電腦處理個人資料保護法與民、刑法的縱橫交錯(1)

電腦處理個人資料保護法與民、刑法的縱橫交錯 

陳仲麟 

                                                                                                                          

 

壹、前言

我國於民國八十四年完成電腦處理個人資料保護法（以下簡稱個資法）的立法，可說在個人隱私權的保護上前進了一大步，以往未被規範或只能依賴民、刑法上抽象概念規範的問題，有了較為細緻化的處理，又為因應資訊時代引發的隱私權保護需求，從民、刑法被動式（權益受侵害後）保護，增加了一些對於個人資料搜集、利用上的管制。但另一方面，個資法立法不周或適用上的問題其實也不少，尤其個資法射程範圍僅及於「以電腦處理」的個人資料，以及其所列舉的特定事業，假設有一A網路業者未經當事人同意洩漏個人資料給B網路業者，卻以其為法律服務業及餐飲業，非屬個資法規範範圍為抗辯，應如何適用法律？因為個資法較為限縮的射程範圍，在民、刑事責任上就與民、刑法形成一幅錯綜複雜的圖像。以下本文即將就個資法射程範圍之問題，及與民、刑法所構成的規範體系而為探討，提供在不同情況下法律適用的一點淺見。

貳、關於「電腦處理」與「非電腦處理」

首先須予確認的，個資法是否僅規範電腦處理的個人資料？若撇開法規名稱不看，單從個別法條似乎仍有解釋空間，例如第十八條：「非公務機關對個人資料之蒐集或電腦處理，非有特定目的......」、第二十三條：「非公務機關對個人資料之利用，應於蒐集之特定目的必要範圍內為之......」似乎對於人(手)工處理之資料，「蒐集」、「利用」仍有受規範的可能，但事實上，從第三條用詞定義第二、四、五款對照來看，可知規範的都是儲存於電磁紀錄物或其他類似媒體之個人資料，也就可說是電腦處理的個人資料。再從法規名稱及第一條﹔「為規範電腦處理個人資料......」，無怪乎一般均認為本法僅規範電腦處理的個人資料。

不過，這樣的規定是否妥當，其實值得懷疑。為什麼限於電腦處理的個人資料才受保護？理由可能如下：資料保護之所以成為一重要課題，乃肇因於電腦科技廣泛之運用，由於電腦對資料之集中、利用、傳輸能力強大，如果未對電腦之使用妥為管理，個人隱私甚易受到侵害﹔而人(手)工處理之資料，較之電腦處理之資料，遭大量集中、利用及流通的可能性較小，尚不致需設新的法律制度以為因應。

本文認為，以這樣的理由推出限於電腦處理的立法，邏輯上似有問題，因為法律關心的重點應是在法益的保護，一個侵害法益的行為即使不是用電腦處理，法律也應予限制，一個非法益侵害的行為就算是用電腦處理，也不該成為處罰的對象﹔雖然基於電腦之特性，使個人資料之保護較以往更成為課題，但不應否認，人（手）工處理個人資料也可能使他人隱私權遭受相同之損害[1]。因此，假如因為電腦處理的特殊性，而設計特別的行政管制措施[2]，或許是合理的（但觀察本法的管制措施似乎也不是因電腦的特性而設，移至手工處理的資料也是同樣適用且有需求性的），但至少民事求償和刑事處罰，應該和是否以電腦處理無關。另有一種可能，即以刑法危險犯的概念來思考，認為以電腦處理就具有較高的危險性，為一定要件之行為就可以推定有法益侵害，以達法益周全保護的效果，這是立法者可能有的想法，只是落實到法條上，卻又全不是那麼一回事，個資法的刑罰構成要件須「致生損害於他人」，既然我們在個案中已經判斷出其行為損害他人，那是不是用電腦處理又有什麼關係呢？由此可見，就算立法者有此想法，在理論上實在還是十分扞挌窒礙的。

總之，就電腦處理的特殊性或危險性，而對管制措施有細緻化的思考及設計，或許是可以努力的方向，但全然地將非電腦處理之個人資料保護排除在外，不論如何理由都是非常薄弱的，在民、刑事責任上尤其顯然，甚至反而徒增與民、刑法間關係的複雜，這在後文的體系構成我們就可以發現。另外，歐盟1995年資料保護指令第三條第一項規定：「本指令適用於以全部或部分自動化方式處理，及以非自動化方式處理，以建立部分檔案系統之個人資料。」[3]，並不限於電腦處理，因此不論就國際現實[4]或我國對隱私權保護的整體法律環境，我國個資法都有值得檢討參考之處。

 

---

 

[1] 類似見解參照黃三榮，個人資料之保護─兼評我國電腦處理個人資料保護法，資訊法務透析，1998.1，頁46﹔洪榮彬，資訊時代之資料處理與資料保護，82年輔大法研所碩士論文，頁349-350；翁岳生等，資訊立法之研究，行政院研究發展考核委員會委託研究，頁115-118；黃榮堅，刑法增修後的電腦犯罪問題，收錄於「罪與刑─林山田教授六十歲生日祝賀論文集」，頁313-314。

[2] 例如德國聯邦個人資料保護法第九條對技術上與組織上之措施，不論電腦或非電腦處理均在要求之列，但第九條第一句之附件則進一步規定，自動化處理個人資料時，應依所保護個人資料之種類，採取入口管制、資料庫管制、輸入管制、利用者管制、取用管制、傳遞管制、投入管制、委託管制、運送管制、組織管制等十項適當措施。應可認為係某程度為因應電腦處理之特殊性而設之管制規定。德國聯邦個人資料保護法之中譯，參照林錫堯譯，德國聯邦個人資料保護法，法學叢刊，36卷4期，頁1-18。

[3] 歐盟1995年資料保護指令之中譯，參照熊愛卿、詹文凱合譯，歐盟1995年資料保護指令，收錄於熊愛卿，網際網路資料保護之研究，台大法研所89年博士論文，附錄。

[4] 歐盟1995年資料保護指令第二十五條規定其會員國，在第三國於個人資料之保護，確有相當於本指令規定之水準時，方得傳遞個人資料至第三國。因此，鑒於與歐盟的經貿往來關係，是否及如何達成相當於該指令之水準，值得我們注意。

Copyright IS-Law.com