非公務機關與公務機關蒐集處理個人資料注意事項

所謂個人資料，依《個人資料保護法》第2條規定，指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。所謂「蒐集」，「指以任何方式取得個人資料。」至於「處理」，同條第4款規定：「指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。」

——非公務機關蒐集、處理個人資料的注意事項

根據《個資法》第19條第1項規定，非公務機關要蒐集或處理一般個人資料，必須具備兩個要件：

（一）需有特定目的

有關特定目的之項目，《個人資料保護法之特定目的及個人資料的類別》有詳細規定，例如研究者為學術目的而蒐集處理個人資料。

（二）需屬於以下七種情況之一

1、法律明文規定   所謂「法律」，根據《個資法施行細則》第9條，指法律或法律具體明確授權之法規命令。

2、與當事人有契約或類似契約之關係，且已採取適當安全措施。

所謂「契約關係」，《個資法施行細則》第27條第1項規定：「包括本約，及非公務機關與當事人間為履行該契約，所涉及必要第三人之接觸、磋商或聯繫行為及給付或向其為給付之行為。」例如公司（雇主）與員工（受僱人）間，公司因為僱傭契約而蒐集處理員工的個人資料。

至於「類似契約之關係」，《個資法施行細則》第27條第2項，指下列情形之一者：

（1）、非公務機關與當事人間於契約成立前，為準備或商議訂立契約或為交易之目的，所進行之接觸或磋商行為。

（2）、契約因無效、撤銷、解除、終止而消滅或履行完成時，非公務機關與當事人為行使權利、履行義務，或確保個人資料完整性之目的所為之連繫行為。

舉例而言，人民向銀行申請貸款，銀行在貸款契約發生效力之前，會先查核貸款人的個人資料，即是基於類似契約的關係所為的行為。

3、當事人自行公開或其他已合法公開之個人資料

所謂「當事人自行公開」，依照《個資法施行細則》第13條第1項，「指當事人自行對不特定人或特定多數人揭露其個人資料」。至於「已合法公開之個人資料」，同條第2項規定，「指依法律或法律具體明確授權之法規命令所公示、公告或以其他合法方式公開之個人資料。」

4、學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人

「資料經過處理後或依其揭露方式無從識別特定當事人」，依據《個資法施行細則》第17條，指個人資料以代碼、匿名、隱藏部分資料或其他方式，無從辨識該特定個人。

5、當事人同意

依據《個資法》第7條第1項規定，同意是指當事人經蒐集者告知《個資法》所定應告知事項後，所為允許之意思表示。

6、增進公共利益所必要

由於新聞報導在陳述事實時，往往會蒐集到個人資料，然而其蒐集行為卻不符合上述所列情形，因此，將其納入本款處理，得以在基於公益情況下蒐集個人資料。須注意的是，公共利益是不確定的法律概念，在適用本款時，應謹慎為之，不可過度侵犯當事人權益（劉佐國、李世德，2015）。

例如，番茄日報蒐集販賣黑心油商人的個人資料，是基於新聞報導的特定目的，並且是為告知消費大眾有關黑心油的資訊，此與公共利益有關，這樣的蒐集個人資料是被允許的。

7、個人資料取自於一般可得之來源，並且個人對該資料沒有更值得保護之重大利益者

所謂「一般可得之來源」，根據《個資法施行細則》第28條，是指透過大眾傳播、網際網路、新聞、雜誌、政府公報及其他一般人可得知悉或接觸而取得個人資料之管道。

8、沒有侵害當事人權益

——公務機關蒐集、處理個人資料的要件

《個資法》第15條規定：

公務機關對個人資料之蒐集或處理，除第6條第1項所規定資料外，應有特定目的，並符合下列情形之一者：

1.執行法定職務必要範圍內。

2.經當事人同意。

3.對當事人權益無侵害。

由法條規定得知，公務機關要蒐集或處理個人資料，必須具備兩個要件：

（一）要有特定目的

有關特定目的之項目，《個人資料保護法之特定目的及個人資料之類別》有詳細規定，如戶政機關為「戶政」目的而蒐集人民的戶籍資料（劉佐國、李世德，2015）。

（二）屬於以下三種情況之一

1. 執行法定職務必要範圍內

所謂「法定職務」，依《個資法施行細則》第10條規定，是指於下列法規中所定公務機關之職務：

（1）.法律、法律授權之命令。

（2）.自治條例。

（3）.法律或自治條例授權之自治規則。

（4）.法律或中央法規授權之委辦規則。

至於「必要性」，學者許文義認為應符合「比例原則」，並且在具體個案中予以判斷。舉例而言，稅捐機關依法規所定的職務，在必要範圍內，可蒐集處理納稅義務人申報的所得資料。

2. 當事人同意

依據《個資法》第7條第1項規定，同意是指當事人經蒐集者告知《個資法》所定應告知事項後，所為允許之意思表示。

3. 沒有侵害當事人的權益

舉例而言，如果某公立學校基於教育行政目的蒐集了學生的個人資料，卻也順便蒐集學生的指紋，這個指紋是與教育行政無關的資料，此時，該公立學校蒐集學生的個人資料已侵害學生的資訊隱私權，這樣的蒐集是不被允許的。