新聞自由、隱私與個資法
/邱伊翎（台灣人權促進會文宣部主任）

一、前言

個人資料保護法在整個修法過程中，幾乎顯少有媒體願意報導關心此一法案，甚至連立法院也鮮少有立委願意投入時間，認真了解法案內容。這是民間團體從2008 年末就開始四處拜會法務部及立法院各黨團的感受。台灣人權促進會及一些關心病患及同志、性別權益的社團，還有一些關心隱私權及個人資料保護的學者專家，從很早之前就一直在關心這個法案的修法，因為台灣不論是政府機構、企業乃至於媒體新聞報導，經常對於民眾的個人資料及隱私的蒐集、使用、揭露都有一些不當的做法，但除了有時間、有金錢的少數人可以依據民法或刑法的部分條文提起訴訟之外，一般民眾都是摸摸鼻子自認倒楣，國家在確保民眾隱私權的保護措施，的確是少之又少。

二、媒體往往是侵犯隱私的來源

在這次個資法修法爭議上，媒體唯一關心的議題乃在於此法是否會侵害新聞自由，但不可諱言，新聞媒體往往就是侵犯隱私權的重要媒介之一。從很多例子中，我們都可以看到媒體對於公眾人物或非公眾人物的隱私權之侵犯。1994年8月，在未告知當事人及其家屬的情況下，澎湖一名國小學童因輸血被感染愛滋的新聞被媒體大幅報導，雖然未公佈該學童姓名，但澎湖地小人稀，當地民眾很快就知道誰是當事人，許多家長要求隔離此學童，經民間團體呼籲尊重感染者教育權，學童才得以返校，但班上同學又立刻紛紛轉學，最後全班只剩下此學童一人。雖然此事件的問題根源在於民眾對於愛滋病的恐懼及對於傳染途徑的錯誤理解，但透過媒體的推波助瀾及所謂的人肉搜索，是導致此名學童受教權受損的重要因素。 Read the rest of this entry »

對於個資法三讀通過之聲明

/台灣人權促進會

在遭到媒體質疑侵犯新聞自由的狀況下，法務部匆匆再度提出修正意見，立法院亦於4/27立即三讀通過新版「個人資料保護法」修正草案。個資法修法，其目的在於修補當前資訊安全缺口之急迫，然而，整部法在提出修法到通過的討論過程中，卻始終忽視個人資料保護的結構制度性缺失。

一、背離「當事人資訊自決原則」

個人資料的隱私洩漏，問題並不只在於末端的資訊安全技術問題，而是從上游開始的蒐集、處理與利用一路下來對個人資訊自決權的侵蝕。根據OECD對於個資保護的八大原則，個人資料的蒐集、處理及利用都應該在目的明確、合法蒐集、個人參與等原則下進行，除非有例外狀態，才能做排除。但是在新版個資法當中，不論是公務機關或非公務機關，正當事由、當事人同意，都只是合法蒐集的條件之一，而非必要條件。換言之，個人自決原則，在很多狀態下，都可以被排除在外。新版個資法一方面擴大適用主體，卻在蒐集、利用及處理的規範上過於鬆散，所謂「正當事由」也缺乏明確定義，這樣並沒有辦法減低目前公務、非公務機關過度搜集個資的狀況，反而讓更多行業所認定為必要、正當，但實為過度搜集個資的行為就地合法。

二、無法落實保障敏感性個人資料

敏感性個資在此新法中，原則上禁止蒐集，但是在第六條的條文中，卻仍然列出許多仍可進行蒐集敏感性個資的例外情況，而所謂的「當事人之同意」，也只是可進行蒐集的條件之一而已，而非必要條件。這種對於敏感性個資的蒐集管制，實際上，跟一般個資並無多大差別。若真要落實保障敏感性個資，在蒐集、處理與利用前，都應先經相關的審查流程，以確認其蒐集、處理與利用符合法所列舉之正當事由，特別是因學術研究目的而允許蒐集、處理與利用敏感性個人資料時，除需經當事人同意外（除非具有「免除同意之正當事由」），並應先經過研究倫理委員會之審核。

