- 發布單位
Q1:為什麼個人資料保護法(下稱本法)規定蒐集、處理或利用個人資料,需要有「特定目的」?又所謂的「特定目的」究何所指?特種資料的蒐集、處理或利用是否亦需有「特定目的」?
A:
依經濟合作暨發展組織(OECD)所揭示之「目的明確化原則」及「限制利用原則」,個人資料於蒐集時其目的即應明確化,其後的利用亦應與蒐集目的相符合,個人資料的利用,除符合法定要件外,不得為特定目的以外的利用。
依本法第53條規定訂定之「個人資料保護法之特定目的及個人資料之類別」雖列有182項之特定目的,惟上開法規命令之總說明略以: 例示或概括之特定目的及個人資料類別,並非可包含所有可能之活動,公務機關或非公務機關於參考本規定,選擇特定目的及個人資料類別時,仍宜提出詳盡之業務活動說明,以補充澄清特定目的及個人資料類別實質內涵。
換言之,只要可以表明其合法蒐集、處理及利用之特定目的及個人資料類別即可,故依本條所訂之特定目的及個人資料類別僅係供公務機關及非公務機關參考使用。(請參「捌、個人資料保護法之特定目的及個人資料之類別」)。
又依本法第5條規定:「個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。」蒐集、處理或利用特種資料,亦適用上開規定,故其蒐集、處理或利用應有特定目的,乃屬當然。
Q2:公務機關在哪些情形下,可以蒐集、處理或利用一般個人資料?
A:
1. 公務機關蒐集或處理「一般個人資料」,必須有「特定目的」,並且符合下列情形之一(本法第15條、第7條規定;施行細則第10條規定):
(1) 執行法定職務必要範圍內。
(2) 經當事人同意。
(3) 對當事人權益無侵害。
2. 公務機關利用「一般個人資料」,應區分「特定目的內利用」或「特定目的外利用」,其要件如下(本法第16條、第7條規定;施行細則第9條、第10條、第15條、第17條規定):
(1) 「特定目的內利用」:公務機關利用當事人之一般個人資料,原則上應在執行法定職務必要範圍內為之,並與蒐集之特定目的相符。
(2) 「特定目的外利用」:公務機關於有下列情形之一時,得將一般個人資料為特定目的外之利用:
①法律明文規定。
②為維護國家安全或增進公共利益所必要。
③為免除當事人之生命、身體、自由或財產上之危險。
④為防止他人權益之重大危害。
⑤公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
⑥有利於當事人權益。
⑦經當事人同意。
Q3:本法之告知義務所指為何?
A:
公務機關或非公務機關在蒐集當事人的個人資料時,應同時向當事人告知法定事項;除非有法律所規定的例外情形,才能不履行此項告知義務。其詳細規定如下(本法第8條、第9條規定;施行細則第9條、第10條、第11條、第13條、第16條、第17條規定):
1. 「由當事人提供」(直接蒐集)其個人資料時,應明確告知之事項:
(1) 該蒐集個人資料的公務機關或非公務機關之名稱。
(2) 蒐集之目的。
(3) 所蒐集的個人資料類別。
(4) 該個人資料利用的期間、地區、對象及方式。
(5) 當事人依本法第3條規定得行使的權利及方式。
(6) 當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
2. 「非由當事人提供」(間接蒐集)其個人資料時,應告知之事項:
公務機關或非公務機關若非直接向當事人蒐集個人資料時,應於處理或利用當事人的個人資料前,告知該個人資料來源及(1)~(5)所列事項。
3. 「由當事人提供」其個人資料時,該蒐集個人資料之公務機關或非公務機關得例外不向當事人履行告知義務之情形有:
(1) 依法律規定可以不用告知。
(2) 個人資料的蒐集為公務機關執行法定職務所必要。
(3) 個人資料的蒐集為非公務機關履行法定義務所必要。
(4) 告知將妨害公務機關執行法定職務。
(5) 告知將妨害公共利益。
(6) 當事人明知應告知之內容。
(7) 個人資料之蒐集非基於營利之目的,且對當事人顯無不利之影響。
4. 「非由當事人提供」其個人資料時,該蒐集個人資料之公務機關或非公務機關得例外不向當事人履行告知義務之情形有:
(1) 有本法第8條第2項所列各款情形之一。
(2) 當事人自行公開或其他已合法公開之個人資料。
(3) 不能向當事人或其法定代理人為告知。
(4) 基於公共利益為統計或學術研究之目的而有必要,且該資料須經提供者處理後或蒐集者依其揭露方式,無從識別特定當事人者為限。
(5) 大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。
5. 依本法第6條第2項規定,蒐集、處理或利用特種資料,準用同法第8條、第9條規定,故直接或間接蒐集特種資料,除有免為告知之事由外,亦應向當事人告知相關法定事項。