在數位時代,個人資料的保護至關重要。然而,什麼樣的行為才算得上是「個人資料外洩」?這是一個許多人感到困惑的問題。根據個人資料保護法,當個人資料未經當事人同意或未依法取得其同意,就被洩露給第三方,就可能構成個人資料外洩。換句話說,除非資料是由當事人自行公開或已經合法公開,或基於公共利益為統計或學術研究之目的,且資料經處理後無法識別特定當事人,否則未經當事人或其法定代理人同意就將資料提供給他人,就可能違法。
個人資料外洩的關鍵要件:未經告知當事人
在探討「怎樣算個人資料外洩」之前,我們必須先了解個人資料外洩的關鍵要件。個人資料保護法強調「知情同意」原則,意指在處理個人資料時,必須事先告知當事人,並取得其明確同意。因此,未經告知當事人,或未依法取得當事人同意,而將個人資料洩露給第三者的行為,即構成個人資料外洩。
未經告知當事人:資訊透明化
未經告知當事人,指的是在取得、處理或利用個人資料時,未向當事人揭露相關資訊,例如:
- 資料蒐集的目的:為何需要蒐集您的個人資料?
- 資料處理的方式:您的個人資料將如何被使用?
- 資料利用的範圍:您的個人資料將被分享給哪些對象?
- 資料保存期限:您的個人資料將被保存多久?
- 當事人權利:您享有哪些關於個人資料的權利?
當事人只有充分了解這些資訊,才能做出是否同意提供個人資料的決定。若企業未事先告知當事人,而將其個人資料洩露給第三者,即使資料本身未被公開,也可能構成違法。
未依法取得當事人同意:合法性與必要性
除了告知之外,取得當事人同意也必須符合法律規定,並遵循「合法性」與「必要性」原則。所謂「合法性」是指資料蒐集處理必須有法律依據,例如:
- 契約關係:例如,您與銀行簽訂貸款合約,銀行需要您的個人資料才能完成貸款程序。
- 法律規定:例如,政府機關為了執行法令,可以蒐集特定個人資料。
- 公共利益:例如,為了進行公共衛生調查,可以蒐集相關資料。
而「必要性」則是指蒐集資料的範圍必須與目的相符,不得過度蒐集個人資料。若企業未依法取得當事人同意,或蒐集資料超出必要範圍,即可能構成違法。
因此,企業在處理個人資料時,必須注意「告知」與「同意」的雙重要求,確保資料處理的合法性與透明度。只有這樣,纔能有效避免個人資料外洩風險,並維護資料主體的隱私權。
個人資料外洩的定義:深入解析
在瞭解何謂個人資料外洩之前,我們必須先釐清「個人資料」的定義。根據個人資料保護法,個人資料是指得以直接或間接識別特定自然人的任何資訊,例如姓名、地址、電話號碼、電子郵件地址、身分證字號、指紋、基因資料等等。這些資料都屬於個人資料保護法的保護範圍。
當這些個人資料未經當事人同意,或未依法取得當事人同意,而被洩露給第三者,就構成「個人資料外洩」。個人資料外洩的行為並不限於蓄意,即使是疏忽或意外,也可能構成違法。
以下列舉幾個常見的個人資料外洩情境:
常見的個人資料外洩情境
- 公司員工將客戶名單傳給競爭對手:這是一種典型的蓄意洩露個人資料的行為,員工違反了公司保密義務,也侵犯了客戶的隱私權。
- 公司網站遭到駭客入侵,導致客戶資料外洩:這是一種典型的疏忽洩露個人資料的行為,公司沒有做好資訊安全防護工作,導致客戶資料被盜取,這也可能構成公司違法責任。
- 公司將客戶資料提供給第三方公司進行分析,但未告知客戶:這是一種典型的未取得同意洩露個人資料的行為,即使資料是為了分析目的而提供,但公司未告知客戶,就違反了個人資料保護法的規定。
