肉搜公審、聊天截圖外流、洩漏電話號碼、偷拍上傳、蒐集錄音作為證據、蒐集GPS定位等公開別人個資會有問題嗎？違反個資法構成要件為何？

一、什麼是《個人資料保護法》所保護的「個人資料」？

個人資料是指任何可識別特定個人身分的資訊，這些資訊受到個資法的保障。根據個資法的定義，個人資料的範圍非常廣泛，包括了各種直接或間接能夠識別個人身分的資料。

個人資料可分為一般個資和特種個資兩大類（個資法第2條第1款）。一般個資包括姓名、出生年月日、身分證字號、特徵、指紋、婚姻、家庭、教育、職業、聯絡方式、財務情況、社會活動等資訊。這些資訊雖然較為普遍，但仍屬於個人隱私，受到個資法的保護。

特種個資則是指病歷、醫療、基因、性生活、健康檢查及前科等較為敏感的資訊。這些資訊涉及個人的隱私權，可能對當事人造成較大的影響，因此受到更高度的保護。

判斷某項資訊是否屬於個人資料，需要綜合考慮該資訊是否能直接或經過比對、組合而間接識別特定個人。這需要就個案的具體情況進行分析和判斷。

【説明】：簡言之，個資法對於個資的規範包山包海，只要可連結至特定個人的資訊，都會被認定為一般個資。個資法是「個人資料保護法」的簡稱，對於「公務機關」與「非公務機關」均課以個人資料保護之法律責任，而「非公務機關」就包含「自然人、法人或其他團體」。也就是說，無論是本人或您設立登記的公司，甚至是非法人團體等，均應符合個資法之規定。

二、違反個資法構成要件

1、在蒐集、處理或利用個人資料時，無應有之特定目的，未經當事人同意或不具備合法蒐集利用的情形或條件。

根據個人資料保護法，在蒐集、處理或利用個人資料時，應有特定目的，原則上必須取得當事人的同意。若未經當事人同意即進行違法蒐集個資、個資處理利用等行為，可能須負擔法律責任。法務部應會同中央目的事業主管機關訂定特定目的及個人資料類別，提供公務機關及非公務機關參考使用。

《個人資料保護法》第 19 條第 1 項： 「非公務機關對個人資料之蒐集或處理，除第六條第一項所規定資料外，應有特定目的，並符合下列情形之一者： 一、法律明文規定。 二、與當事人有契約或類似契約之關係，且已採取適當之安全措施。 三、當事人自行公開或其他已合法公開之個人資料。 四、學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。 五、經當事人同意。 六、為增進公共利益所必要。 七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用，顯有更值得保護之重大利益者，不在此限。 八、對當事人權益無侵害。」

2、超越原蒐集特定目的必要範圍內為之，且未符合法定例外規定

《個人資料保護法》第 20 條第 1 項： 「非公務機關對個人資料之利用，除第六條第一項所規定資料外，應於蒐集之特定目的必要範圍內為之。但有下列情形之一者，得為特定目的外之利用： 一、法律明文規定。 二、為增進公共利益所必要。 三、為免除當事人之生命、身體、自由或財產上之危險。 四、為防止他人權益之重大危害。 五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。 六、經當事人同意。 七、有利於當事人權益。」

3、個資揭露不符合比例原則，有違誠實及信用方法為之

雖然《個人資料保護法》第 20 條允許在某些例外情況之下，可以利用個人資料，但是仍然不能超出《個人資料保護法》第 5 條的範疇。至於是否有超出範疇，則需要個案認定。

《個人資料保護法》第 5 條： 「個人資料之蒐集、處理或利用，應尊重當事人之權益，依誠實及信用方法為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。」

