48 期學員法學研究報告

2291

公務機關對個人資料之利用與傳遞 -以電腦處理個人資料保護法為中心-

指導老師：李震山

撰寫學員：簡佩珺

要 目

壹、前言

貳、個人資料保護之憲法基礎-資訊隱私權

參、個人資料保護之原則

一、OECD 之個人資料保護指導方針

二、APEC 隱私權保護原則

肆、電腦處理個人資料保護法中關於公務機關之個人資料利用

三、公務機關之界定

四、個人資料之干涉措施-蒐集、處理及利用

(一) 蒐集、處理及利用之定義

(二) 蒐集、處理及利用之一般性限制

五、公務機關蒐集處理個人資料

(三) 特定目的原則

(四) 蒐集處理資料之許可條件

六、公務機關利用個人資料之原則與例外-特定目的外利用

(五) 個人資料之利用

(六) 特定目的外之利用

(七) 小結

七、個人資料之傳遞

伍、結論

公務機關對個人資料之利用與傳遞-以電腦處理個人資料保護法為中心 2292

壹、前言

在現今科技日新月異、網際網路無遠弗屆的資訊化時代裡，個人資料不僅在

公家機關被建立，於一般企業甚至影片出租店、洗衣店等都被廣泛地建檔，個人

之基本資料等只須透過滑鼠左鍵一按，即可無限制地流傳，嚴重影響人民的隱私

權，甚至可能成為犯罪集團或詐騙集團之有利手段，造成人民及社會的恐慌與不

安。有鑑於此，立法院於民國 84 年乃通過「電腦處理個人資料保護法」，揭示其

保護個人資料，避免人格權遭受侵害，並促進個人資料合理利用之立法目的1。

我國電腦處理個人資料保護法就個人資料處理與利用之規範，形式上採歐洲

之集中管理模式，對公、私資料處理綜合加以規範。本文主要僅針對公務機關對

個人資料之傳遞利用作探討，不涉及非公務機關之規範主體。在探討此一主題

前，不可避免地應先對個人資料保護之憲法基礎做一交代，其次個人資料保護之

原則，不管是國際組織或外國立法例皆有所揭示，本文僅列出最具代表性之

OECD 指導方針及最近之 APEC 隱私權保護原則。於前提問題均說明後，第肆部

分再針對我國個資法上之規範加以探討。

貳、個人資料保護之憲法基礎-資訊隱私權

由於資訊之快速發展，任何各種資料均有可能為公務機關或非公務機關以合

法手段或非法手段廣泛地蒐集處理並利用，致使人民權利可能因此而遭受侵害，

個人資料之保護乃成為不可或缺之必然趨勢。所謂「個人資料」，依我國電腦處

理個人資料保護法第 3 條第 1 款，係「指自然人之姓名、出生年月日、身分證統

一編號、特徵、指紋、婚姻、家庭、教育、職業、健康、病歷、財務情況、社會

活動及其他足資識別該個人之資料2」；德國聯邦個人資料保護法3第 3 條第 1 項 1 由於社會環境之急速變遷，電腦處理個人資料保護法自施行以來尚未做過任何修正，造成許多

不合時宜之規定，為確實發揮本法之功能，行政院已於 2008 年 2 月 13 日行政院會議通過「個人資料保護法」草案，並於同年月 15 日送請立法院審議。請參考：http://lis.ly.gov.tw/lgcgi/ttsalldb?@0^0^1^alldbout!(%B9q%B8%A3%B3B%B2z%AD%D3%A4H%B8%EA%AE%C6%ABO%C5%40%AAk)%40LW%2CWL%2CKW%2CTI%2CMC@@或http://www.moj.gov.tw/ct.asp?xItem=44600&ctNode=13710&mp=001。最近造訪日期：2008 年 7月 12 日。

2 個人資料保護法草案第 2 條第 1 款：「個人資料：指自然人之姓名、出生年月日、身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、健康、病歷、醫療、基因、性生活、

健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人

之資」 3 為保障個人權益不致因儲存、傳遞、更正及刪除等資料處理過程而受損，德國於 1977 年 1 月

27 日即制定「資料處理個人資料濫用防制法」（Gesetz zum Schutz vor Mißbrauch personenbezogener Daten bei der Datenverarbeitung ）， 簡 稱 「 聯 邦 資 料 保 護 法 」（Bundesdatenschutzgesetz），並行之有年。後因歐洲聯盟成立，為轉置歐盟指令、保障個人資

48 期學員法學研究報告 2293

則定義為「涉及特定或可得特定自然人之所有屬人或屬事之個別資料4」；美國

1974 年隱私權法a條第 4 款對「紀錄」（record）的定義為「有關一個人之任何單

項性、累積性或集合性之資料，包括但不限於其教育、財務處理、醫療過程，及

犯罪或職業經歷等，並包括其姓名或識別號碼、象徵或其他個人之特定表徵，諸

如手指指印、聲音音帶或照片等資料在內5」；日本平成 16 年 4 月 1 日施行之個

人資料保護法第 2 條第 1 項則定義「所謂個人資料，係關乎個人生存之資訊而言，

包含姓名、出生年月日及其他足以識別該特定個人之資訊者6」。

個人資料保護旨在維護個人隱私權中有關資料或資訊者，由於其具有私密

性，與隱私權之保障密不可分，美國法上乃將隱私權中有關個人資料部分，稱為

「資訊隱私權」。而德國聯邦憲法法院 1983 年於一「人口普查法」判決7中，則

發展出「資訊自決權」之概念，即每個人基本上有權自行決定是否將其個人資料

交付與使用。是以，個人資料保護所涉及之權利，美國法重點置於隱私權，德國

法則側重於自人性尊嚴與一般人格權所衍生出之資訊自決。資訊隱私權屬隱私權

之一部分，而資訊自決權則彰顯每個人對資訊隱私權的自治自決特性，涉及人性

尊嚴8。

我國憲法對所謂資訊權或其他類似概念並未列舉其權利，然在現今充滿資訊

之社會裡，個人資料之保護光靠法律之保障已嫌不足，另尋憲法上之基礎加以保

障乃有其必要。作為憲法守護者之司法院大法官，從早期釋字 293 號解釋中所揭

示之「隱私權」，至近來於釋字 569 號解釋林子儀大法官之協同意見書中提及「被

害人之『資訊權』」、釋字 585 號解釋理由書中揭示「其中隱私權雖非憲法明文列

舉之權利，惟基於人性尊嚴與個人主體性之維護及人格發展之完整，並為保障個

料及資訊自由流通，而於 2001 年 5 月 18 日修正其內容。最近一次修正日期為 2003 年 1 月 14日，修法目的旨在保障個人資料自主權，並落實歐盟有關建立共同資料保護標準之指令。參考：