三、欠缺安全閥的制度設計

目前歐盟各國多設有所謂的個人資料保護委員會，機構內亦多有所謂的個人資料保護官，除了進行教育推廣之外，這些專責機構及機構人員亦會針對蒐集敏感性個資等特殊情況，作事前控管。在今日氾濫而多無節制的資訊活動環境下，各機構內獨立的個人資訊保護官不僅能降低外部管制的重任，亦是必要的安全閥。然而此一制度設計，在此次修法中，亦因政府組織改造或人事精簡等理由，而認為沒有必要設置。

四、無專責主管機關

新版個資法沒有主管機關，而是回歸各事業主管機關做為規範及管理的主體。但沒有主管機關就會出現類似多頭馬車及踢皮球的狀態。即使有爭議事件發生，若牽涉到的個資為跨部會的機關，又該由誰來居中作協調及負責，在此新法中，完全看不見擔負責任的專責機關。但，個人資料保護的全盤政策擬定、執行，乃至於個人資料保護觀念之教育、宣導等事項的整合進行，仍需專責機關以利其事。

五、救濟管道的可行性

在修正草案中，雖加入了「集團訴訟」的方式，讓個別的受害人可因同一件個資外洩案件，共同提起法律訴訟，減輕個別當事人在處理法律救濟的成本。但在條文中所規定代為提起個人資料保護相關訴訟的財團法人或公益社團法人，在財團法人是財產總額1000萬，社團法人社員100人，目前台灣的民間團體社團法人符合此條件者，並不多見，似乎只有大型私人企業集團有財力以設立財團基金會進行相關業務。

我們遺憾此番修法引起許多爭議，卻不見對於上述制度缺失的深切討論，此修正法案對於要真正落實個人資料保護的原則，仍還有很長遠的道路要走。

個資修法侵犯新聞自由？

/邱伊翎（台灣人權促進會文宣部主任）

個人資料保護法11/12在立法院政黨協商完成修法，針對法務部昨天向媒體告知是因為徵詢敝會的意見而把「媒體、立委免告知」的條文刪去，而引起有人認為干涉新聞自由一事，我們想在此澄清幾點。

關於媒體、立委由第三人手中所間接蒐集而來的個資「免告知」一項，在法務部的條文已規定若「告知將妨害第三人之重大利益」、「法律明定免告知」等例外情況，在民間團體所提出的版本則認為若基於「公共利益、維護國家安全所必要，且取得當事人再同意程序將嚴重妨礙此目的之達成者」、「為免除當事人或他人生命、身體、自由或財產上之危難所必要」等特殊情況下，不需要取得當事人同意。

在我們看來，應該是根據「事由」，而非根據「特定身份」而直接賦予「免告知」權利。立法委員若因問政所需，要蒐集資料，可以依據「立委職權行使法」來作為，若覺有不足亦可修法，不需要非得在「個人資料保護法」上大作文章。媒體採訪，照理說一般也都會遵守「新聞倫理」，尊重新聞當事人的隱私權、以正當方式取得新聞資訊。即使「個資法」不規定，各行各業諸如保險、銀行業者、醫療院所等機構對於其客戶、病患的個資保護亦都有其本身的相關法規作出更加嚴格規範。如果硬是要在「個資法」上讓某些人有「不需經當事人同意，即可向這些單位蒐集個資」的權利，必然也會造成這些單位的許多困擾。

事實上，我們一直所關注的是整部法案擴大適用範圍後，規範卻沒有更加清楚，對於「敏感性個資」（醫療、性生活、基因等）的規範也沒有比較嚴格，「正當理由」及「個人同意」二者在整部法案中，更是經常混淆。個資保護的問題，正是在於前端蒐集的部份沒有好的管制，才會導致今日許多個資外洩的結果。新的「個人資料保護法」修正草案無法作為「個資保護」的最低底線，反而一再擴大賦予公務機關及非公務機關擁有更多蒐集人民個資的權力，才是這次個資修法的最大問題！