三、違反個資法的法律責任

1、民事損害賠償責任(個資法第29條)：

非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。

依前項規定請求賠償者，適用前條第二項至第六項規定。

  被害人雖非財產上之損害，亦得請求賠償相當之金額；其名譽被侵害者，並得請求為回復名譽之適當處分。

  依前二項情形，如被害人不易或不能證明其實際損害額時，得請求法院依侵害情節，以每人每一事件新臺幣五百元以上二萬元以下計算。

  對於同一原因事實造成多數當事人權利受侵害之事件，經當事人請求損害賠償者，其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者，以該所涉利益為限。

  同一原因事實造成之損害總額逾前項金額時，被害人所受賠償金額，不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。

   ◆ 民事責任中合法利用個資的判斷

---公布依法需公開資訊原則上不會違反個資法：

臺灣高等法院高雄分院110年度上字第158號民事判決：

該公司係以室內裝潢、門窗安裝、油漆、建材批發及人力派遣等為業，有經濟部商工登記公示資料為憑（見原審卷第12頁），可見上訴人姓名及OOO公司之名稱、營業址、所營事項等資訊，均屬依公司法第393條第2項第1至5款規定之應公開事項；同條第3項復規定，任何人均得至主管機關之資訊網站查閱上開資訊，堪認上訴人姓名、所營事業均因辦理公司登記，而成為不特定大眾得以查閱之公開資訊，不具隱密性。又被上訴人固將其上載有上訴人公司地址、電話號碼之名片一併揭示於系爭貼文內，然上訴人印製名片之目的，衡情係為供不特定大眾知悉其聯絡方式而得與之為商業交易，亦難認該名片上之電話號碼等資訊具有隱密性。

説明：然而，公開資訊的範圍並非無限，即使資訊來自公開來源，若利用目的與蒐集目的無關或超出必要範圍，仍可能違反個資法。例如，將公司登記資料用於商業報復、騷擾或與原始公開目的（如商業聯繫）無關的情境，法院可能認定構成不法侵害。此外，若公開的資訊雖屬公開資料，但搭配其他隱私性數據（如未公開的財務細節），也可能超出「依法公開」的範圍。因此，判斷是否合法，需視具體利用方式與目的而定。

---符合促進公共利益的例外規定不會違反個資法

臺灣高等法院105年度上字第293號民事判決：

非公務機關對個人資料之利用，應於蒐集之特定目的必要範圍內為之，但如為增進公共利益所需，得為特定目的外之利用，個資法第20條第1項第2款定有明文，查調查局人員介派擔任關稅總局督察室督察，該選任派用，不僅涉及各該調查局人員之權益，亦影響我國政府機關人員遴選任用之公正性，則該人員是否具備專業知識及技能，向為大眾深切關心，而非僅單純個人私生活領域問題，核屬與公眾利益有密切關係之公共事務無疑，而系爭留言中陳述某位大姊之前之相關經歷，係為佐證該大姊是否具備適任資格，藉以請人審委員審酌，事涉公共利益，且未逾必要範圍，與個資法第20條第1項第2款之例外規定相符，故被上訴人雖未得上訴人同意，將上訴人職務經歷及有參與甄選意願等事實公開，亦不得認被上訴人系爭留言係不法侵害上訴人之資訊隱私權。

---蒐集目的必要範圍內利用個資不會違反個資法

臺灣新北地方法院112年度板簡字第438號民事判決：

此項個人資料之利用，係符合買賣契約利用個人資料特定目的之必要範圍，且與蒐集目的具有合理關聯，依據上開個資法之規定，被告就原告個人資料之利用應無違法可言。原告起訴主張被告上開關於原告個人資料之利用，逾越其與被告因不動產買賣之特定目的而有違反個資法之規定，此項主張應有誤會，而不足採。

2、刑事責任(個資法第41條)：有分告訴乃論或非告訴乃論之罪

依照個資法第41條規定：「意圖為自己或第三人不法之利益或損害他人之利益，而違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定，或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分，足生損害於他人者，處五年以下有期徒刑，得併科新臺幣一百萬元以下罰金。」，若意圖為自己或第三人不法利益或者有損害他人利益，足生損害於他人者（包含非財產上損害，且不以實際發生損害結果為必要），就可能會構成此項違反個資法的犯罪。

