電子商務個人資料保護法制之研究(6)

•第三項 國家在電子商務中個人資料保護問題之角色扮演

從上一項的討論中可知，電子商務因其電子化、網路化之特性，對個人資料保護造成較以往更為劇烈的衝擊，更強的保障需求性亦於焉浮現﹔而在前節本文亦已確認，個人資料權應從憲法第二十二條生成，作為憲法所保障的基本人權，則在此認知下，國家對於電子商務中的個人資料保護問題，應扮演如何之角色呢？

按向來見解認為，基本權的規範對象為國家，主要的效果表現在人民可主張排除國家對其之侵害，也就是基本權的防禦功能﹔而電子商務的個人資料保護問題所涉及的，是私人與私人間的關係，並非國家對人民的侵害。不過，學說上亦認為，基本權同時也是一種「客觀的價值秩序」，也就是說，從基本權利中抽繹出的客觀價值決定，可放射至所有法律領域，成為立法機關、行政機關與司法機關行使職權時所應遵循的重要準繩﹔並在此概念下發展出的「保護義務功能」，要求國家保護人民之基本權利免於自然力或第三人之侵害，以促進基本權利之實現，其表現型態，乃在立法者負有制定保護性法律之任務，行政權負有執行保護性規範之義務，司法者以保護義務為標準，審查立法者與行政權之作為或不作為，或審理民事案件作成裁判。[1]

值得注意的是，與防禦功能以國家之侵害為對象不同，保護義務功能所涉及的問題，說是私人對私人的侵害，毋寧說是私人之間的權利衝突更為精確，畢竟保護了某人的權利，同時也是限制了他人的自由。以本文的背景而言，在前節第二項第二款最後即曾指出，個人沒有絕對、無法限制的個人資料控制權，仍須顧及個人社會交往之利益﹔同時，可能也涉及對自己網站設備的控制（財產權）、藉個人資料追求經濟利益（工作權）、促進資訊交流追求真理（言論自由）等等的價值。如果把電子商務的經濟利益視為一概括的價值，更可以做如下的討論：徹底保護了個人資料權，則業者動輒得咎，將會扼殺了電子商務的發展﹔但全力促進電子商務，又可能對個人資料權造成嚴重的侵害，而且回過頭來，消費者顧慮隱私問題而躊躇不前，對電子商務發展反而不利[2]。因此，保護義務功能就需求立法者作利益的調和，妥善設計，透過立法的方式加以實現。

特別在個人資料保護的問題上，由前節第二項第二款的定義可知，個人資料權係對自己個人資料的控制權，甲強行獲取乙的個人資料當然造成乙個人資料權的損害，即令非強行獲取，而是透過迂迴、隱密的方式知悉，也仍然是造成乙對其個人資料控制權的妨礙﹔又假設甲在乙的同意下獲得乙的個人資料，在現實上擁有對該資料的支配地位，是否即可任意加以使用、傳送甚至揭露予他人？從前述對個人資料權內涵的認識可知，乙將其資訊交付與甲，並非當然表示其權利已然消失，毋寧其保護要求及當事人對該資訊的控制權，仍應附著其上，持續地發生效力。因此，個人資料的取得、管理、使用實為一整體性的問題，應予全盤思考，甚至國家應創設一制度和程序，對人民個人資料之保護為周全規劃，方能使人民個人資料權真正獲得實現，這可認為是基本權的制度保障或程序保障功能的要求。

•第四項 個人資料保護法制之形塑

承前項，為保障人民個人資料權，國家須建構一定的法制，而在建構此一法制時，有待將個人資料權的內涵進一步具體化，成為一般性的理念或原則，並調和其他利益，形塑出原則底下細緻的規範。關於個人資料保護立法的原則，參酌他國立法例及國際間的發展趨勢，本文擬以經濟合作與開發組織(Organization for Economic Cooperation and Development, OECD)一九八○年提出的「有關個人資料之國際流通及隱私權保護準則」中，關於國內個人資料保護的八項原則，作為主要的依據﹔雖然該準則年代較為久遠，但作為上位的立法原則，依然經得起考驗，並且實際上對各國的法制幾乎都產生深刻的影響，而可以該八項原則作為理解各國規定的基礎[3]。試將該八原則略述如下：[4]

• 1. 限制蒐集原則：有關個人資料之蒐集，原則上應加以限制﹔資料之蒐集應適法，並應依公正之手段為之，必要時，並通知當事人或得其同意後，始得為之。質言之，蒐集個人資料應合法、公平，並得資料當事人之同意或告知當事人。

