search
電腦處理個人資料保護法與民、刑法的縱橫交錯(1)

電腦處理個人資料保護法與民、刑法的縱橫交錯(1)

電腦處理個人資料保護法與民、刑法的縱橫交錯 

陳仲麟 

                                                                                                                          

 

壹、前言

我國於民國八十四年完成電腦處理個人資料保護法(以下簡稱個資法)的立法,可說在個人隱私權的保護上前進了一大步,以往未被規範或只能依賴民、刑法上抽象概念規範的問題,有了較為細緻化的處理,又為因應資訊時代引發的隱私權保護需求,從民、刑法被動式(權益受侵害後)保護,增加了一些對於個人資料搜集、利用上的管制。但另一方面,個資法立法不周或適用上的問題其實也不少,尤其個資法射程範圍僅及於「以電腦處理」的個人資料,以及其所列舉的特定事業,假設有一A網路業者未經當事人同意洩漏個人資料給B網路業者,卻以其為法律服務業及餐飲業,非屬個資法規範範圍為抗辯,應如何適用法律?因為個資法較為限縮的射程範圍,在民、刑事責任上就與民、刑法形成一幅錯綜複雜的圖像。以下本文即將就個資法射程範圍之問題,及與民、刑法所構成的規範體系而為探討,提供在不同情況下法律適用的一點淺見。

貳、關於「電腦處理」與「非電腦處理」

首先須予確認的,個資法是否僅規範電腦處理的個人資料?若撇開法規名稱不看,單從個別法條似乎仍有解釋空間,例如第十八條:「非公務機關對個人資料之蒐集或電腦處理,非有特定目的......」、第二十三條:「非公務機關對個人資料之利用,應於蒐集之特定目的必要範圍內為之......」似乎對於人(手)工處理之資料,「蒐集」、「利用」仍有受規範的可能,但事實上,從第三條用詞定義第二、四、五款對照來看,可知規範的都是儲存於電磁紀錄物或其他類似媒體之個人資料,也就可說是電腦處理的個人資料。再從法規名稱及第一條﹔「為規範電腦處理個人資料......」,無怪乎一般均認為本法僅規範電腦處理的個人資料。

不過,這樣的規定是否妥當,其實值得懷疑。為什麼限於電腦處理的個人資料才受保護?理由可能如下:資料保護之所以成為一重要課題,乃肇因於電腦科技廣泛之運用,由於電腦對資料之集中、利用、傳輸能力強大,如果未對電腦之使用妥為管理,個人隱私甚易受到侵害﹔而人(手)工處理之資料,較之電腦處理之資料,遭大量集中、利用及流通的可能性較小,尚不致需設新的法律制度以為因應。

本文認為,以這樣的理由推出限於電腦處理的立法,邏輯上似有問題,因為法律關心的重點應是在法益的保護,一個侵害法益的行為即使不是用電腦處理,法律也應予限制,一個非法益侵害的行為就算是用電腦處理,也不該成為處罰的對象﹔雖然基於電腦之特性,使個人資料之保護較以往更成為課題,但不應否認,人(手)工處理個人資料也可能使他人隱私權遭受相同之損害[1]。因此,假如因為電腦處理的特殊性,而設計特別的行政管制措施[2],或許是合理的(但觀察本法的管制措施似乎也不是因電腦的特性而設,移至手工處理的資料也是同樣適用且有需求性的),但至少民事求償和刑事處罰,應該和是否以電腦處理無關。另有一種可能,即以刑法危險犯的概念來思考,認為以電腦處理就具有較高的危險性,為一定要件之行為就可以推定有法益侵害,以達法益周全保護的效果,這是立法者可能有的想法,只是落實到法條上,卻又全不是那麼一回事,個資法的刑罰構成要件須「致生損害於他人」,既然我們在個案中已經判斷出其行為損害他人,那是不是用電腦處理又有什麼關係呢?由此可見,就算立法者有此想法,在理論上實在還是十分扞挌窒礙的。

總之,就電腦處理的特殊性或危險性,而對管制措施有細緻化的思考及設計,或許是可以努力的方向,但全然地將非電腦處理之個人資料保護排除在外,不論如何理由都是非常薄弱的,在民、刑事責任上尤其顯然,甚至反而徒增與民、刑法間關係的複雜,這在後文的體系構成我們就可以發現。另外,歐盟1995年資料保護指令第三條第一項規定:「本指令適用於以全部或部分自動化方式處理,及以非自動化方式處理,以建立部分檔案系統之個人資料。」[3],並不限於電腦處理,因此不論就國際現實[4]或我國對隱私權保護的整體法律環境,我國個資法都有值得檢討參考之處。


 


 

[1] 類似見解參照黃三榮,個人資料之保護─兼評我國電腦處理個人資料保護法,資訊法務透析,1998.1,頁46﹔洪榮彬,資訊時代之資料處理與資料保護,82年輔大法研所碩士論文,頁349-350;翁岳生等,資訊立法之研究,行政院研究發展考核委員會委託研究,頁115-118;黃榮堅,刑法增修後的電腦犯罪問題,收錄於「罪與刑─林山田教授六十歲生日祝賀論文集」,頁313-314。

[2] 例如德國聯邦個人資料保護法第九條對技術上與組織上之措施,不論電腦或非電腦處理均在要求之列,但第九條第一句之附件則進一步規定,自動化處理個人資料時,應依所保護個人資料之種類,採取入口管制、資料庫管制、輸入管制、利用者管制、取用管制、傳遞管制、投入管制、委託管制、運送管制、組織管制等十項適當措施。應可認為係某程度為因應電腦處理之特殊性而設之管制規定。德國聯邦個人資料保護法之中譯,參照林錫堯譯,德國聯邦個人資料保護法,法學叢刊,36卷4期,頁1-18。

[3] 歐盟1995年資料保護指令之中譯,參照熊愛卿、詹文凱合譯,歐盟1995年資料保護指令,收錄於熊愛卿,網際網路資料保護之研究,台大法研所89年博士論文,附錄。

[4] 歐盟1995年資料保護指令第二十五條規定其會員國,在第三國於個人資料之保護,確有相當於本指令規定之水準時,方得傳遞個人資料至第三國。因此,鑒於與歐盟的經貿往來關係,是否及如何達成相當於該指令之水準,值得我們注意。


Copyright IS-Law.com

本文由 益思科技法律事務所 提供 原文連結

寫了810篇文章,獲得189次喜歡
留言回覆
回覆
熱門推薦
精彩推薦