電子商務個人資料保護法制之研究(11)

•第四節 個人資料之傳遞層次

•第一項 個人資料之流動

就資訊的流通利用而言，各業者當然希望能獲取他人個人資料愈多愈好，也就希望能從其他業者處獲得或彼此分享個人資料。尤其個人資料在電子商務的環境底下，具有財產價值，如前面提及Amazon新的隱私權政策表示，客戶的個人資料可能會被當作公司資產的一部份轉移給收購的公司﹔剛屆滿週年便旋即關門的Toysmart.com將其公司資產出清，其中就包括了該公司的顧客名單[1]，已可見將個人資料轉售的例子所在多有。但從個人資料權的角度觀察，允許企業間任意傳遞就有商榷的餘地。

首先就「資訊的取得」面向而言，前曾論及應在一定條件下，並受目的明確原則拘束，但倘若允許個私人間資料可以隨意流通，則對資料取得的限制就失去意義；在甲業者傳遞資料給乙業者的過程中，乙業者其實就相當於資料的取得，如果獲取該項資訊本非其權限範圍，如何能夠允許呢。

就「資料的利用」面向而言，業者應只能在蒐集目的範圍內為利用，前已論及，則前述乙業者的利用及其目的，勢必非當事人當初所能預見，也就同樣違反了限制利用原則。

就「資料的管理」面向而言，資料的管理者原應確保資料不外洩，倘若業者間資料可以任意交流，此一保護也就產生漏洞。

•第二項 對我國法制之檢視

個資法對個人資料的傳遞並未以個別條文規定，但個資法第三條第三款定義「電腦處理」指「使用電腦或或自動化機器為資料之輸入、儲存、編輯、更正、檢索、刪除、輸出、傳遞或其他處理。」傳遞就被包含在電腦處理的概念中﹔但同條第五款又定義「利用」為「指公務機關或非公務機關將其保有之個人資料檔案為內部使用或提供當事人以外之第三人。」又把「提供當事人以外之第三人」納入利用的概念中，則因為電腦處理將適用第十八條[2]，利用則應適用第二十三條[3]，在此發生問題。就文意上而言，二者都可說得通，德國聯邦個人資料保護法第三條是將「傳遞」定義為示之第三者的行為[4]，歐盟1995年資料保護指令第二條定義「處理」包括「蒐集、記錄、組織、儲存、改編或變更、檢索、諮詢、利用、經傳送揭露、散布或其他產生效用、排列或組合、凍結、刪除或銷毀之作業或整組作業方式。」[5] 則若參考此二外國立法例的解釋，就會採取前說，國內亦有學者認為應適用個資法第十八條者[6]，而且，在公務機關對公務機關傳遞之情形，能否解釋為第三人會發生問題[7]，若要求理解上的一致，可能也會傾向此說﹔但另一方面，「提供當事人以外之第三人」屬利用又十分清楚，國內亦有採後說者[8]。本文提出另外兩種想法，在甲業者傳遞個人資料給乙業者這樣的例子中，甲的行為比較類似利用，而乙的行為則等於是蒐集，因此一種解法是認為，就甲而言要合法傳遞，理論上應符合關於利用的規定，就乙而言要合法收受，則應符合關於蒐集的規定，故甲應遵守第二十三條，乙應遵守第十八條，之所以提出此一想法，乃鑒於傳遞可能是一涉及雙方的行為，假如是在一存在交付、受領的情況下，似乎雙方都有責任才是，如果要免責，就應分別符合利用、蒐集的規定﹔至於在單方行為的情況，例如甲單純的公開揭露他人個人資料，就應該論斷甲違法傳遞的責任，乙雖然可能藉此知悉他人個人資料，但似乎不應加以非難，個資法第十八條第三款「已公開之資料且無害於當事人之重大利益者」且有特定目的，似即可作為合法化的依據。第二種解法是認為，甲的行為符合利用的規定，或乙的行為符合蒐集的規定，只要其一具備即為合法，因為既然甲可以合法傳遞，這時我們還認為乙不能合法取得，豈不是相互矛盾，例如甲為盡其契約義務，請乙履行輔助，且被認為是在目的的必要範圍內的話，仍要乙負違法之責似乎不是很合理﹔相反地，如果乙可以合法蒐集，那他從甲那邊獲取個人資料，並沒有造成當事人的損害，似乎也不應令甲負違法之責。此二說應採何者為妥，本文尚無確定想法。