立法院國會圖書館外國法案介紹，http://npl.ly.gov.tw/do/www/billIntroductionContent?id=19#德國。最近造訪日期：2008 年 7 月 6 日。

4 李震山，論個人資料之保護，收錄於行政法爭議問題研究(上)，台灣行政法學會主編，2000 年12 月，頁 654。

5 詹文凱，美國法上個人資訊隱私權的相關判決，律師雜誌，第 233 期，1999 年 2 月，頁 30-31。 6 日本個人資料保護法第 2 條第 1 項：「この法律において「個人情報」とは、生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人

を識別することができるもの（他の情報と容易に照合することができ、それにより特定の個

人 を 識 別 す る こ と が で き る こ と と な る も の を 含 む 。） を い う 」。 請 參 考 ：

http://www.ron.gr.jp/law/law/kojinjoh.htm。最近造訪日期：2008 年 7 月 6 日。 7 請參閱：蕭文生譯，關於「一九八三年人口普查法」之判決，收錄於西德聯邦憲法法院裁判選

輯(一)，司法週刊雜誌社印行，1990 年，頁 288 以下。 8 李震山，資訊權-兼論監視錄影器設置之法律問題，收錄於多元、寬容與人權保障-以憲法未列舉權之保障為中心，2005 年 10 月，頁 201。

公務機關對個人資料之利用與傳遞-以電腦處理個人資料保護法為中心 2294

人生活秘密空間免於他人侵擾及個人資料之自主控制，隱私權乃為不可或缺之基

本權利，而受憲法第二十二條所保障」、釋字 586 號解釋文中道出：「…，涉及憲

法所保障之資訊自主權與財產權之限制，違反憲法第 23 條之法律保留原則」，最

後終於在釋字第 603 號及第 631 號解釋中，明確地將個人資料之保護落實於憲法

之基礎上，謂：「其中就個人自主控制個人資料之資訊隱私權而言，乃保障人民

決定是否揭露其個人資料、及在何種範圍內、於何時、以何種方式、向何人揭露

之決定權，並保障人民對其個人資料之使用有知悉與控制權及資料記載錯誤之更

正權」。大法官於解釋中，捨棄「資訊自決權」或「資訊權」等概念，而採美國

法上「資訊隱私權」之概念，姑不論其原因為何，確實已為我國個人資料之保護

開啟另一新的紀元。

參、個人資料保護之原則

一、OECD 之個人資料保護指導方針

經濟合作暨發展組織（OECD）於 1980 年公布「保護個人資料隱私權及跨

國界流通之指導方針 9 」（OECD Guidelines on the Protection of Privacy and

Transborder Flows of Personal Data），首先對於個人資料之保護做一原則性之規

定。該指導方針共計 5 章 22 條，其中第二章即規定國內個人資料保護之八大原

則，其內容主要為：

1. 蒐集限制原則（Collection Limitation Principle）：個人資料之蒐集應受限制，

且應依法律或公正之手段取得。又在必要時，應通知當事人或得其同意。

2. 資料內容完整正確原則（Data Quality Principle）：個人資料應依其目的而使

用，於其利用目的之必要範圍內，並須正確、完整及最新。

3. 目的明確化原則（Purpose Specification Principle）：個人資料蒐集之目的至遲

於蒐集資料時必須明確，且其後資料之利用不得抵觸最初蒐集之目的；於目

的變更時亦應予以明確化。

4. 利用限制原則（Use Limitation Principle）：除當事人同意或法律另有規定外，

個人資料之利用不得為特定目的以外之利用。

5. 安全保護原則（Security Safeguards Principle）：為防止遺失、不法接觸、破壞、

利用、變更或開示之危險，個人資料應採取合理之安全保護措施。

6. 公開原則（Openness Principle）：對於個人資料之蒐集、處理及政策之制定， 9 詳細內容請參考：http://www.anu.edu.au/people/Roger.Clarke/DV/OECDPs.html。最近造訪日期：

2008 年 7 月 6 日。

48 期學員法學研究報告 2295

應以公開為原則。資料管理人姓名及聯絡處、資料之總類、特定目的等事項，

亦均需公開，使容易取得。

7. 個人參加原則（Individual Participation Principle）

個人關於自己之資料有以下之權利：

（1）得向資料管理人或其他人確認是否保有關於自己之資料

（2）本人於合理期間內，如有必要得以不過當之費用，依合理之方法，以

自己亦能瞭解之形式，知悉有關自己之資料。

（3）本人於提出有關答覆或閱覽卷宗之要求而遭拒絕時，得對之提出異議。

（4）於異議有理由成立時，得要求應將資料予以刪除、變更、完整化及補

正。

8. 責任原則（Accountability Principle）：資料管理人對前述之原則應負遵守之責

任。

二、APEC 之隱私權保原則護

有鑑於個人資訊隱私保護之日趨重要，亞太經濟合作組織（APEC）自 2003

年後，歷經數次會議之研商討論，終於在 2004 年 11 月通過「隱私權保護原則」

（APEC Privacy Principles），成為各會員國有關個人資料保護之最高指導綱領。

APEC隱私權保護原則共計九大原則，主要內容為10：

1. 避免損害原則（Preventing Harm）：有關個人資料之蒐集、處理與利用，不得

損害當事人之權益。

2. 告知原則（Notice）：資料蒐集者蒐集個人資料時，應告知當事人蒐集者名稱、

蒐集資料之目的、種類與用途等必要事項。

3. 限制蒐集原則（Collection Limitation）：蒐集個人資料應符合蒐集之目的，且

不得逾越必要之範圍，不得任意蒐集。

4. 利用個人資料原則（Use of Personal Information）：有關個人資料之利用，應

符合當初蒐集目的之必要範圍內，未經當事人同意或另有法律規定，該資料

不得做其他利用。

5. 當事人選擇原則（Choice）：有關個人資料之蒐集或利用，當事人有權得選擇

「進入」（OPT-IN）或「退出」（OPT-OUT）模式，資料蒐集者或保有者應尊

10 詳細內容請參考：

http://www.apec.org/apec/news___media/fact_sheets/apec_privacy_framework.html。最近造訪日期：2008 年 7 月 6 日；劉佐國，我國個人資料隱私權益之保護-論「電腦處理個人資料保護法」之立法與修法過程，律師雜誌，第 307 期，2005 年 4 月，頁 50-51。