個資法第45條規定：「本章之罪，須告訴乃論。但犯第四十一條之罪者，或對公務機關犯第四十二條之罪者，不在此限。」

3、行政責任(個資法第47條)：

非公務機關有下列情事之一者，由中央目的事業主管機關或直轄市、縣（市）政府處新臺幣五萬元以上五十萬元以下罰鍰，並令限期改正，屆期未改正者，按次處罰之：

  違反第六條第一項規定。

  違反第十九條規定。

  違反第二十條第一項規定。

   違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。

【小結】：

  違反個資法可能會有民事、刑事及行政責任；

  民事責任上，主要需視行為人公開個資的行為是否符合第20條的法定要件；

  刑事責任上，則需視是否符合「意圖為自己不法利益」或「損害他人利益」之要件；

  行政責任上，判斷則同民事責任。

1、個人資料保護法第四十一條規定，具有不法意圖犯第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定，或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分，足生損害於他人者，處五年以下有期徒刑，得併科新臺幣一百萬元以下罰金。其增訂之立法理由，主要是期能遏阻盜賣個人資料之不法行為，即令無被害人提出告訴，亦得追究犯罪者之刑事責任，以期加強打擊盜賣個人資料之不法行為。

2、又所謂個人資料部分，其前提是具隱私性，從而，如若「個資權人自行對不特定人或特定多數人揭露其個人資料」，如公布網路上的姓名、職業、擔任職務內容，則因已公開，則無保護之必要，縱使蒐集或利用，亦無個人資料保護法之適用。又如個人資料「與公共利益」有關，或者個人資料「取自於一般可得之來源」（指透過大眾傳播、網際網路、新聞、雜誌、政府公報及其他一般人可得知悉或接觸而取得個人資料之管道），此時，縱使蒐集或處理，亦無個人資料保護法之適用。但如果該一般可得之來源所取得之個資，當蒐集或轉貼者知悉（或經個資權人通知）該資料之禁止處理或利用顯有更值得保護之重大利益時，應主動（或依個資權人之請求）刪除、停止處理或利用該個人資料，如若不為刪除或停止處理或利用該個人資料，則直轄市、縣（市）政府可處蒐集處理個資之人新臺幣五萬元以上五十萬元以下罰鍰，並令限期改正，屆期未改正者，按次處罰之。

3、又個資可於「蒐集之特定目的」必要範圍為利用。亦可為「增進公共利益」、或「為防止他人權益之重大危害」而為特定目的外之利用。至於利用個資從事商品行銷時，例如打電話向個資權人行銷商品，則當個資權人表示拒絕接受行銷時，個資利用人即應停止再利用其個資進行行銷。而為便利個資權人表達拒絕接受行銷之意思表示，當對個資權人進行首次商品行銷時，應免費提供個資權人表達拒絕接受行銷之方式，例如，免付費電話、免費回郵等。如若個資權人已拒絕接受行銷，仍未停止利用其個人資料行銷者，直轄市、縣（市）政府限期改正，屆期未改正者，按次處新臺幣二萬元以上二十萬元以下罰鍰。

4、至於特種（敏感）個資，依我國個資法第六條規定，是指「病歷」、「醫療」、「基因」、「性生活」（含性傾向）、「健康檢查」及「犯罪前科」等六類，其蒐集、處理或利用須符合所列要件，始得為之。比較特殊的是，所稱犯罪前科之個人資料，依施行細則規定，是指經檢察署為「緩起訴」、「職權不起訴」或經法院判決「有罪確定、執行」之紀錄，此時需要注意是否符合例外規定。而最常見之例外規定，就是地檢署或法院的新聞稿，因屬於依法律或法律具體明確授權之法規命令所公示、公告或以其他合法方式公開之個人資料，故無違法。有疑問的是，如若是被羈押而遭新聞報導，則因羈押非屬犯罪前科，故非屬特種個資範疇，因此，如若新聞報導某人遭羈押，則無特種個資之適用，而應以一般個資之蒐集、處理、利用看待。一般民眾在蒐集、處理、利用他人的「特種個人資料」時，若違反個人資料保護法第6條第1項的規定，輕則處以新臺幣5萬元以上50萬元以下罰鍰，重則有5年以下有期徒刑及併科新臺幣100萬元以下罰金的刑事責任。

