該校校長,因係該校負責人,由於對學生個人資料的保護措施,未盡相當之注意,違反電腦處理個人資料保護法第二十三條之利用範圍,依該法第三十八條之規定,將會遭其目的事業主管機關即教育部,處該校負責人新台幣二萬元以上十萬元以下罰鍰,另民事責任部分,該私立大學則須依民法第一八四條第二項前段,違反保護他人之法律,致生損害於他人者,與受僱人霍元乙連帶負賠償責任。
管姬姿本人則違犯刑法第三百五十九條之規定,無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人,如學校提出告訴,可處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金;但因霍元乙本人並不在電腦處理個人資料保護法第三條第一項第七款所明訂的規範主體內,故無法依該法負其責任。
由於該法適用主體及保護客體太過狹隘,例如一般非以蒐集或處理個人資料為主要業務之個人、非以電腦處理之個人基本資料,均非本法規範之範圍,導致規範面不足,特別是隨著網路技術應用迅速發展,很多新興行業所蒐集或持有的個人資料若經不當利用,對個人隱私之侵害也相當嚴重,但卻不受該法規範,例如線上算命與婚姻仲介網站等,有必要因應現實社會之需要予以增修。
新修訂草案已將依法行使公權力之各級政府機關、行政法人、自然人、法人或其他團體全數納入規範範圍。
專家建議
個人資料係屬當事人隱私的一部分,依「電腦處理個人資料保護法」第四條規定:當事人得行使閱覽、製給複製本、請求補充或更正、刪除、停止電腦處理及利用等相關權利,不得預先拋棄或以特約限制之;另外,不論是公務機關抑或是私人公司,從事電腦處理個人資料之蒐集、利用均須十分謹慎,以免觸法。
從上述案例來看,學校即屬於電腦處理個人資料保護法之規範主體,對於學生個人資料之利用,應於蒐集之特定目的必要範圍內為之,如有逾越而造成當事人權益受損害時,應負損害賠償責任。
由於該法適用主體及保護客體太過狹隘,例如一般非以蒐集或處理個人資料為主要業務之個人、非以電腦處理之個人基本資料,均非本法規範之範圍,導致規範面不足,特別是隨著網路技術應用與普及迅速發展,很多新興行業所蒐集或掌握的資料若經不當利用,對個人隱私之侵害也相當嚴重,但卻不受該法規範,例如線上算命與婚姻仲介網站等,有必要因應現實社會之需要予以增修。
關於「電腦處理個人資料保護法」之修訂,法務部已於民國 92 年底完成修訂草案送院審查,行政院亦已於民國 93 年 9 月完成審查送立法院審議,目前立法院已就全案大體討論完成,並於 民國 94 年 4 月 18 日 初審通過,刻正付二讀中,修訂的重點計有下列六個方向:
一﹑擴大保護客體:將法規名稱修訂為「個人資料保護法」,擴大保護客體,不再以經電腦處理之個人資料為限,俾貫徹對個人資料之保護。
二﹑普遍適用主體:將依法行使公權力之各級政府機關、行政法人、自然人、法人或其他團體全數納入範圍,全面放寬規範主體。
三﹑增修行為規範:除規範電腦處理個人資料外,將本法規範行為擴及至包括各式蒐集、處理及利用行為,並應與蒐集之目的具有正當合理之關聯」,以防止資料蒐集者巧立名目或理由,任意的蒐集、處理或利用個人資料,或與其他目的作不當之聯結。
四﹑強化行政監督:中央目的事業主管機關或直轄市、縣 ( 市 ) 政府發現非公務機關違反本法規定或認有必要時,得採取強制措施,以明訂賦予監督機關有命令、檢查及處分權。
五﹑妥適調整罰則:為避免罰金數額上限偏低,無法收刑懲之效,修訂提高罰金數額上限;另增訂意圖營利違犯者,須負擔較高刑罰,以遏阻違犯意圖。
六﹑促進民眾參與:鼓勵民間公益團體能參與個人資料之保護並方便被害民眾行使損害賠償請求權,期能發揮民間團體力量,共同推動個人資料保護工作。
相信不久的將來修法通過後,適用主體與保護客體擴大,將更加能夠貫徹對個人資料的保護,減少當事人之隱私遭受侵害情形出現。
參考依據
• 電腦處理個人資料保護法第一條:「為規範電腦處理個人資料,以避免人格權受到侵害,並促進個人資料之合理利用,特制定本法。」
• 電腦處理個人資料保護法第三條:「個人資料:指自然人之姓名、出生年月日、身分證統一編號、特徵、指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社會活動及其他足資識別該個人之資料。電腦處理:指使用電腦或自動化機器為資料之輸入、儲存、編輯、更正、檢索、刪除、輸出、傳遞或其他處理。蒐集:指為建立個人資料檔案而取得個人資料。利用:指公務機關或非公務機關將其保有之個人資料檔案為內部使用或提供當事人以外之第三人。」
• 電腦處理個人資料保護法第十八條:「非公務機關對個人資料之蒐集或電腦處理,必須有特定目的,且須符合下列情形之一,方得為之:
一、經當事人書面同意者。
二、與當事人有契約或類似契約的關係而對當事人權益無侵害之虞者。
三、已公開之資料且無害於當事人之重大利益者。
四、為學術研究而有必要且無害於當事人之重大利益者。
五、依本法第三條第七款第二目有關之法規及其他法律有特別規定者。」
• 電腦處理個人資料保護法第十九條第一項:「非公務機關未經目的事業主管機關依本法登記並發給執照者,不得為個人資料之蒐集、電腦處理及利用。」
• 電腦處理個人資料保護法第二十三條:「非公務機關對個人資料之利用,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:
一、為增進公共利益者。
二、為免除當事人之生命、身體、自由或財產上之急迫危險者。
三、為防止他人權益之重大危害而有必要者。
四、當事人書面同意者。
• 電腦處理個人資料保護法第二十八條第一項:「非公務機關違反本法規定,致當事人權益受損害者,應負損害賠償責任。」
• 電腦處理個人資料保護法第三十八條:「有左列情事之一者,其目的事業主管機關處負責人新台幣二萬元以上十萬元以下罰鍰,並令限期改正,逾期未改正者,按次處罰之。」
• 刑法第三百五十九條:「無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科二十萬元以下罰金。」
• 民法第一百八十四條第一項前段:「因故意或過失,不法侵害他人之權利者,負損害賠償責任。」
• 民法第一百八十八條第一項前段:「受僱人因執行職務,不法侵害他人之權利者,由僱用人與行為人連帶負損害賠償責任。」
民法第一百九十五條第一項前段:「不法侵害他人之身體、健康、名譽、自由、信用、隱私、貞操,或不法侵害其他人格法益而情節重大者,被害人雖非財產上之損害,亦得請求賠償相當之金額。」