公務機關對個人資料之利用與傳遞-以電腦處理個人資料保護法為中心 2296

重當事人之選擇。

6. 個人資料完整原則（Integrity of Personal Information）：保有個人資料檔案者，

有責任隨時更新或補充資料，力求該資料之完整正確，避免當事人因不正確

之資料，致其權益遭受損害。

7. 安全維護原則（Security Safeguards）：保有個人資料檔案者，應採取必要之安

全保護措施，避免個人資料被偷竊、遺失、毀損或外洩。

8. 當事人查詢及更正原則（Access and Correction）：當事人隨時有權查詢或閱覽

其個人資料，如發現有錯誤或欠缺者，得請求補正或更正。

9. 責任原則（Accountability）：對於違法蒐集或利用個人資料者，應課以法律責

任，以保護資料當事人之權益。

我國「電腦處理個人資料保護法」於 1995 年公布施行，在我國法制上對有

關個人資料隱私方面，建立一重要之里程碑，其主要既係參照 OECD 所揭示的

保護個人資料八大指導方針而制定。另外，我國既為 APEC 之會員國，其所公布

之隱私權保護原則亦為必須遵守之最高原則。姑不論我國現行法之諸多不合時宜

之規定及漏洞，在修正草案未經立法院通過前，凡涉及適用、解釋上之困難或歧

異時，均宜朝向該些指導原則解釋適用之。

肆、電腦處理個人資料保護法中關於公務機關之個人資料利

用

國家機關擁有廣泛蒐集資訊之能力，並藉所蒐得之資訊作為施政正當性之基

礎，進而維繫國家存立之安全與福祉之目的。有鑑於蒐集利用資料所採取之措施

具干涉性質，觸及人民之資訊隱私權，其權力之發動與運作應有其合法性與正當

性，不得任意蒐集、儲存、利用、傳遞，電腦處理個人資料保護法第 7 條以下乃

設有相關規定，茲說明如下。

一、公務機關之界定

關於個人資料之處理與利用，電腦處理個人資料保護法（下稱「個資法」）

於第 2 章及第 3 章分別公務機關及非公務機關11而做不同之規範，使其對資料利 11 非公務機關，依電腦處理個人資料保護法第 3 條第 7 款： 「指前款以外之左列事業、團體或個人： (一) 徵信業及以蒐集或電腦處理個人資料為主要業務之團體或個人。

(二) 醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業。 (三) 其他經法務部會同中央目的事業主管機關指定之事業、團體或個人」。

其中第三目所指之非公務機關，請參考：

http://www.moj.gov.tw/ct.asp?xItem=108068&ctNode=13710&mp=001。最近造訪日期：2008 年 7

48 期學員法學研究報告 2297

用之許可要件不同，且非公務機關尚須依本法登記並發給執照，始得為資料之利

用（個資法第 19 條），公務機關則無須如此，是以，界定公務機關之範圍乃屬必

要。所謂「公務機關」，依該法第 3 條第 6 款，係指依法行使公權力之中央或地

方機關。按「機關」者，乃得以自己之名義單獨對外為意思表示，並發生一定之

法律效果，通說認為與「單位」之不同主要有三，即有無單獨之組織法規、有無

獨立之編制與預算及有無印信。

不過，一機關內部可能同時存在許多執行不同公權力行為之「單位」，因其

隸屬於同一機關，其相互間之資料處理與利用，依現行電腦處理個人資料保護法

似乎排除適用之餘地，如此一來，將造成機關內部不同專業部門之資料處理無法

受到規制，形成保護之漏洞。是以，基於保護個人資料之意旨，並確保其目的得

以落實，宜將此種「單位」解為「其他的公務單位」，或將「功能性」之機關概

念，擴及於「獨立之單位」間之功能區分，亦即即使在同一機關內部，行使不同

職務之單位彼此間，仍應視為不同之機關12。如此方能避免機關內部不同職務單

位間資料之任意傳遞，造成人民權益之侵害。針對此部分，德國聯邦個人資料保

護法則以「準用」之方式規定13，於公務機關內轉送個人資料者，準用得傳遞資

料但不得利用資料之規定。蓋官署內部之資料轉送既非傳遞行為，一方面為個人

資料之保護，他方面考量其危害個人資料之程度不若傳遞行為嚴重，是以乃採較

折衷之立法，而無須受到如同傳遞給其他公務機關般嚴格之規定14。

公務機關與非公務機關之判斷看似容易，然實務上於具體個案時，仍可能發

生認定上之困難。舉例來說，個資法第 3 條第 7 款將「學校」列為非公務機關，

然各級公立學校是否應歸類為公務機關，而無須向教育部申請登記？執行電腦處

理個人資料保護事項協調連繫會議第一次會議15於 1996 年 8 月曾經作出討論，

同意教育部之意見，將公立學校歸類為公務機關，蓋公立學校教學行為係屬國賠

法第 2 條第 2 項所謂「行使公權力」之行為，故就本法適用而言，似應為相同之

月 12 日。

12 許文義，個人資料保護法論，2001 年 1 月，頁 29。 13 德國聯邦個人資料保護法第 16 條：「(5) Where personal data that may be communicated under

paragraph 1 above are linked to other personal data of the data subject or a third party in such a way that separation is not possible or is possible only with unreasonable effort, communication of the latter data shall also be admissible, unless the data subject or a third party clearly has an overriding justified interest in keeping them secret; use of these data shall be inadmissible. (6) Paragraph 5 above shall apply mutatis mutandis if personal data are transmitted within a public body」。