以上述兩見解檢討電子商務下常見的行為，例如任意將個人資料出售、交換是非法，應該是沒有問題的。不過，倘若甲是將所掌有的個人資料隨同其與消費者間之契約賣給乙，則未必被評價為違法，因為甲當初既然是為履行契約提供消費者特定服務而蒐集個人資料，當該契約移轉給乙時，將個人資料隨同移轉給乙，反有助服務的繼續履行，而在當初蒐集的目的範圍內，故符合第二十三條﹔又乙因為受移轉成為與消費者間契約的當事人，就能符合第十八條第二款之情形，且是為促進該契約目的而為的蒐集（如果當初甲蒐集個人資料的合法性沒有問題的話）﹔這似乎是合理的解釋。至於甲在移轉契約後，本身對個人資料的蒐集目的已經消失，繼續保有個人資料已失去正當性，根據個資法第二十六條準用第十三條，應依職權或當事人之請求，刪除或停止電腦處理及利用該資料。

---

[1] 丁源宏，顧客名單轉售？高度商業化背後的道德疑慮，http://www.ectimes.org.tw/searchshow.asp?id=950&freetext=&subject=顧客名單轉售？高度商業化背後的道德疑慮　（2001/4/28瀏覽）

[2] 個資法第十八條規定：「非公務機關對個人資料之蒐集或電腦處理，非有特定目的，並符合左列情形之一者，不得為之：一　經當事人書面同意者。二　與當事人有契約或類似契約之關係而對當事人權益無侵害之虞者。三　已公開之資料且無害於當事人之重大利益者。四　為學術研究而有必要且無害於當事人之重大利益者。五　依本法第三條第七款第二目有關之法規及其他法律有特別規定者。」

[3] 第二十三條規定：「非公務機關對個人資料之利用，應於蒐集之特定目的必要範圍內為之。但有左列情形之一者，得為特定目的外之利用：一　為增進公共利益者。二　為免除當事人之生命、身體、自由或財產上之急迫危險者。三　為防止他人權益之重大危害而有必要者。四　當事人書面同意者。」

[4] 「傳遞，指將已儲存或經資料處理所獲得之個人資料，依左列方式示之第三者：a.由儲存單位將資料傳達於接收者，b.由接收者從儲存單位查閱或截取原已備妥之資料。」德國「聯邦個人資料保護法」的中譯，參閱林錫堯譯，德國聯邦個人資料保護法，法學叢刊，三十六卷四期，頁1-18

[5] 歐盟1995年資料保護指令之中譯，參照熊愛卿、詹文凱合譯，歐盟1995年資料保護指令，收錄於熊愛卿，網際網路個人資料保護之研究，台灣大學法研所博士論文，附錄（2000/7）

[6] 參照許文義，個人資料保護法論，頁252-256,261，台北，三民（2001/1）

[7] 根據電腦處理個人資料保護法施行細則第六條規定：「本法第三條第五款所稱第三人，指保有個人資料檔案之公務機關或非公務機關以外之自然人、法人或其他團體。但不包括受委託處理資料之團體或個人。」看起來公務機關提供給公務機關似乎就不算提供給第三人，但這樣就會變成提供給公務機關和提供給非公務機關發生分流的現象，相較於德國規定的「人或單位」以及歐盟的「任何自然人或法人、公務機關、機構或其他團體」，恐怕是立法疏漏。

[8] 參照簡榮宗，網路上資訊隱私權保障問題之研究，http://taiwanic.com/alan/alan4-08_7-2.html （2001/2/16瀏覽）

Copyright IS-Law.com