相關新聞：媒體引個資須先告知？立委憂新聞自由

媒體引用個資 須告知當事人

搞錯方向放錯重點的個資法修法

/ 邱文聰（中央研究院法律學研究所助研究員）

個人資料保護法草案11/12在立法院進行政黨協商並達成共識。從人權團體的角度而言，此一協商結果根本未能解決長久以來存在於現行法的結構性問題，但媒體及部分立委卻指責法務部在人權團體壓力下刪除媒體「免告知義務」條文，大大限縮新聞自由。此一爭議恰好提供一個機會，釐清個資法修法的問題究竟何在。

依照行政院版的原始條文來看，「告知」分為「直接向當事人蒐集時的告知」與「間接蒐集當事人個資時，對當事人的告知」兩種情形。同樣地，新聞媒體對個人資料的蒐集除了當事人自行公開或其他已合法公開之個人資料外，其方式應該也可分為「直接蒐集」與「間接蒐集」二者。

當新聞媒體「直接」向當事人蒐集個人資料時，要求媒體必須先向當事人告知：究竟是「誰」在蒐集個資、蒐集之目的為何、蒐集哪些個人資料等事項，甚至應得其「同意」，我們很難想像這樣的要求究竟會如何限縮新聞自由？難道我們要賦予新聞媒體在當事人不同意提供個人資料時可以有「強制處分權」？或者，我們容許新聞媒體可以不正方法，直接跟當事人「騙取」個資？

當新聞媒體欲「間接」取得當事人個資時，其方法大致上有二：一是向知悉當事人資訊的第三人，打探第三人透過觀察等個人經驗所獲悉有關當事人之個資；二是向曾合法蒐集當事人個資的公務機或非公務機關請求「目的外利用」。小道消息的採訪、友人間的傳誦、甚至是深喉嚨的個人爆料都屬前者，但個資法對媒體告知義務所規範的行為卻是後者（「依第15條或第19條規定蒐集非由當事人提供之個人資料」）。當然這並不意謂，透露消息的深喉嚨一定不會招致任何的法律責任，例如，倘若員工個人違反公司規定而將顧客資料外洩給媒體，將可能引發民事甚至刑事法律責任。

因此，個人資料保護法對媒體進行規範所觸發的真正問題其實不在於「告知義務是否限縮新聞自由」，而在於握有個人資料的公務機關（第16條）或非公務機關（第20條），究竟可否將其所蒐集之個人資料，在未經當事人同意前，轉提供給媒體使用。而這個核心問題，其實也正是民間團體一再質疑行政院及法務部修法版本的理由：究竟我們要允許公務機關或非公務機關在什麼時候，可以不需要經過個人的同意，而把為A目的蒐集到的個資，使用在B目的、C目的、D目的上？

個資法修正草案，表面上擴大了適用範圍，也增加了「敏感性個資」（醫療、性生活、基因等）的特別規定，實則修正草案一再混淆「正當事由」乃是「法治國原則」對公務機關資訊作為的拘束，其與透過「個人同意權」所欲維護的「個人資訊自主/隱私權」二者，在規範上有截然不同的功能。這樣的混淆使得「個人同意權」在這部個資法中幾乎遭到架空。公務機關可以不需要得到個人同意而廣泛蒐集個資，也可以基於籠統的國家安全與增進公共利益，在不經個人同意的情形下，將原來蒐集之個資提供做其他目的使用。更離譜的是，非公務機關竟然也可以只因學術研究有必要，不論研究所涉及之風險高低，即可不經當事人同意而蒐集處理或利用個人的敏感性個人資料（主管機關雖口頭承諾將於子法做適當規範，但子法豈可增加母法所無之限制？）。

個人資訊自主/隱私權之保障與資訊社會中資料的正當利用間，固然存在一些緊張關係，因此不得不承認在某些限定情形，個人同意權應受到限制，以滿足現代社會生活的期待。但在結構上搞錯方向的修法，不僅造成違背國際學術社群之研究倫理的結果，其要如何作為「個資保護」的最低底線，也著實令人匪夷所思。