14 洪榮彬，資訊時代之資料處理與資料保護-以德國聯邦個人資料保護法為中心，輔仁大學法律學研究所碩士論文，1993 年 6 月，頁 173-174。

15 法務部印，電腦處理個人資料保護法令解釋彙編，2000 年 12 月，頁 32-33。

公務機關對個人資料之利用與傳遞-以電腦處理個人資料保護法為中心 2298

解釋。至於就私立學校而言，其是否屬公務機關？有認為16私立學校依釋字第 382

號解釋理由書，於處理該些事項時，乃行政法上受託行使公權力，同等於行政機

關，故不論公立或私立學校均應適用個資法公務機關之規定。不過，實務上依教

育部頒訂之「私立學校及學術研究機構電腦處理個人資料管理辦法」，係將私立

學校視為非公務機關加以規範，且須辦理登記。

另外就公營事業民營化者，如中油公司、中華郵政股份有限公司17，其因具

營利性質，非行使公權力，自非本法所稱「公務機關」。

二、個人資料之干涉措施-蒐集、處理及利用

（一）蒐集、處理及利用之定義

所謂「蒐集」，依個資法第 3 條第 4 款，係指為建立個人資料檔

案而取得個人資料。「處理」，指使用電腦或自動化機器為資料之輸

入、儲存、編輯、更正、檢索、刪除、輸出、傳遞或其他處理（個資

法第 3 條第 3 款）；至於「利用」，則指公務機關或非公務機關將其保

有之個人資料檔案為內部使用或提供當事人以外之第三人（個資法第

3 條第 5 款）。

有鑑於影響個人資料之手段態樣眾多，是否屬個資法保護規範之

範圍易滋生疑議，且為落實保護個人資料隱私權益，個人資料保護法

草案於第2條第3款、第4款、第5款中，將「蒐集」定義為，指以任何

方式取得個人資料。「處理」，指為建立或利用個人資料檔案所為資

料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連

結或內部傳送。「利用」則指將蒐集之個人資料為處理以外之使用。

（二）蒐集、處理及利用之一般性限制

個人資料之蒐集、處理及利用係干涉行政之一種，對於其行使方

式，自有限制之必要，個資法第6條特別規定：「個人資料之蒐集或利

用，應尊重當事人之權益，依誠實及信用方法為之，不得逾越特定目

的之必要範圍」，為避免資料蒐集者巧立名目或理由，任意的蒐集、

處理或利用個人資料，並使限制的範圍及於利用與處理，草案第5條

16 陳仲嶙，電腦處理個人資料保護法掃瞄，2002 年 11 月 11 日，頁 7-8。參照：

www.is-law.com/OurDocuments/PR0010CL.pdf。最近造訪日期：2008 年 7 月 6 日。 17 法務部(92)法律字第 0920040079 號函：「貴公司自 92 年 1 月 1 日由交通部郵政總局改制為營

利性之公司組織，非屬上開所稱公務機關，自無疑義。惟貴公司依法經營儲金、匯兌、簡易人

壽保險等相關業務，且利用電腦處理、蒐集、利用金融及保險業務之個人資料，自屬本法第 3條第 7 款第 2 目所規範之金融業、保險業」。

48 期學員法學研究報告 2299

修正為：「個人資料之蒐集、處理或利用，應尊重當事人之權益，依

誠實及信用方法為之，不得逾越特定目的之必要範圍，並應與蒐集之

目的具有正當合理之關聯」，增定正當合理關連之限制。除此之外，

由於草案之個人資料範圍有所擴張，對於其中較具特殊或敏感性之個

人資料，如有關醫療、基因、性生活、健康檢查及犯罪前科之個人資

料，為恐會造成社會不安或對當事人造成難以彌補之傷害，原則上此

種個人資料不得任意蒐集、處理或利用，但如符合例外規定者，不在

此限18，以加強保護個人之隱私權益，此為個人資料蒐集、處理及利

用之一般性限制，但非謂一符合一般性限制後，公務機關即得對個人

之資料為利用，尚須符合個資法上其他規定後始得為之。

三、公務機關蒐集處理個人資料

（一）特定目的原則

特定目的原則於個人資料保護上站居重要之地位，特別是資料蒐

集後，對於處理與利用之階段，更具決定性之拘束功能。OECD 指導

方針所揭示之「目的明確化原則」及「利用限制原則」即係要求蒐集

資料之目的必須明確化，且不得為特定目的外之利用。因應歐盟 1995

年訂頒之「個人資料保護指令」而於 2003 年修正施行之英國「個人

資料保護法」，亦宣誓了八大保護原則，其中包括個人資訊只能以一

個或多個特定合法之目的而蒐集，並不得以與該等目的不相容之方式

處理、個人資訊應與其處理之目的足夠，相關而不過份、個人資訊為

任何目的之處理，應不得超過其目的所必要之期間，共計有三大原則

與特定目的關涉。

我國電腦處理個人資料保護法第 7 條針對公務機關、第 18 條針

對非公務機關亦規定：「對個人資料之蒐集或電腦處理，非有特定目

的，並符合左列情形之一者，不得為之」。換言之，不論公務機關或

非適用本法之公務機關，須有特定目的並符合本法規定之要件，始得

18 草案第6條：「有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得蒐集、處理或利用。但有下列情形之一者，不在此限： 一、法律明文規定。 二、法律未明文禁止蒐集、處理或利用，且經當事人書面同意。 三、公務機關執行法定職務或非公務機關履行法定義務所必要。 四、當事人自行公開或其他已合法公開之個人資料。 五、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，