四、哪些行為會違反個資法？

1、未經同意收集個人資料： 未經個人同意，擅自收集、處理或利用個人資料可能違反個資法，應通知資料主體有關其個人資料的收集、處理與利用，並提供其相應的權利，如：查詢、更正、刪除等。 但如果個人主動在社群網站上公開個人資料，並在使用該平台時同意了相關條款，那麼這可能被視為他們已經同意他人搜尋他們的資訊。

2、資料用途不當： 收集的個人資料必須依照明確的目的使用，不得擅自改變或超越原定的使用範圍。如果網友進行肉搜是為了合法的目的，例如：尋找失踪人口、防止犯罪等，這可能被視為合法行為；但如果肉搜的行為涉及到騷擾、侵犯他人隱私或是用於非法目的，則可能違反個資法。

3、資料安全不當： 對於敏感性較高的個人資料，例如：醫療紀錄、金融資訊等，處理時應該採取合理的安全措施，以避免資料外洩、損毀或被未經授權的人取得。

4、跨境轉移個人資料不當： 如果需要將個人資料轉移到其他國家，可能需要得到當事人的同意，並確保轉移符合法律的要求。

5、未成年人資料處理： 許多地區的法律都有針對未成年人的特殊隱私保護規定，在未經法定代理人同意的情況下，公開或搜尋未成年人的個人資料可能違反這些法律。

6、「肉搜」、「公審」的行為會有觸法的疑慮嗎？

大學生A得知友人與B的感情糾紛，在臉書找到當事人B的臉書帳號，並從好友名單中得知室友C為B的臉書好友，因而向C借手機查看，獲得B設為「僅好友可見」的含有本人長相照片、社交活動貼文與聯絡電話。A將B上述資訊公布在Dcard與PTT的BG板，請大家評評理。A的行為可能會有什麼法律爭議？

---何謂肉搜公審？

公審通常指在網路上對某人公開批判，甚至帶有貶低或羞辱的意圖進行負面評論，此外，也可能會引導其他網友一起批評當事人，擴散分享內容的影響力。與公審常同時出現的肉搜行為，通常指透過各種手段揭露網路使用者的真實身分，可能包括姓名、住址、工作、學歷等各類個人資訊，利用這些蛛絲馬跡將當事人的隱私無所遁形地暴露在網路上。

肉搜就像拼拼圖，搜尋者從網路各處獲得的片段資訊累積到一定數量，或是獲得重要的資訊片段，就有機會拼湊出能夠識別特定人的資訊。正因為肉搜能短時間集中特定人的相關資料，因此常被用來公審。

---肉搜可能踩到個人資料保護法紅線

含有本人長相的照片、社交活動貼文與聯絡電話，得以直接辨識出B，因此是受個人資料保護法（一般簡稱「個資法」）保護的個人資料（一般簡稱「個資」）。A找出上述個資並公布在校內交流板，涉及個人資料的「蒐集」與「利用」行為。

A要讓校內公眾「對B的感情糾紛評評理」，並不是單為個人或家庭活動目的，而且B的個人資料也不屬於公開場合或公開活動中，未與其他個人資料結合的影音資料。因此，A蒐集與利用B個人資料的行為，無法依個人資料保護法第51條免於受到個人資料保護法的規範，仍應繼續討論A的法律責任。

