SEARCH

個資法定義之個資行為:深入解析、詳盡解答

2026-06-12 20:56:11

個資法定義之個資行為:全面解析與實務應用

在數位時代,個人資料的保護日益受到重視。台灣的《個人資料保護法》(以下簡稱「個資法」)為此提供了重要的法律框架。理解「個資法定義之個資行為」是企業、組織乃至個人掌握自身權益與義務的基石。本文將深入探討個資法如何定義「個人資料」以及構成「個資行為」的要素,並輔以實務案例,幫助讀者建立全面而具體的認識。

一、 何謂「個人資料」?

首先,我們需要釐清個資法所保護的對象——「個人資料」。根據個資法第2條第1款的定義,個人資料是指「得以直接或間接之方式識別該特定個人之資料。

這句話包含幾個關鍵點:

  • 直接識別: 指該資料本身就能明確指向特定個人,例如姓名、身分證字號、聯絡電話、住址、電子郵件信箱等。
  • 間接識別: 指該資料本身雖不能直接識別個人,但透過與其他資料的組合,足以識別出特定個人。例如,某個人的出生年月日、性別、職業,若與其他公開資訊(如公司名稱、職位)結合,便可能間接識別出該個人。
  • 特定個人: 強調的是識別的對象必須是「特定」的個人,而非普遍性的資訊。

常見的個人資料類型範例:

  • 基本個人資訊: 姓名、性別、出生年月日、身分證字號、護照號碼、軍警職編號等。
  • 聯絡資訊: 電話號碼、手機號碼、住家地址、公司地址、電子郵件信箱等。
  • 財產資訊: 銀行帳戶號碼、信用卡號碼、所得資料、繳稅資料等。
  • 健康與醫療資訊: 病歷、就醫紀錄、體檢報告、基因資料、藥物過敏史等(此類屬於個資法第6條的「特種個人資料」,有更嚴格的保護要求)。
  • 教育與工作資訊: 學歷、經歷、職稱、考績、服務證明等。
  • 生物辨識資訊: 指紋、聲紋、臉部特徵、虹膜等(通常也屬於特種個人資料)。
  • 網絡身份識別資訊: IP位址、MAC位址、Cookie ID、使用者名稱(若可與其他資訊結合識別特定個人)。
  • 個人意見與評價: 透過問卷、訪談等方式收集到的個人意見、評價、偏好等,若能連結到特定個人。

需要注意的是,單一的資料點,如「台北市」,本身並非個人資料。但若與「張先生」結合,則「張先生」的住址「台北市」就成為了個人資料。此外,即使是匿名化或假名化的資料,如果仍有重新識別特定個人的可能性,也可能被視為個人資料。

二、 何謂「個資行為」?

個資法所規範的,並非僅是「持有」個人資料,而是圍繞個人資料所進行的「行為」。個資法第2條第2款定義了「個人資料之蒐集、處理或利用。」這三者是構成「個資行為」的核心。

1. 蒐集 (Collection)

蒐集是指「為了特定目的,通知當事人並取得其個人資料。

  • 特定目的: 蒐集個人資料必須有明確、正當的目的,例如:會員註冊、訂單處理、商品配送、客戶服務、市場分析等。不得任意蒐集,事後再尋找目的。
  • 通知當事人: 在蒐集個人資料時,必須向當事人告知法定事項,包括:
    • 公務機關或非公務機關名稱。
    • 蒐集之目的。
    • 個人資料之類別。
    • 個人資料利用之期間、地區、對象及方式。
    • 當事人就其個人資料得行使之權利及其行使方式。
    • 當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
  • 取得個人資料: 實際從當事人那裡獲得個人資料的動作。

2. 處理 (Processing)

處理是指「為建立或維護個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、檢計、傳送、 ग्राह等行為。

