個人資料保護

安全輔導、業務輔導、內控輔導

個資法規資訊

哪些資料屬於個人資料?

究竟哪些資料屬於新修正個人資料保護法所稱的個人資料,依據個資法第2條第1款個人資料之定義,係指「自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料」,相較於舊法,新法增列護照號碼、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式等個人資料,以補充說明個人資料之性質。

其中就自然人姓名、生日、身份證字號等等列舉項目大家一眼就能理解意義,但某些個人資料的內容就須要另外檢視個資法的施行細則甚或其他法規才能知道真正的內涵。如為求法規間名詞解釋的統一,施行細則就將「病歷」的定義指向醫療法第67條第2項,包括「一、醫師依醫師法執行業務所製作之病歷。二、各項檢查、檢驗報告資料。三、其他各類醫事人員執行業務所製作之紀錄」;「醫療」則係指除了病歷以外,「其他由醫師或其他之醫事人員,以治療、矯正、預防人體疾病、傷害、殘缺為目的,或其他醫學上之正當理由,所為之診察及治療;或基於以上之診察結果,所為處方、用藥、施術或處置所產生之個人資料」;「基因」則係指「由人體一段去氧核醣核酸構成,為人體控制特定功能之遺傳單位訊息」;所稱性生活,指性取向或性慣行之個人資料;「健康檢查」,指「非針對特定疾病進行診斷或治療之目的,而以醫療行為施以檢查所產生之資料」;「犯罪前科」指「經緩起訴、職權不起訴或法院判決有罪確定、執行之紀錄」。

由於立法者不可能在法律中逐一列舉所有種類的個人資料,因此法律通常藉由概括規定,將其他沒有被列舉到的項目一併列入規範的範圍。因此,個資法中「其他得以直接或間接方式識別該個人之資料」,也都屬於個人資料的範疇。

得以直接識別個人的資料當然是個人資料無疑,但所謂得以「間接方式識別」的個人資料又是什麼呢?「間接識別」的個人資料指的是僅以該資料本身,並不足以識別到特定的個人,而必須要再與其他的資料相互對照、組合、連結等後,才能識別到特定的個人的資料。舉例來說,IP位址是由四組數字(211.46.82.35)所組成,這樣一組數字對我們一般個人或公司行號而言,頂多藉由特定的數字規律(如校園網路IP位址開頭為140.xxx,依序140.111是教育部、140.112是台大……等)觀察出該IP的使用者可能屬於特定組織,但仍然沒有辦法辨識究竟是哪一個自然人在使用該組位址,可是對於提供服務的ISP業者就不同了。業者藉由手中的申請資料,很容易就可以知道,究竟是哪一個申請人在特定時間點使用特定IP。

所以,既然同樣的一筆IP位址資訊對ISP業者及其他人有如此不同的差別,則IP位址在個資法上的地位就也應該隨之而有所不同,以外的人就因為無法直接或間接識別到特定個人,而不是屬於個人資料保護法所規範的「個人資料」。類似的例子如醫院的病歷號碼、學校的學號、員工編號等等,對於醫院、學校或所任職的公司或其成員而言,分別都是個人資料無疑,可是對於其他不能夠將這些編號與其他資料結合以識別特定個人的人來說,這些資料就不是法律所規範的個人資料。

判斷手中所持有的資訊究竟是否是個人資料,是我們遵循個資法的第一步,先確定手中的資料屬於個資法所稱的個人資料後,我們才可以繼續思考,究竟這些資料屬於一般個資或特種個資,或是可能因為這些資料來源或性質特殊,根本就不適用個資法規定,而不需要特別擔心個資法遵循的問題。

原文出處「個人資料保護法專書」