台灣人權促進會針對警政署取消人民按指紋規定之聲明

根據報載，八月一日開始，警政署除了刑事類的文書，將請法務部再作解釋外，其他包括臨檢紀錄表和酒測值單據等53種與行政、交通相關之案件文書，不再要求按捺指紋。

事實上，除了刑事訟訴法第205-1條與205-2條因為刑事偵察鑑定之必要外，警政機關根本不應該在民眾接觸的一般行政、交通業務上，強制要求當事人按捺指紋。警方行之已久的「按指紋」陋習，其實根本就沒有法令授權。現在警政署願意明文提示業務單位不可隨意要求按壓指紋，至少是回歸法治面的人權保障，我們予以肯定。

這次警政署雖然取消了行政、交通案件文書按指紋的規定，但其它保留仍需強制人民按捺指紋的刑事類案件，依然問題叢叢。刑事類案件的「勘察採證同意書」、「受理刑事案件報案三聯單」、「指認犯罪嫌疑人紀錄表」、「權利告知書」，依據刑事局及法務部的共識，仍要求人民按指紋。而其他需按指紋的刑事類案件，如筆錄等資料，所依據的條文（刑事訴訟法第41、42條）亦無明確「非要按指紋不可」的規定。

根據釋字第 603 號：「指紋乃重要之個人資訊，個人對其指紋資訊之自主控制，受資訊隱私權之保障。」「國家基於特定重大公益之目的而有大規模蒐集、錄存人民指紋、並有建立資料庫儲存之必要者，則應以法律明定其蒐集之目的，其蒐集應與重大公益目的之達成，具有密切之必要性與關聯性，並應明文禁止法定目的外之使用。主管機關尤應配合當代科技發展，運用足以確保資訊正確及安全之方式為之，並對所蒐集之指紋檔案採取組織上與程序上必要之防護措施，以符憲法保障人民資訊隱私權之本旨。」

在此，我們要求警政署、法務部，應遵守大法官會議解釋文之意旨，若無明確的法律授權，即不得強制採集指紋（包括其所謂刑事類），對於已採集之指紋之保存或使用，更應公開銷毀，以昭公信。

【聯合報╱記者陳金松／台北報導】2009.07.22

53項表單 將免按指紋

警政署為保障人權，通令從八月一日起，警察機關和民眾有關的五十三種行政和交通案類表單、文書，不必再按捺指紋，民眾只要簽名或蓋章即可。

也就是說，八大行業常遇到的「臨檢紀錄表」、酒駕民眾的「酒測值列印單」、「扣留車輛存根聯」，及民眾到警局備案要填寫的「員警工作紀錄簿」等，將全面取消按指紋規定，象徵人權大躍進。

現行警察處理一些行政業務要求民眾按指紋，屢生爭議，警政署長王卓鈞指示行政組和法制室研究後發現，現行法令並無按捺指紋的明文規定，多名學者也認為按指紋有侵害人權之虞，警政署因此決定取消這種作法。

至於刑事類的卅四種表單、文書，警政署也傾向不再按指印，包括犯罪嫌疑人的調查、偵訊和扣押筆錄等；不過，因牽涉刑事訴訟法相關規定及當事人的司法權益，必須等法務部解釋，先暫緩推行。

【台權會新聞稿】科學逾越倫理，犧牲人權代價！--「台灣生物資料庫」應接受全民檢視 Read the rest of this entry »

本文投稿2009年3月10日自由時報自由廣場，此為全文刊出。

曾幾何時，台灣社會已經越來越習慣媒體不時在揭露及報導一些其實跟「公共利益」沒有真正緊密關連的個人隱私資訊。我們也越來越習慣，我們的「民意代表」頂著「民意」的光環帽，搖身變為「正義使者」，向媒體爆料內容不一定正確、來源不一定清楚、更從未告知過當事人的個人資料。存在並非合理，然而現在，立法院居然還要進一步將這樣的行為予以合法化。

1995年法務部在擬定「電腦處理個人資料保護法」時，其宣稱依據OECD（經濟合作及發展組織）的八大個資保護原則，包括：蒐集限制（需有合法正當的蒐集目的）、蒐集的資料內容必須正確、蒐集目的需明確化、資料的利用必須受限、安全保護、個人參與（每個人都有向資料擁有者確認對方擁有自己資料的權利）等。