簡單來說,處理是指蒐集到個人資料後,對這些資料所進行的一切管理與操作活動,只要是為了建立或維護個人資料檔案,都屬於處理的範疇。

  • 記錄: 記載、登載。
  • 輸入: 將資料鍵入系統。
  • 儲存: 存放於資料庫、紙本檔案等。
  • 編輯: 修改、潤飾。
  • 更正: 修正錯誤的資料。
  • 複製: 影印、拷貝。
  • 檢索: 查詢、搜尋。
  • 刪除: 移除資料。
  • 輸出: 打印、匯出。
  • 檢計: 檢查、核對。
  • 傳送: 透過網絡、郵寄等方式傳遞。
  • ग्राह: 這裏的「 ग्राह」應為「整合」或「關聯」,指將不同來源的資料整合、建立關聯。

例如,將新會員的資料鍵入會員系統(記錄、輸入),將這些資料存放在公司伺服器(儲存),偶爾更新會員的聯絡方式(更正),或是依照銷售區域產生客戶報表(輸出、檢索)。

3. 利用 (Use)

利用是指「將蒐集之個人資料為處理以外之運用。

利用是將蒐集到的個人資料,超出原本蒐集時預定的目的,或以不同的方式「使用」這些資料。這包括了將資料提供給第三方、用於行銷、用於數據分析等。

  • 作為特定目的外的使用: 例如,蒐集會員資料是為了提供會員服務,但若將這些資料用於直接行銷,就屬於利用行為。
  • 提供予第三方: 將個人資料分享給其他公司或組織。
  • 交叉比對: 將不同來源的個人資料進行比對,以擴充資料庫或進行分析。
  • 內部統計分析: 雖然內部統計也屬於處理,但若其目的已超出蒐集時的預期,且具有將個人資料「使用」的性質,也可能被視為利用。

舉例說明:

一家線上購物平台蒐集會員的姓名、地址、電話、購買紀錄。
  • 蒐集: 當會員註冊帳號並填寫資料時,平台即進行蒐集。平台需告知會員蒐集目的(例如:處理訂單、提供會員服務)。
  • 處理: 平台將會員資料儲存在資料庫(儲存),以便查詢會員資料、更新聯絡資訊(更正、檢索)。
  • 利用:
    • 平台將會員的電子郵件地址提供給合作的行銷公司,由其發送廣告信件。
    • 平台分析會員的購買紀錄,以推薦更符合其喜好的商品。
    這些行為都屬於對個人資料的「利用」。

三、 個資行為的法律依據與例外

個資法第5條規定:「個人資料之蒐集、處理或利用,應依誠實及信用原則為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。

第6條則規定了特種個人資料(敏感性個人資料)的蒐集、處理、利用原則,原則上不得為蒐集、處理或利用。但有特定例外情況,例如:

  • 法律明文規定。
  • 符合個資法第19條第1項規定之特定目的之必要。
  • 當事人明示同意。
  • 為增進公共利益所必要。
  • 當事人自行公開或其他已合法公開之資訊。
  • 為學術研究而有必要,且經當事人同意,並採取去識別化等維護當事人權益之適當措施。

此外,個資法第19條及第20條詳細列出了非公務機關蒐集、處理、利用個人資料的法定事由,例如:

  • 為履行與當事人之間的契約義務所必要。
  • 為履行法定職務所必要。
  • 為當事人權益所必要。
  • 為學術研究而有必要,且經當事人同意,並採取去識別化等維護當事人權益之適當措施。
  • 為經當事人同意。
  • 為增進公共利益所必要。
  • 為學術研究而有必要,且經當事人同意,並採取去識別化等維護當事人權益之適當措施。
  • 有下列情形之一者,非公務機關為處理蒐集之個人資料,或為特定目的之必要,得為特定目的外之利用:
    • 法律明文規定。
    • 符合個資法第19條第1項各款規定之特定目的之必要。
    • 當事人書面同意。
    • 為增進公共利益所必要。
    • 為學術研究而有必要,且經當事人同意,並採取去識別化等維護當事人權益之適當措施。

重點在於,任何個資行為都必須有法律依據,且不能逾越必要範圍。

四、 實務上的「個資行為」判斷

在實際操作中,判斷一個行為是否構成「個資行為」需要綜合考量:

  • 行為對象: 是否涉及個人資料?
  • 行為內容: 是否為蒐集、處理或利用的動作?
  • 行為目的: 行為是否具有特定目的?
  • 法律依據: 行為是否有正當的法律依據?