個人資料保護法第51條第1項：「有下列情形之一者，不適用本法規定：

      一、自然人為單純個人或家庭活動之目的，而蒐集、處理或利用個人資料。

      二、於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料。」

A為非公務機關，在「蒐集」與「利用」個資上，必須分別遵守個資法第19條與第20條規定：符合個人資料保護法特定目的與情形下蒐集，並在特定目的必要範圍內利用。若有違反，依據第41條[5]規定，可能面臨5年以下有期徒刑，得併科新臺幣100萬元以下罰金；主管機關也能夠依據第47條課予罰鍰。

---個人資料保護法針對特殊情形設有彈性，但也不能超出合理限度

個人資料保護法第20條允許在特殊情形下，得將個資利用在蒐集目的的範圍之外。但根據司法實務見解，個人資料的利用，無論是特定目的範圍內或外的利用，都不能超過個人資料保護法第5條的限度。

最高法院102年度台抗字第939號民事裁定：「（前略）無論係特定目的範圍內或特定目的外之利用，均應遵循個資法第五條規定，不得逾越特定目的之必要範圍。」

個人資料保護法第5條：「個人資料之蒐集、處理或利用，應尊重當事人之權益，依誠實及信用方法為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。」

A在無特定目的且未經同意下，蒐集B的個人資料，既非為公共利益所必要，取得來源亦非一般可得來源，且可能有損於B的權益，已違反個人資料保護法第19條規定。A的利用情境，也不符合個人資料保護法第20條的特殊例外情形，因此不能將個人資料做目的外的利用。A可能因而面臨高達5年的刑責與行政罰鍰。

【小結】公審或肉搜，涉及哪些法律條文？

（1）涉及違反個人資料保護法的法律責任：民事、行政、刑事責任。

（2）刑法第309條公然侮辱罪。若對特定個人發表與事實真實性無關的侮辱言論，並在公開場合如網路平台進行散播，像是在多人的網路社團留言歧視別人，有構成公然侮辱罪的可能性。

（3）刑法第310條誹謗罪。誹謗須針對「可確認是否為事實」的具體內容，像是稱別人選舉時賄賂這樣的指述，若發布的訊息不實且損害了特定人的名譽便可能構成誹謗罪。需要特別注意的是，在網路上散布不實言論，因為散播方式是具體的文字或圖像，因此可能成立加重誹謗罪、遭到加重處罰。

（3）民法第195條民事賠償責任。公審和肉搜還可能因為侵害名譽、信用、隱私等法益，即便沒有造成財產上的損失，也可以請求金錢賠償，或是要求對方以適當方式回復受損的名譽。民法第195條第1項：「不法侵害他人之身體、健康、名譽、自由、信用、隱私、貞操，或不法侵害其他人格法益而情節重大者，被害人雖非財產上之損害，亦得請求賠償相當之金額。其名譽被侵害者，並得請求回復名譽之適當處分。」

其他的法律責任，則視個人資料被利用的情境而定。由於A在網路上的留言涉及他人名譽，可能會有刑法第310條的誹謗罪與民法第195條的民事賠償責任。

近年來當重大社會案件發生時，網路上都會引起肉搜熱潮，並在各大社群媒體上張貼嫌犯的照片與其他資訊。

（1）雖然這樣的行為，可能可以被解釋為符合「增進公共利益所必要」而蒐集，並且是為了「防止他人權益之重大危害」而利用，但仍須注意個人資料的蒐集與利用行為，與公益間的關聯性，以免觸法。

（2）偵查機關在調查時會考量該行為對當事人造成的權利侵害，並且會衡量其中關於言論自由與隱私權的衝突，以及探討事件是否涉及公共利益。

（3）檢察官會考慮的重點通常包括：a) 言論是否影響個人評價，評估指涉言論或圖像是否導致當事人在社會中的人格評價受損，就不會單純以當事人感受，而會尋求社會觀念的通常標準，是否在一般人心中屬於負面評價。b) 是否屬於公然情境，讓不特定多數人能共同見聞，才會構成「公然」的重要條件，因此檢察官也會審查例如此言論是否發表在公開場合、平台等要件。