「全民個人資料保護聯盟」（簡稱「個資盟」）曾主動拜會法務部、立法院，召開相關座談會，主張若要真正做到「個資保護」，必須要有事前針對個資蒐集的「監督機制」，而不光只是著眼於個資外洩當事人可求償的補償金額高低。為了更周嚴保護個人資料與隱私，「個資盟」認為只有在少數情況下，個資的蒐集不需告知當事人：一、公務機關為維護國家安全所必要。二、為免除當事人或他人生命、身體、自由或財產上之危難所必要，但涉及敏感性個人資料（如基因資料）時除外。三、對當事人權益僅造成極微小之影響，且已依其他適當方式保護當事人權益者。四、已無從識別特定當事人，且當事人對特定目的外利用未為反對之表示者。

但行政院與立委的修法草案，卻擴大了「無須告知」之範疇，包括：「告知將妨害公務機關執行法定職務」、「大眾傳播業者基於新聞報導之目的而蒐集個人資料」。國民黨謝國樑委員的提案，更增列了：「民意代表基於質詢問政之目的所蒐集的個人資料。」我們憂心的是，誰來監督與管理媒體及民意代表因「公共利益」而蒐集的個人資料？在台灣二十四小時無盡輪播的媒體環境、民意代表言論免責的濫用下，如何保障這些被蒐集、甚至被公布資料的個人，他們的權益？這個問題並不只是如謝國樑委員所說的：「只是沒有告知當事人而已」，也無法透過「民意代表的道德與法律責任」就可以彌補當事人的損失。

如果，這些根本的原則和問題都被不討論與確立，那麼個資法的修法草案，第一個要修改的應是法案名稱，因為它根本不配稱作「個人資料保護法」！

台灣社會極端缺乏對個人隱私的尊重，個人資料不當地被公務與非公務機關收集，之後因個資外洩造成各種財產、工作、醫療等人權損害。

目前在本屆立法院，行政院提出了「個人資料保護法」修正草案，顯示政府部門正視當前台灣個人資料保護嚴重不足的現象，欲以修法補正。然而這部「個資法」修正草案，是否在法律界已經充分的討論，足以提供國民完備的個人資料保護，則尚待檢視。本次座談會即針對第七屆立法院第一會期「未竟其功」的個人資料處理法和去氧核醣核酸採樣條例，以及與敏感性個人資料相關的「生物基因資料庫管理條例」等法案，邀請各界相關人士參與，提供各方之專業意見並形成共識。

Read the rest of this entry »

欣聞大法官會議針對戶籍法第八條做出暫時處分，明確落實釋字585號所建立之釋憲保全制度，此可謂台灣人權保障之新里程碑，令人振奮，對大法官恪盡職責堅守人權保壘的表現，本聯盟做出如下聲明：

一、大法官勇於做出暫時處分，為釋憲制度的健全跨出空前的一大步，本聯盟給予高度肯定。

二、行政院應用心體會大法官捍衛人權的決心，切實遵守本號解釋的要求，並以正式記者會宣誓行政院嚴尊此次釋憲結果的立場。

三、本聯盟更期盼大法官早日宣告戶籍法第八條違憲，讓違憲法律早日失效。

四、本聯盟將持續監督行政院在指紋建檔上的作為，直到司法院做出戶籍法第八條違憲的解釋。

五、本聯盟希望民眾於這段期間進行深度思辨，勿一再落入指紋與治安的迷思。

汪平雲 著作

按一下指紋，我的人權就被侵犯了嗎？

這要看你做這個動作的場景。「使用指紋筆記型電腦」和「全民指紋資料庫建檔」，雖然同樣要你在掃描器前按一下指紋，但兩者的意義完全不同。由於同樣只是一個輕柔的動作，你很容易忽略了其間的差異。