- 公司員工將客戶資料儲存在個人電腦,並使用非公司認可的雲端服務:這是一種典型的未依法取得同意洩露個人資料的行為,員工將公司資料儲存在私人設備,可能會造成資料外洩風險,也可能違反公司內部規定。
- 公司將客戶資料用於廣告推廣,但未告知客戶:這是一種典型的未取得同意使用個人資料的行為,公司未經客戶同意,將客戶資料用於其他用途,就可能構成違法。
以上僅列舉部分常見的個人資料外洩情境,實際上,個人資料外洩的行為可能比上述列舉的情境更加複雜。因此,企業在處理個人資料時,必須格外謹慎,並建立完善的個人資料保護機制,以避免資料外洩事件發生。
怎樣算個資外洩?. Photos provided by unsplash
個人資料外洩的判斷依據:三要素剖析
如何判定資料外洩是否構成違法行為,必須依據「個人資料保護法」中的相關規定。根據法條精神,個人資料外洩的判斷依據可歸納為三大要素:資料非公開、未告知當事人、非統計或學術研究。這三個要素缺一不可,只有同時符合這三點才能構成個人資料外洩。
1. 資料非公開:
首先,外洩的資料必須是未經當事人同意公開,或未依法取得同意而公開的資料。這表示個人資料必須屬於「非公開」的範疇。例如,客戶的姓名、電話、住址等個資,若未經客戶同意或法規授權,而被公開,便屬於違法行為。
- 未經同意公開:企業未經客戶同意,將客戶資料出售給其他公司或在網站上公開展示,都屬於違法行為。
- 非法取得同意公開:企業以欺騙或脅迫手段取得客戶同意,或以不明確的條款隱瞞資料使用方式,取得客戶同意,亦屬於違法行為。
2. 未告知當事人:
其次,資料外洩必須是未告知當事人或其法定代理人。這表示在資料外洩之前,必須主動通知當事人,並取得其同意。否則,便可能構成違法行為。例如,公司將客戶資料提供給第三方公司進行分析,但未告知客戶,也可能構成個人資料外洩。
- 應告知事項:應告知當事人資料外洩的原因、內容、範圍、時間以及應對措施等資訊。
- 取得同意:應取得當事人明示同意,才能將資料外洩。
3. 非統計或學術研究:
最後,資料外洩的資料必須非基於公共利益為統計或學術研究之目的,且經提供者處理後或蒐集者依其揭露方式,無法識別特定當事人。這表示,若資料外洩是為了公共利益進行的統計或學術研究,且資料經過處理後無法識別特定當事人,則不構成違法行為。例如,學術研究者收集匿名問卷資料進行分析,並將研究結果發表,但不包含個人識別資訊,則不構成違法行為。
- 公共利益:資料外洩必須符合公共利益,例如醫療研究、社會調查等。
- 資料處理:資料處理後必須無法識別特定當事人,例如將資料進行匿名化或加總統計。
| 要素 | 說明 | 範例 |
|---|---|---|
| 資料非公開 | 外洩的資料必須是未經當事人同意公開,或未依法取得同意而公開的資料。 |
|
| 未告知當事人 | 資料外洩必須是未告知當事人或其法定代理人。 |
|
| 非統計或學術研究 | 資料外洩的資料必須非基於公共利益為統計或學術研究之目的,且經提供者處理後或蒐集者依其揭露方式,無法識別特定當事人。 |
|
個人資料外洩的關鍵識別指標:三要素驗證
判斷是否構成個人資料外洩,需要從三個要素進行驗證,缺一不可。這三個要素如同一個三角形的支點,缺失任何一個,便無法構成個人資料外洩。
要素一:資料未經同意公開
這是個人資料外洩的核心。資料是否公開,關鍵在於當事人是否知情並同意。未經當事人同意,或未依法取得當事人同意,即視為未經同意公開。常見的例子包括:
- 公司未經員工同意,將員工的個人資料提供給第三方。
- 網站未經使用者同意,將使用者瀏覽資料收集並出售給廣告公司。
- 政府機關未經公民同意,將公民的個人資料公開於網路上。
需要注意的是,當事人自行公開的資料,或已合法公開的資料,則不屬於個人資料外洩。例如,當事人主動在社交媒體上公開自己的個人資訊,或公司依法公開公司資訊,則不構成個人資料外洩。
要素二:未告知當事人或其法定代理人
當資料非由當事人自行公開,或非已合法公開之資料時,則必須告知當事人或其法定代理人。告知的內容應包含資料的種類、用途、接收者、保存期限等資訊,讓當事人瞭解資料的使用情況。未告知當事人或其法定代理人,即視為未經告知,也屬於個人資料外洩。
例如,公司將客戶資料提供給第三方公司進行分析,但未告知客戶,則可能構成個人資料外洩。又例如,公司將員工資料提供給政府機關進行調查,但未告知員工,則也可能構成個人資料外洩。
要素三:非基於公共利益為統計或學術研究之目的
個人資料的利用,必須符合合法、正當且必要原則。基於公共利益為統計或學術研究之目的,且資料經提供者處理後或蒐集者依其揭露方式,無法識別特定當事人,則不構成個人資料外洩。例如,政府機關為了統計社會人口狀況,進行人口普查,並將資料匿名化處理,則不構成個人資料外洩。
然而,若利用個人資料並非基於公共利益為統計或學術研究之目的,而是為了商業利益,或將資料用於其他目的,則可能構成個人資料外洩。例如,公司利用客戶資料進行商業推廣,或將客戶資料出售給第三方公司,則可能構成個人資料外洩。
個人資料外洩的判斷,需依據具體的個案進行分析,並綜合考量以上三要素。當事人如懷疑自身個人資料可能外洩,應積極收集證據,並尋求法律專業人士的協助,以維護自身權益。
怎樣算個資外洩?結論
在這個資訊爆炸的時代,個人資料的保護變得比以往更加重要。而「怎樣算個資外洩?」這問題,其實就是圍繞著「知情同意」的原則。簡單來說,當您的個人資料未經您同意,或未依法取得您的同意,就被洩露給第三方,就可能構成個資外洩。換句話說,只要您的資料是屬於未經您同意公開的,並且未告知您或您的法定代理人,並且不是為了公共利益進行統計或學術研究,那麼,即使資料本身未被公開,也可能構成違法。
因此,無論您是企業主管、資料管理人員、資訊安全人員,還是關心隱私的民眾,都應提高警覺,建立完善的個人資料保護機制,並定期進行安全檢查和漏洞掃描,以杜絕資料外洩事件的發生。只有這樣,才能在數位時代中,有效保障個人資料安全,並維護個人隱私權利。
怎樣算個資外洩? 常見問題快速FAQ
1. 公司將我的資料用於廣告推廣,但我沒有同意,算不算個資外洩?
是的,這很有可能構成個資外洩。根據個人資料保護法,企業在使用個人資料進行廣告推廣時,必須取得您的明確同意。如果公司未經您的同意就使用您的資料進行廣告推廣,便可能違反了相關法律規定。
2. 公司網站被駭客入侵,導致我的資料外洩,這算誰的責任?
這通常是公司的責任。企業有義務做好資訊安全防護措施,防止資料外洩。如果公司未做好安全防護工作,導致資料被駭客入侵而外洩,便可能需要承擔相關法律責任。當然,您也可以向公司提出損害賠償的請求。
3. 我不小心把客戶資料發錯信箱,這算不算個資外洩?
是的,這也可能構成個資外洩。即使是疏忽或意外行為,也可能導致個人資料外洩。您需要盡快通知公司並採取補救措施,例如通知相關客戶,並更改密碼等。此外,公司也應根據內部規定,對您進行相關處置。