且資料經過處理後或依其揭露方式無從識別特定當事人。」

公務機關對個人資料之利用與傳遞-以電腦處理個人資料保護法為中心 2300

蒐集、處理或利用個人資料。為使特定目的得以明確化，法務部乃於

1996 年發布「電腦處理個人資料保護法之特定目的」，共計 101 項，

以作為其他相關作業之依據。

附帶一提的是，釋字第 603 號解釋亦曾提及：「國家基於特定重

大公益之目的而有大規模蒐集、錄存人民指紋、並有建立資料庫儲存

之必要者，則應以法律明定其蒐集之目的，其蒐集應與重大公益目的

之達成，具有密切之必要性與關聯性，並應明文禁止法定目的外之使

用」，特別指出蒐集之目的應以法律明定之，並應明文禁止目的外使

用，由此可見，特定目的原則不僅於資料蒐集階段，於處理、利用等

各階段均應受拘束，其重要性不可言喻。

（二）蒐集處理資料之許可條件

公務機關對於個人資料之蒐集或處理，除須符合特定目的外，尚

須符合以下情形，始得為之：一、於法令規定職掌必要範圍內者；二、

經當事人同意者；三對當事人權益無侵害之虞者（個資法第 7 條）。

就第 1 款而言，公務機關不得在法無明文或授權，或未依法委

託、委任下，逾越權限或侵害其他公務機關之職掌，乃屬當然19。又

即便為該公務機關之職掌，資料蒐集亦有其界限，於必要範圍內始可

為之20。

就第 2 款而言，所謂「當事人書面同意」須具備以下要件：1. 當

事人捨棄之法益必須是法律所允許的；2. 當事人對於法所保護之法

益必須具有處分權；3. 當事人必須具有承諾能力；4. 同意必須出於

當事人本人之自由意思；5. 同意必須於行為前明示或從具體行為可

得知；6. 公務機關或非公務機關對於當事人之同意必須有所認識；

7. 同意應以書面方式為之21。

就第 3 款而言，所謂「無侵害之虞」係一不確定之概念，究應由

何人認定？認定標準為何？均無一定客觀之標準，容易流於公務機關

19 法務部(86)法律字第 04778 號函：「查各警察機關依刑事訴訟法規定偵查犯罪，或基於維護社

會治安需要而蒐集有關之個人資料，應屬前揭之「法令規定職掌之必要範圍內」，並符合「刑

事偵查」之特定目的」。 20 例如，集會遊行現場活動之資料蒐集，其蒐集界限之判斷標準，可參考：李錫棟，警察資料

蒐集權之界限-以集會遊行現場活動之資料蒐集為例，中央警察大學警學叢刊，第 38 卷第 3期，2007 年 11 月，頁 111 以下。

21 李震山，「電腦處理個人資料保護法」之回顧與前瞻，中正法學集刊，第 14 期，2004 年 1 月，頁 51。

48 期學員法學研究報告 2301

之主觀恣意，無法落實保護個人資料之目的。況基於「沒有無利益之

資料」、「舉凡資料蒐集、處理或利用等行為均具干涉性質」與「有干

預即有侵害」之觀點，是以，本款似已無適用之虞地22，其存在頗值

得商榷，且本款將造成公務機關對於個人資料之蒐集、處理及利用之

要件相當寬鬆23。故公務機關於不符合前二款之下，不宜僅援用第 3

款作為理由而蒐集處理個人資料，以免侵害當事人之資訊隱私權。此

外，個資法亦未設有依特定目的蒐集處理個人資料之「最低度需求24」

的要求，換言之，並未要求公務機關非蒐集處理個人資料，無法進行

其法定職務之要件。如此一來，個人資料之保護將與社會之期待有所

落差。

四、公務機關利用個人資料之原則與例外-特定目的外利用

（一）個人資料之利用

「利用」主要可分為二種：一為蒐集或保有個人資料之公務機關

自行利用該資料；其二則為公務機關自他公務機關接受資料而使用該

資料。如前所述，特定目的原則（目的拘束原則）於個人資料保護上

站居重要之地位，於資料之利用階段更然。資料之利用與蒐集、處理

甚至傳遞密不可分，蓋蒐集處理資料，或接收機關收受傳遞機關之資

料，其主要目的不外乎為了現在或將來使用該資料。是以，原則上，

公務機關利用個人資料應與蒐集之特定目的相符，然嚴格遵守並執行

目的拘束原則幾乎是不可能的，同時亦須允許例外情形（即目的變更）

存在，蓋目的變更原則得為節省機關不必要之蒐集費用，減少不必要

之雙重蒐集25。因此，於法律規定之範圍內，特定目的外之利用是不

可避免的。

（二）特定目的外之利用

我國電腦處理個人資料保護法第 8 條規定：「公務機關對個人資

料之利用，應於法令職掌必要範圍內為之，並與蒐集之特定目的相

符。但有左列情形之一者，得為特定目的外之利用：一、法令明文規

22 許文義，個人資料保護法論，2001 年 1 月，頁 242-243。 23 周慧蓮，英國個人資料保護最新案例發展及其對我國法制之啟示，科技法律透析，2005 年 1

月，頁 60。 24 莊庭瑞，個人資料保護在台灣：誰的事務？，國家政策季刊，第 2 卷第 1 期，2003 年 3 月，

頁 57-58。參照：http://www.rdec.gov.tw/public/Attachment/532313211871.pdf。 25 許文義，個人資料保護法論，2001 年 1 月，頁 183。

公務機關對個人資料之利用與傳遞-以電腦處理個人資料保護法為中心 2302

定者。二、有正當理由而僅供內部使用者。三、為維護國家安全者。

四、為增進公共利益者。五、為免除當事人之生命、身體、自由或財

產上之急迫危險者。六、為防止他人權益之重大危害而有必要者。七、

為學術研究而有必要且無害於當事人之重大利益者。八、有利於當事

人權益者。九、當事人書面同意者」26。以下將分述說明之：

1. 法令明文規定者。如檢察官及司法警察依刑事訴訟法規定，有偵查

犯罪之職權，故如為偵查犯罪所需而向某公務機關請求提供某特定

人之個人資料時，該受請求提供之公務機關，即得依本款之規定，

提供其所需之個人資料27。又如為發給高山嚮導員證而向警察局查

核申請人之素行等28。此外如監察法第 26 條：「監察院為行使監察

職權，得由監察委員持監察證或派員持調查證，赴各機關部隊公私

團體調查檔案冊籍及其他有關文件，各該機關部隊或團體主管人員

及其他關係人員不得拒絕…」等均屬之。

2. 有正當理由而僅供內部使用者29。

3. 為維護國家安全者。如徵兵規則第 13 條第 3 項規定：「徵兵檢查委

員會應依體檢結果及體檢狀況，分別製成役男身高、體重、疾病及

徵兵檢查人數統計表，送直轄市、縣（市） 政府彙報內政部、國

防部」，該體檢狀況（含指紋），直轄市、縣（市） 政府應妥為保

存，除彙報內政部、國防部外，不得隨意提供他人或作為其他目的

使用。惟若敵對國派遣之間諜對本國實施顛覆活動，以爆裂物進行

26 個人資料保護法草案第 16 條：「公務機關對個人資料之利用，應於執行法定職務必要範圍內

為之，並與蒐集之特定目的相符。但有下列情形之一者，得為特定目的外之利用：一、法律明文規定者。二、為維護國家安全或增進公共利益。三、為免除當事人之生命、身體、自由或財產上之急迫危險。四、為防止他人權益之重大危害。五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過處理後或依其揭露方式無從識別特定當事人。六、有利於當事人權益。七、經當事人書面同意」。

27 法務部(86)法律字第 12894 號函：「查檢察或司法警察機關依刑事訴訟法規定偵查犯罪，符合電腦處理個人資料保護法第八條但書第一款之「法令明文規定者」、第四款「為增進公共利益

者」及同法第二十三條但書第一款「為增進公共利益者」及第三款「為防止他人權益之重大危

害而有必要者」之情形，各醫療院所應可援引上揭規定提供個人資料，不得藉詞拒絕」。 28法務部(87)法律字第 039342 號函：「按行政院體育委員會訂頒之「高山嚮導員授證辦法」，係依國民體育法第十條規定訂定，應屬現行有效之行政命令，依該辦法第六條規定：「中華體總

接獲申請後，應函請申請人所屬直轄市或縣 (市) 警察局查核申請人素行，符合第三條至第五條規定者，發給高山嚮導員證。」 貴署依前揭規定提供高山嚮導員證申請人之素行 (刑案) 資料，如與其他法令無違者，似與電腦處理個人資料保護法第八條但書第一款「法令明文規定者」