• 資料內容完整、正確原則：個人資料於特定目的之利用範圍內，應力求正確、完整及最新之狀態。
• 目的明確化原則：個人資料於蒐集時，目的應明確化﹔其後之利用亦不得牴觸最初蒐集之目的﹔於目的變更時亦應予明確化。
• 限制利用原則：個人資料之利用，除法律另有規定或當事人同意外，不得為特定目的以外之利用。
• 安全保護原則：個人資料為防止遺失、不法之接觸、破壞、使用、變更或公開之危險，應採取合理之安全保護措施。
• 公開原則：對於個人資料蒐集、自動機械化、處理及有關政策之制定，應對一般人公開之，例如資料管理人姓名及聯絡處、資料之種類、特定目的等事項，均宜公開。
• 個人參與原則：資料之本人有權對他人持有自己之資料，行使一定程序之控制。個人有下列權利：(1)向資料管理人或其他人確保有關自己之資料是否被保有﹔(2)資料本人於合理期間內，如有必要時以不過度之費用，依合理方法，以自己亦了解之形式，知悉有關自己之資料﹔(3)資料本人於提出有關答覆或閱覽卷宗之要求而被拒絕時，能夠要求告知被拒絕之理由，並得對之提起異議﹔(4)可對有關自己之資料提起異議，如認異議有理由時，應將其資料予以刪除、變更、完全化與補正。
• 責任原則：資料管理人應負遵守前述原則之責任。

另外，歐盟一九九五年個人資料保護指令採取的原則，與上述也有互通之處，但延續歐洲議會一九八○年有關個人資料自動化處理保護個人公約的「敏感性資料禁止處理原則」，則應特別予以注意。

針對個人資料的保護，我國已於一九九五年通過「電腦處理個人資料保護法」，在這方面可說已有法制成形，但該法仍存在甚多問題，與本文相關之部分將在下面分別檢討。討論的基礎雖說是上述各項原則，不過本文絕非將上述內容直接、僵硬地套用，毋寧各項原則的具體內涵仍須經過理論上的檢視，並參考其他立法例之規定，合先敘明。

在體系上，OECD原則1.到7.，涉及的是「不同層次的資訊處理」，可稱之為縱向的分析﹔另一方面還有橫向的分析，也就是「不同資料內容」是否應使國家受不同拘束之問題，歐盟指令的「敏感性資料禁止處理原則」將在此論及﹔最後，原則8.責任原則促使我們注意，要使上述規範有意義，必須要依賴妥善的監督及救濟制度設計。因此下文的開展，就將以「不同層次資訊處理之個人資料保護問題」、「不同性質資訊內容之個人資料保護問題」及「監督及救濟制度之設計」為架構。

 

---

 

[1] 關於基本權利的功能體系，可參照李建良，基本權利理論體系之構成及其思考層次，人文及社會科學集刊，九卷一期，頁39以下（1997/3）﹔許宗力，基本權的功能與司法審查，收錄於憲法與法治國行政，頁153以下（1999/3）﹔林錫堯，西德法上基本權之性質與效力及憲法訴願之客體，憲政時代，十卷一期，頁24-26。關於保護義務功能，參照李建良，基本權利理論體系之構成及其思考層次，人文及社會科學集刊，九卷一期，頁49-50（1997/3）﹔Christian Starck，李建良譯，基本權利之保護義務，政大法學評論，五十八期，頁33以下（1997/12）﹔許宗力，基本權的功能與司法審查，收錄於憲法與法治國行政，頁164-168（1999/3）。

[2] 關於個人資料保護與電子商務的衝突，其實也表現在歐盟與美國不同社會、文化背景下，法制的差異上，歐盟重視前者，故採取嚴格的措施加以保障，美國傾向後者，故政策上一直希望以業者自律的方式來解決，而立法遲緩。參照簡榮宗，網路上資訊隱私權保障問題之研究，http://tawanic.com/alan/alan4-08_5-3.html （2001/2/16瀏覽）

[3] 美國一九七四年隱私權法及英國一九八四年自動化處理個人資訊之利用與將其提供於公務規範法之原則，與OECD八原則均有類似之處，且相比之下似以OECD較完整，前述美、英立法原則參照林子儀，網路與隱私權，資訊科技與法律課程大綱與簡介，http:// www.cc.ntu.edu.tw/~cyberlaw/J4.html（2001/5/1瀏覽）﹔另外，美國一九七四隱私權法、德國一九九○年聯邦個人資料保護法、日本一九八八年有關行政機關電子計算機自動化處理個人資料保護法等立法例，均可以OECD八原則加以理解，參照許文義，個人資料保護法論，頁170-171,175-176,178-179，台北，三民（2001/1）。關於國際規範及各國立法介紹，可參照許文義，個人資料保護法論，頁161以下，台北，三民（2001/1）﹔簡榮宗，網路上資訊隱私權保障問題之研究，http://tawanic.com/alan/alan4-08_5-3.html （2001/2/16瀏覽）﹔翁岳生等，資訊立法之研究，行政院研究發展考核委員會委託研究，頁48以下（1994/7）

[4] 關於OECD八項原則的說明參照許文義，個人資料保護法論，頁162-163，台北，三民（2001/1）﹔李鴻禧，資訊、憲法、隱私權─資訊化社會與人權問題之探討，收錄於憲法與人權，頁489-490；黃三榮，個人資料之保護─兼評我國電腦處理個人資料保護法，資訊法務透析，頁40-41（1998/1）

Copyright IS-Law.com