敏感個資碰不得　蒐集處理規範多

《個資法》早於1995年實施，祗是其適用之對象則限於「徵信業」、「醫院」、「學校」、「電信業」、「金融業」、「證券業」、「保險業」、「大眾傳播業」等因業務性質常大量持有個人資料檔案之事業，而不適用於一般事業或個人。

嗣後因詐騙集團橫行，且利用私人蒐集個人資料，2010年修正通過之《個資法》乃擴大適用對象於一切自然人、法人或其他團體。

究竟什麽是「個人資料」？其實，「個人資料」的範圍非常廣泛，舉凡姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動，以及其他得以直接或間接方式，識別該個人的資料，皆屬之。

又，《個資法》究竟規範或限制那些行為？值得注意的是，《個資法》不僅限於使用或利用「個人資料」，也包括「蒐集」及「處理」個人資料。也就是說，以任何方式取得個資均屬「蒐集」；而一切為建立或利用個資檔案所為的記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送等行為都屬於「處理」；至於「利用」是指將蒐集的個資為處理以外使用。因此，所有與取得個資相關的行為，均在《個資法》規範範疇內。

　　舉例來說，發放問卷、要求民眾填寫基本資料，或申辦證件時拍攝大頭照等，皆屬於「蒐集」個人資料的行為；而依《個資法》規定，蒐集者在蒐集時，應明確告知個資所有人下列事項：

1.機關之名稱：蒐集者的姓名或其所屬的單位名稱。

2.蒐集之目的：將供作某銀行開戶使用、市場調查研究使用...等。

3.個資之類別：所蒐集的資料屬何種類。例如職業、教育背景、財務狀況、社會活動等。

4.利用之期間、地區、對象及方式：例如於某期間內在某銀行，供作業人員作資料建檔之用。

5.個資所有人得行使之權利及方式：包括查詢或請求閱覽、請求給予複製本、請求補充或更正、請求停止搜集、處理或利用、請求刪除相關個人資料之權利等。

6.個資所有人如選擇不提供時，其權益所受之影響：例如若不提供資料聯絡信箱，遇特定狀況將無法收到通知。

至於「處理」或「利用」就更廣泛了。像是輸入問卷資料、將資料用作統計分析等。若其資料來源非由當事人提供，應於處理或利用前，向該個資所有人告知其「資料來源」及前述應告知事項。

個人資料的「蒐集」或「處理」，原則上應有「特定目的」，而個人資料之「利用」，原則上也應於蒐集之特定目的「必要範圍」內為之。例如：以申辦信用卡為目的蒐集聯絡資料，即不可作為其他目的（例如：促銷）使用。否則，應先取得該個資所有人之「同意」。不過，日後若有爭議，蒐集、處理或利用者應就「同意」與否，負舉證責任。

此外，關於病歷、醫療、基因、性生活、健康檢查及犯罪前科等「敏感個資」，則限於個資所有人「書面同意」後，始得蒐集、處理或利用。過往如有將前開敏感個資交付病患外之第三人者，千萬不要再有類似行為。畢竟，其不僅有違《刑法》316條之保密義務而可處1年以下有期徒刑外，關於「敏感個資」之違反，依《個資法》第41條之規定，可處5年以下有期徒刑。至於，那些坊間常見之將個人資料交付關係企業或他人，以供原有「特定目的」外使用（例如：促銷），如違法者係為營利而違反《個資法》之規定（例如：銀行或保險行員出售客戶個資），則可處5年以下有期徒刑。

　　提醒大家，違反《個資法》的結果，不限於主管機關的行政罰，也可能有民事賠償及刑事責任，千萬不可不慎！