規定相符」。 29 此款規定於草案中已刪除，參諸立法理由，謂此可涵蓋於「執行法定職務內，且符合蒐集之特定目的」中，無贅引之必要。

48 期學員法學研究報告 2303

攻擊，司法調查或警察機關依爆炸現場採得之證據或指紋，向兵役

單位借調歷年徵兵及齡男子的體格檢查及指紋資料，以供比對，則

兵役單位為維護國家安全予以提供，當為法所准許30。又若僅為對

大陸新娘（郎）能做進一步之訪談，而要求提供雙方之資料，則非

本款所欲規範者31。

4. 為增進公共利益者。此亦係一不確定法律概念，實務上如勞委會為

查察危險性機械設備之使用情形，而請求提供積載型起重機車輛之

車主姓名等資料32。行政執行處依法律辦理公法上金錢給付義務之

強制執行，請求各警察局提供義務人口卡片上之個人資料33。又教

育部要求提供違反「毒品危害防制條例」18 歲以上學生之移送個

案資料亦屬之34。

5. 為免除當事人的生命、身體、自由或財產上的急迫危險者。

6. 為防止他人權益的重大危害而有必要者。本款之立法意旨係為課與

公務機關有保護私人權利之義務，避免他人權利遭受重大危害時，

公務機關以保護個人資料為由而不聞不問。如直轄市或縣市政府請

求警政機關提供有關當事人危害兒童及少年人身安全的前科資

料，法務部（93）法律決字第 0930030855 號函謂：「…。依兒童

及少年福利法第 47 條規定：『直轄市、縣（市） 主管機關就本法

規定事項，必要時，得自行或委託兒童及少年福利機構、團體進行

30 請參照：法務部，http://www.moj.gov.tw/ct.asp?xItem=44602&ctNode=13710&mp=001，最近造訪日期：2008 年 7 月 12 日。

31 法務部(89)法律決字第 027625 號函：「查上開第八條第三款「為維護國家安全者」或第四款「為增進公共利益者」等規定，解釋上應係指公務機關基於維護國家安全或增進公共利益之需

要，必須對個人資料為蒐集目的外之利用之情形而言。本件依來函資料所述，提供大陸因婚申

請來台人士之雙方個別基本資料，係為了對該等人士做進一步之訪談與研究，顯與前揭條文規

定意旨未盡相符，似不得援引該條款之規定予以提供」。 32 法務部(92)法律決字第 0920054625 號函：「本件行政院勞工委員會為勞動檢查機構查察危險性機械設備使用情形，俾輔以相關勞工安全衛生防災措施，以降低災害事故之目的，擬依勞動

檢查法第七條第一項規定，函請 貴部提供旨揭車輛之車主姓名等五項車籍資料乙節，該車主如屬自然人，且經貴部認定符合首揭條文但書第一款「法令明文規定者」及第四款「為增進公

共利益者」之情形，自得援引該二款規定逕予提供」。 33 法務部(92)法律字第 0920032559 號函：「本部行政執行處請求各市、縣 (市) 警察局提供義務人口卡片上之個人資料，就各市、縣 (市) 警察局而言，應屬特定目的外之利用。惟行政執行處係依法律辦理公法上金錢給付義務之強制執行，應符合「增進公共利益」之規定，各市、縣 (市) 警察局自得依上開規定提供之」。

34 法務部(92)法律字第 0920030125 號函：「本件教育部依行政院強化社會治安專案會議院長之裁示，要求貴署提供違反「毒品危害防制條例」十八歲以上學生之移送個案資料予該部，係本

於防制毒品危害及保護青年學生之必要，該等資料如屬電腦處理之個人資料，則其提供應符合

前揭條文但書第四款「為增進公共利益者」之情形，貴署應可援引該款規定逕予提供」。

公務機關對個人資料之利用與傳遞-以電腦處理個人資料保護法為中心 2304

訪視、調查及處遇。…必要時，該主管機關並得請求警政、戶政、

財政、教育或其他相關機關或機構協助，被請求之機關或機構應予

配合。』…，直轄市、縣（市） 主管機關請求警政機關協助提供

收養案件、監護案件當事人及保護案件兒童及少年父母或監護人之

素行（危害兒童及少年人身安全的前科） 等資料，如屬電腦處理

之個人資料，就警政機關言，提供上開前科資料係依兒童及少年福

利法第 47 條規定之協助配合義務，似符合本法第 8 條但書第一款

所稱『法令明文規定者』。另社會福利主管機關依法為保障兒童及

少年權益及增進其福利，所為收養、監護及保護案件當事人、父母

或監護人等危害兒童及少年人身安全之前科資料之蒐集，似亦符合

本法第 6 款所稱『為防止他人權益之重大危害而有必要者』之情

形，準此，警政機關將蒐集之上開前科資料提供給社會福利主管機

關，於法自無不合」，即屬之。

7. 為學術研究而有必要且無害於當事人的重大利益者。如稅捐稽徵人

員對於納稅義務人之相關稅務資料，應絕對保守秘密，所得稅法第

119 條第 1 項定有明文。另同法條第 3 項則規定：「稽徵機關對其

他政府機關為統計目的而供應之資料，並不洩漏納稅義務人之姓名

者，不受保密之限制」，是以，如有學術單位或研究機構為進行「賦

稅之公平與改革」研究，需大量納稅義務人的所得額、納稅額及其

他有關資料，俾予以統計、分析與運用，而請求稅捐機關提供以上

資料時，稅捐機關於不洩漏納稅義務的姓名的情況下，提供該學術

單位或研究機構參考，依本款規定的精神在准許之列35。本款主要

精神在於便利學術之研究，惟其二要件「有必要」及「無害於當事

人之『重大』利益」，相對於德國聯邦個人資料保護法限於「依其

他方法不能達到研究目的或需不當耗費始能達成者36」，我國之規

定顯然極為寬鬆37 38。

35 請參照：法務部，http://www.moj.gov.tw/ct.asp?xItem=44602&ctNode=13710&mp=001，最近造

訪日期：2008 年 7 月 12 日。 36 德國聯邦個人資料保護法第 14 條第 2 項：「this is necessary for the conduct of scientific research,

scientific interest in conduct of the research project substantially outweighs the interest of the data subject in excluding the change of purpose, and the research purpose cannot be attained by other means or can be attained thus only with disproportionate effort.」。