對於指紋此種生物特徵資訊，有兩種運用模式。第一種是「核對模式」(authentication)，典型的運用如指紋鎖、指紋電腦等。這種模式的特點是採取「一對一」的比對方式，例如當開啟指紋鎖或指紋電腦時，將使用者的指紋資訊和預先載入的資訊加以核對（通常經過加密）。由於只進行「一對一」比對，這種模式只須載入使用者的指紋，不必全面建立指紋資料庫，要求許多無關的人把指紋交出來。

更重要的是，核對模式只比對兩者是否相符，不一定要涉及指紋主人的個人資訊，例如，你的指紋電腦或門鎖只需要識別你的指紋，不必知道你叫什麼名字。

另外一種「辨認模式」（identification）就大不相同了。這是「一對多」的比對方式，目的是在找出指紋的主人是誰，最典型的事例就是犯罪偵查。既然是「一對多」的比對，則一定要有指紋資料庫，而且指紋資料庫越龐大、越全面、越徹底，才能確保辨認順利成功。

此外，要能找到指紋的主人，指紋資料庫就必須和其他個人資訊相連結，包括姓名、住址、電話、職業…等等越多越好，如此才能確保一定能把你找出來。所以，所謂全民指紋檔，不僅是指紋的集合，更必須是個人身分資訊的匯集，才能發揮作用。當然，這也增加了對人民隱私的威脅，和個人資料外洩的風險。

對於個人隱私而言，這兩種模式有著截然不同的意涵。「核對模式」的原始想法，是為了避免別人冒充是你，未經你的允許潛入你的客廳或你的電腦。換言之，「核對模式」的妥善運用，例如指紋電腦，可能有助於增加我們對於私人生活的控制能力。而「辨認模式」則是為了讓別人辨認出是你，讓社會追蹤得到你，不論在你是否願意被認出的情況下。

因此，「核對模式」的設計與個人主義親近，而全民指紋檔的「辨認模式」，則傾向集體主義的思考。「核對模式」如果運用不當或管理不善，對於個人隱私仍有風險，但「辨認模式」思路下的全民指紋檔，則顯然是隱私之敵。

由於指紋痕跡很容易遺留在我們碰到過的物品上，使得全民指紋檔不僅能直接透過你的指尖辨認出你，還具有充分的潛能，可以藉由你無心留下的指紋痕跡，追蹤你去過哪裡，作過什麼，摸過什麼東西。換句話說，全民指紋檔提高了國家監控個人的能力。這當然是一個典型的人權議題，而且，這是一個和你我每一個人都有關的人權議題。

因此，建立全民指紋檔是否侵犯人權，戶籍法第八條是否違憲，不只是大法官要去煩惱的問題。我們每一個人都應該想一想，當國家要求我們留下二枚指紋以換取一張新身分證時，我們失去了什麼？

首先，你失去了是否交出指紋的選擇自由。你可以選擇要不要購買具有指紋辨識功能的電腦，可以選擇要不要把指紋掃描進電腦，但在換發身分證時，你是被強迫交出指紋資訊，你沒有選擇自由。

其次，你失去了未來如何使用這些指紋資訊的決定權。這些指紋資訊如何運用，是否有一天會用來追蹤你，已不再是你能決定的事項。而且，由於戶籍法對於指紋如何運用的規定完全空白，你對於國家會如何運用這些資訊，絲毫不能預測。

第三，除了指紋資訊之外，由於全民指紋檔的建構和運用，你其他的個人資訊也增加了暴露的機會。

第四，你可能預先拋棄了刑事訴訟正當程序的保護。倘若有一天你不幸成為犯罪嫌疑人，本來國家要獲取你的指紋資訊，必須符合刑事訴訟法的正當程序，但有了全民指紋檔後，這層保護可能稀釋甚至蒸發了。因為全民指紋檔早已將你視為潛在的犯罪嫌疑人。

全民指紋檔提高了國家監控個人的能力，構成了自由與隱私的威脅。當國家監控能力增加時，我們也要追問這種增加是否具有正當性，以及是否具有適當的法律控制。以戶籍法第八條寥寥數語，在用途不明的情況下，就要建立全民指紋檔，很難不令人聯想到「放虎出閘」四個字。我們失去的，真的不只是二枚指紋而已。

（作者為律師）