常見的個資行為情境:

  • 網站註冊: 蒐集使用者姓名、電子郵件、電話。
  • 會員招募: 蒐集會員基本資料、消費習慣。
  • 線上購物: 處理訂單、付款、配送資訊,並可能利用購買紀錄進行推薦。
  • 客戶服務: 記錄客戶諮詢內容、個人資訊,並進行處理。
  • 問卷調查: 蒐集受訪者的意見與基本資料。
  • 員工管理: 蒐集、儲存、利用員工的個人履歷、薪資、考績等資料。
  • 行銷活動: 蒐集潛在客戶資料,並利用這些資料進行廣告推播。
  • 照片與影片: 若照片或影片中包含足以識別特定個人,且未經當事人同意而公開傳播,可能構成個資行為。
  • 網絡追蹤: 利用Cookie、IP位址等追蹤使用者瀏覽行為,若能識別特定個人,則可能構成蒐集、處理、利用行為。

「個資行為」與「一般行為」的區分:

例如,公司內部召開會議討論公司業務,這本身不是個資行為。但如果會議記錄中包含了與特定員工相關的、可識別的個人資訊,且這些資訊被不當儲存或傳播,則可能涉及個資行為。

嚴格的「特種個人資料」處理:

對於健康、醫療、基因、性生活、犯罪紀錄等特種個人資料,其蒐集、處理、利用的要求更加嚴格。例如,醫院在取得病人同意並有明確醫療目的下,才能蒐集病歷;學校在學生同意或法律規定下,才能處理學生的身心健康資料。

常見問題 (FAQ)

Q1: 我只是在網站上填寫了我的姓名和電子郵件,這就構成「個資行為」嗎?

A: 是的,填寫姓名和電子郵件就已經構成了「蒐集」個人資料的行為。根據個資法,任何機構或個人在蒐集您的個人資料時,必須告知您相關法定事項(如蒐集目的、利用期間、利用對象等),並且必須有正當理由。如果您只是單純填寫,而對方沒有依規定告知,那麼對方就可能已經違反了個資法。

Q2: 「處理」個人資料和「利用」個人資料有什麼根本區別?

A: 「處理」是為了建立或維護個人資料檔案所進行的內部管理和操作,例如儲存、編輯、複製、刪除等。而「利用」則是將蒐集到的個人資料,超出原本蒐集目的,或以更廣泛的方式「使用」它,例如將資料提供給第三方、用於行銷、或是進行數據分析以得出新的洞察。簡單來說,處理是「管理」,利用是「使用」。

Q3: 為何網站上需要隱私權政策和個資告知聲明?

A: 隱私權政策和個資告知聲明是實踐個資法「告知」義務的重要方式。當您在網站上進行註冊、填寫表單等行為,產生個資蒐集時,網站經營者就必須透過這些聲明,向您說明他們將如何蒐集、處理、利用您的個人資料,以及您的權利。這確保了您在提供個人資料時,能夠充分知情並作出同意與否的決定,這是保障個人資料自主權的關鍵。

Q4: 如果我只是在社群媒體上發佈了自己的照片,這是否也可能涉及「個資行為」?

A: 發佈自己的照片本身,是您行使個人表達權的行為,通常不直接構成您對他人個資的「蒐集、處理、利用」。然而,如果他人將您公開發佈的照片,未經您同意就用於商業廣告、或是與其他資訊結合後識別出您的身份,並以此進行後續的蒐集、處理、利用,那麼「他人」的行為就可能構成個資行為。此外,如果您在發佈照片時,其中包含其他可識別特定他人的個人資料(例如,照片背景中有他人的車牌號碼,且該號碼可識別特定車輛),而您未經該他人同意就公開,那麼您也可能涉及個資法相關規定。

總而言之,理解「個資法定義之個資行為」不僅是法律的要求,更是對個人資料保護的責任體現。企業與個人都應當認識到,每一次與個人資料相關的動作,都可能落在個資法的規範範圍內,務必謹慎行事,確保合法合規。

如發現政治性、事實性、技術性差錯和版權方面的問題及不良信息,請及時與我們聯繫。 365lvtu.com © 2019-2022. All Rights Reserved.