37 以人體基因之研究為例，參照歐洲人權暨生物公約第 17 條之精神，縱經告知後同意，以研究自由作為蒐集或利用基因資訊，尚須遵守下列二原則：A. 所期待的研究成果對於被研究人之

48 期學員法學研究報告 2305

8. 有利於當事人權益者。如甲縣市政府社會局欲提供住居所於某地的

居民得享有補助或其他利益，戶政機關即得依本款規定，提供相關

戶籍資料予有關機關參考39。又如為通知路邊停車未繳費之車主，

使其有補繳之機會，而請求提供車籍資料40。

9. 當事人書面同意者41。

（三）小結

由個資法第 8 條但書所列各款來看，其中第 3、4、5、6 等款充

滿許多不確定法律概念，再比較上述實務上之函釋，公務機關特定目

的外之利用，通常都能輕易找出其中一款予以適用，草案對此亦多僅

作文字之修正，未有更嚴格之限制，如此恐有稀釋特定目的原則之

虞。再者，如因人權是可以因多數人之利益或因多數人之贊同，而予

以限制或剝奪，人權就失去所謂「基本保障不可讓渡」之本質。是以，

得否僅因「維護國家安全」、「增進公共利益」，即賦予公務機關將個

人資料為蒐集目的外之利用或提供，有待斟酌42。所幸，法務部草擬

之個人資料保護法草案中增定有 5 種特種資料，其蒐集、處理及利用

之要件較一般個人資料更為嚴格，已如上所述，如此似可對當事人之

保障更為周全。

此外，就國際規範的趨勢而言，歐盟於 1995 年 10 月 24 日通過

健康，有事實與直接之助益。若對其健康無事實與直接之助益時，僅於最後研究成果有助於獲

取人類疾病或障礙之資訊，而該資訊可能對當事人或其他同年齡層罹患相同疾病或障礙者，以

及處於同類狀況之人有益時，方例外准許之。B. 該研究對於當事人所造成之風險與負擔甚小。李震山，論個人資料保護-以人體基因資訊為例，月旦法學雜誌，第 75 期，2001 年 8 月，頁 19。

38 個人資料保護法草案第 16 條第 5 款修正為：「公務機關或學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過處理後或依其揭露方式無從識別特定當事人」。

39 請參照：法務部，http://www.moj.gov.tw/ct.asp?xItem=44602&ctNode=13710&mp=001，最近造訪日期：2008 年 7 月 12 日。

40 交通部(91)交路字第 0910018438 號函：「有關本案是否符合「電腦處理個人資料保護法」之相關規定乙節，查貴府請本部提供車籍資料之目的與用途與嘉義市政府相同，均係為使路邊停

車因故未依規定期限繳費之車主，透過車籍資料查詢，掛號通知補繳，使免予舉發，以維車主

權益，故經本部前以嘉義市政府案例洽會法務部前開號函說明，原則認為應符合「電腦處理個

人資料保護法」第八條第八款有利於當事人權益之情形」。 41 法務部(87)法律字第 042963 號函：「今查財政部為期提昇行政效率及確保資料之正確，擬於該投保通知單增列請機車車主同意由公路監理資料庫代為提供投保資料予保險人供印製保險

證等用途使用之同意聲明書乙節，為兼顧當事人的權益及促進資料流通之立法本意，如當事人

充分明瞭該書面同意之真義，且未違反其他相關法令之規定者，當符合本法第八條第九款所規

定之「當事人書面同意者」。惟有關個人資料之蒐集或利用，仍請 貴部注意本法第六條規定，應尊重當事人之權益，依誠實及信用方法為之」。

42 黃三榮，個人資料之保護-兼論我國電腦處理個人資料保護法，資訊法務透析，1998 年 1 月，頁 49-50。

公務機關對個人資料之利用與傳遞-以電腦處理個人資料保護法為中心 2306

之「歐盟個人資料處理及流動保護指令 95/46/EC」 （European Union’s

Directive 95/46/EC on the protection of individuals with regard to the

processing of personal data and on the free movement of such data）中43，要求歐盟各會員國必須設置獨立且公開的「資料保護委員會」

（Data Protection Commission）44，以管理蒐集及使用個人資料，並

保護被蒐集資料者之個人隱私權。該專責機構負責調查團體或組織蒐

集個人資料的方式是否符合指令的規範，必要時並可介入資料蒐集之

過程，於發現資料有被凍結、刪除或損壞時，並得禁止該資料蒐集程

序之繼續進行。然依現行法公務機關有關個人資料之保護，並未設有

專責主管機關負責，法務部僅為該法之協調連繫機關（第 42 條），以

致我國雖有個資法，但執行上並無法顯著地達到保護之目的。實務上

常發生公務機關在個人資料蒐集利用上，逾越目的甚至洩漏45個人資

料之情形，此時，多由該機關之政風單位查處。不過因欠缺專責機關

統籌負責監督，各機關執行本法之態度各異，事權無法統一，致滋生

諸多問題。有鑑於此，多數46乃紛紛主張成立獨立委員會，以專責處

43 參照：http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:EN:HTML，

最近造訪日期：2008 年 9 月 21 日。 44 其中第 31 條規定：「 1. The Commission shall be assisted by a committee composed of the representatives of the Member States and chaired by the representative of the Commission. 2. The representative of the Commission shall submit to the committee a draft of the measures to be taken. The committee shall deliver its opinion on the draft within a time limit which the chairman may lay down according to the urgency of the matter. The opinion shall be delivered by the majority laid down in Article 148 (2) of the Treaty. The votes of the representatives of the Member States within the committee shall be weighted in the manner set out in that Article. The chairman shall not vote. The Commission shall adopt measures which shall apply immediately. However, if these measures are not in accordance with the opinion of the committee, they shall be communicated by the Commission to the Council forthwith. It that event: - the Commission shall defer application of the measures which it has decided for a period of three months from the date of communication, - the Council, acting by a qualified majority, may take a different decision within the time limit referred to in the first indent.」 45 例如：健保局辦事員王意文涉嫌外洩被保險人資料，交天道盟鷹中會副會長吳榮男據以討債，王意文抽一成。參照：http://intermargins.net/Forum/2001%20July-Dec/privacy/news/news15.htm。聯合報，2008 年 7 月 12 日。又如北市勞工局職業訓練中心把過去三年報名全國技術士技能檢定考試的七萬名考生個人資料全都公開在網站上，只要鍵入姓名即可看到身分證字號、考試成