7、「截圖聊天室對話上傳」的行為會有觸法的疑慮嗎？

「截圖聊天室對話上傳」的行為，是否會有觸法的疑慮呢？針對這個問題，首先必須區分，將截圖上傳的人，是否是對話內容的當事人。若對方就是對話的當事人的話，視其是否有洩漏個資的問題，可能會觸犯《個人資料保護法》的刑責。若對方並非對話當事人的話，且是以不當方法取得的話，則除了觸犯《個人資料保護法》以外，視案件情況，可能再涉及《刑法》中的「妨害祕密罪」、「妨害電腦使用罪」的刑責。

《刑法》第 315-1 條： 「有下列行為之一者，處三年以下有期徒刑、拘役或三十萬元以下罰金： 一、無故利用工具或設備窺視、竊聽他人非公開之活動、言論、談話或身體隱私部位者。 二、無故以錄音、照相、錄影或電磁紀錄竊錄他人非公開之活動、言論、談話或身體隱私部位者。」

《刑法》第 358條： 「無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞，而入侵他人之電腦或其相關設備者，處三年以下有期徒刑、拘役或科或併科三十萬元以下罰金。」

《刑法》第 359 條： 「無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄，致生損害於公眾或他人者，處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。」

8、洩漏他人「行動電話號碼」

法院認為：「陌生人取得行動電話號碼當下，該號碼乍看之下僅為一連串之數字，惟該號碼之持有人於當時僅有1人，以其為憑據直接即可與該人連結而識別出特定個人，該特定人自得藉由行動電話號碼由群體中予以區別，是該資料在群體中顯然對於某特定人具有專屬性、獨特性，換言之，於取得號碼之人撥打該號碼之時，即得直接與行動電話號碼之持有人相聯繫……」因此，行動電話號碼具有「特定」個人之識別性（臺灣高等法院臺南分院112年度上訴字第1211號刑事判決）。

9、偷拍他人「面容」上傳網路

法院認為：「自然人面容為得以直接識別該個人之資料，當屬個資法所指之「個人資料」，從而被告將攝得A女面容及就讀學校資訊之內容上傳「85Tube」網站之舉，核屬個資法所定義之利用個人資料行為，至為明確。」（臺灣臺北地方法院110年度審易字第1028號刑事判決）透過他人面容得直接識別特定人應屬個人資料。

10、蒐集他人「錄音聲音資料」作為證據

法院認為：「被上訴人以手機存錄者，係兩造間關於被上訴人應否依文書處理手冊詳予調查下載之學習時數之正確性，以及上訴人年度考績評核是否公允等談話，乃有關兩造各自對於執掌業務之處理及考績評核之意見表述，其中既包括足資辨識上訴人個人之聲音資料（屬「個人資料保護法之特定目的及個人資料之類別」代號Ｃ○一一特徵類：個人描述），被上訴人持手機裝置予以錄音，固為對於上訴人個人資料之蒐集。」（臺灣高等法院103年度上易字第395號民事判決）用手機錄下聲音對話內容，倘可以透過該聲音資料特定當事人，仍為個人資料（雖然是個人資料，但是否在合理範圍內使用，則是下一個問題）。

11、徵信社在車子安裝「GPS追蹤器」蒐集GPS定位

法院認為：「某甲在告訴人所有上開車輛右後輪拱內側裝設GPS追蹤器，而於上開期間，當告訴人使用乙車，GPS追蹤器均會持續、定時發射訊號傳送乙車所在位置之經緯度數據，透過衛星傳送至追蹤器之平台，…，逕自藉由安裝GPS追蹤器並使用該追蹤器提供之位置資訊之行為，核屬蒐集、處理、利用屬告訴人個人資料之社會活動……。」（臺灣臺中地方法院112年度訴字第477號刑事判決）。找徵信社在汽車上安裝GPS，就是蒐集特定人社會活動之個人資料。