績等個人資料，該中心前夜趕忙修改網站，並加裝登錄密碼。參照：蘋果日報，2004 年 3 月 4日。

46 黃三榮，個人資料之保護-兼論我國電腦處理個人資料保護法，資訊法務透析，1998 年 1 月，頁 51；劉佐國，我國個人資料隱私權益之保護-論「電腦處理個人資料保護法」之立法與修法過程，律師雜誌，第 307 期，2005 年 4 月，頁 46； 莊庭瑞，個人資料保護在台灣：誰的事務？，國家政策季刊，第 2 卷第 1 期，2003 年 3 月，頁 66。參照：

48 期學員法學研究報告 2307

理個人資料之監督，期望發揮保護個人資料之效果。

五、個人資料之傳遞

資料之蒐集，指為建立個人資料檔案而取得個人資料（個資法第 3 條第 4

款）；而資料之利用，則為公務機關或非公務機關將其保有之個人資料檔案為內

部使用或提供當事人以外之第三人（第 4 款）。介於二者之間有一「傳遞」之概

念，資料傳遞為資料處理之一環，本法僅於第 9 條設有國際傳遞及利用應依相關

法令為之的規定，並未對「傳遞」作出任何定義47。另外，對接收機關而言，接

收自傳遞機關之個人資料，其最主要之目的即為了利用該資料，故本文於此部分

僅單純討論傳遞之概念，至於接收機關利用資料之問題已於第四部分做探討，於

此不再贅述。

個人資料之傳遞可分為「國際傳遞」與「國內傳遞」二種。關於國際傳遞，

個資法第 9 條規定：「公務機關對個人資料之國際傳遞及利用，應依相關法令為

之」，旨在防護因電腦資料的快速流通，而造成對個人資料當事人權益的侵害。

其中所稱之相關法令48，如我國與其他國家簽定之相關條約（如國際電信公約第

26 條）、協定（如北美事務協調委員會與美國在台協會間保護資訊協定第 1 條、

第 2 條）以及法律（如電信法第 22 條、第 54 條；廣播電視法第 29 條）、命令（如

衛星通信業務管理規則；外交部暨所屬各駐外機構檔案資訊管理注意事項）等49。

至於「國內傳遞」，我國電腦處理個人資料保護法並未設有完整之規定，一

般而言，其類型主要可分為公務機關間之傳遞與公務機關傳遞給非公務機關兩

種。

1. 公務機關傳遞給公務機關

德國聯邦個人資料保護法第 15 條第 1 項規定：「具備下列要件者，得將個

人資料傳遞於他公務機關：1. 傳遞機關或接收機關履行其任務所必要者；2.

具備第 14 條得利用之要件者」。公務機關間資訊之互相取得，本於行政一體

及職務協助原則，行政機關為執行職務，得向他機關請求必要之文書及相關

http://www.rdec.gov.tw/public/Attachment/532313211871.pdf，最近造訪日期：2008 年 7 月 12 日。

47 個人資料保護法草案對此則做出區別，將「傳遞」修正為「內部傳送」及「國際傳輸」二種。其中「內部傳送」係「處理」行為之一環；至「國際傳輸」，依草案第2條第6款，指將個人資料作跨國（境）之處理或利用。凡該資料作跨國（境）之傳輸，不論是屬處理或利用行為，皆

屬草案所稱之「國際傳輸」。此外，草案中亦已刪除第9條之規定。 48 法務部，電腦處理個人資料保護法問答手冊，參照：

http://www.moj.gov.tw/ct.asp?xItem=44602&ctNode=13710&mp=001，頁 16-17，最近造訪日期：2008 年 7 月 12 日。

49 惟公務機關對於個人資料之國際傳遞及利用若未依相關之法令，於個資法上並無任何處罰之明文，實屬缺漏。

公務機關對個人資料之利用與傳遞-以電腦處理個人資料保護法為中心 2308

資料，然因電腦之快速發展，資訊傳遞之規範乃有必要，以避免個人資料之

不當傳遞或提供其他機關不合目的之使用。我國電腦處理個人資料保護法與

傳遞有關者，主要僅為第 7 條及第 8 條，與德國之立法相較，顯有不足。不

過基於個人資料之保護，資料之傳遞仍須恪守特定目的或目的限制原則，即

若接收機關與傳遞機關之利用資料目的相同，則接收機關僅得於原資料利用

目的內使用之；反之，若二機關之利用目的不同，則僅於接收機關符合個資

法第八條但書時，接收機關始得基於其他目的而為利用，傳遞機關亦始得為

傳遞資料之行為。

2. 公務機關傳遞給非公務機關

德國聯邦個人資料保護法第 16 條第 1 項規定：「具備下列要件之一者，

得將個人資料傳遞於非公務機關：1. 傳遞單位執行其主管職務所必要，且具

備第 14 條得利用之要件者；2. 接收者已確實闡明有認識被傳遞資料之正當

利益，而當事人無值得保護之利益足以禁止傳遞者」。由於將資料傳遞於非公

務機關，使個人資料因此進入較少保護之私人領域中，相對地提高其侵害人

民權益之危險性，是以其許可要件比傳遞於公務機關者嚴格許多。此外，若

依第 2 款傳遞者，傳遞機關尚須將傳遞情形告知當事人，除非當事人已依其

他方式瞭解，或告知將危害公共安全或將損害聯邦或幫之福祉（第 3 款）。此

部分我國個資法付諸闕如，事實上亦應採取較嚴格之許可條件始得傳遞於非

公務機關。

伍、結論

科技始終來自人性，科技影響我們生活的程度也一天比一天深遠，在人們享

受科技所帶來之便利時，個人資料及隱私權也受到前所未有之衝擊，電腦處理個

人資料保護法乃因應而生，不過其成效卻未能經得起考驗。就以強制按捺指紋為

例，司法院於 2005 年 7 月 27 日、28 日在憲法法庭舉行言詞辯論時，行政院代

表極力強調，指紋之傳遞與利用有個資法規定補充，符合法律明確性原則，且未

來有關指紋之各種使用必須符合個資法之規定，因此不生違憲之虞。不過，多數

大法官顯然不採取該看法，而認為個資法所規定之要件極為空泛、概括，相較於

完全沒有規定，對於個人資料隱私權之危險性並不遑多讓，且有可能將依法得跨

目的使用之例外情形，轉變為原則之授權規定50。我國個資法確實存在許多漏洞

50 請參照：釋字第 603 號解釋林子儀大法官協同意見書；許宗力、增有田大法官協同意見書。

48 期學員法學研究報告 2309

及缺失，為彰顯其目的，並確能落實個人資料之保障，只能期待立法院儘速通過

個資法之修正草案了。