| 要旨 |
一、陳情人固非該電信公司之用戶,惟其電話號碼得透過所屬電信公司所保有之資料對照、組合、連結而得以識別,即屬個資法及其施行細則所稱間接識別之個人資料。
二、參考歐盟法院(CJEU)2016年判決(CaseC-582/14)亦明確指出,所稱「個人資料」,並未要求所有足使特定資料主體被識別之資料都必須由同一人掌握,例如保有動態IP位址(dynamicIPaddress)資料之服務提供者得以可能、合理之方式,透過其他網路服務提供者取得對照、組合之資料識別特定資料主體,即可認定動態IP位址屬於個人資料。
|
| 主 旨 |
有關貴會所詢電信事業客服人員洩漏民眾申訴之來電顯示號碼是否違反個人資料保護法一案,復如說明,請查照。 |
| 說 明 |
一、 復貴會本(109)年7月7日通傳平臺決字第10941020410號函。
二、 謹就貴會函詢重點及本會意見,說明如次:
(一)本案陳情人並非OO股份有限公司(下稱OO公司)用戶,該公司未保有其個人資料,再查陳情人與上揭客服人員交談內容,陳情人亦未提及其個人身分識別資訊,於陳情人來電顯示號碼(下稱系爭電話號碼)未連結個人資料之情形下,該電話號碼是否屬個人資料保護法(下稱個資法)所稱個人資料?
1. 個資法第2條第1款規定「本法用詞,定義如下:一、個人資料:指自然人之…、聯絡方式…及其他得以直接或間接方式識別該個人之資料」;同法施行細則第3條規定「本法第2條第1款所稱得以間接方式識別,指保有該資料之公務或非公務機關僅以該資料不能直接識別,須與其他資料對照、組合、連結等,始能識別該特定之個人」。
2. 查陳情人固非OO公司之用戶,惟陳情人之電話號碼得透過其所屬電信公司所保有之資料對照、組合、連結,而得以識別該陳情人,即屬上開個資法及其施行細則所稱間接識別之個人資料。
3. 又我國個資法主要係參考歐盟1995年個人資料保護指令(下稱95指令)制定,關於個人資料之定義亦與95指令相仿。參考歐盟法院(CJEU)2016年判決(CaseC-582/14)亦明確指出,所稱「個人資料」,並未要求所有足使特定資料主體被識別之資料都必須由同一人掌握,例如保有動態IP位址(dynamicIPaddress)資料之服務提供者得以可能、合理之方式,透過其他網路服務提供者取得對照、組合之資料識別特定資料主體,即可認定動態IP位址屬於個人資料。
(二)系爭電話號碼是否符合個資法第2條第2款個人資料檔案之定義?本案OO公司對該電話號碼,是否有個資法第27條第1項規定「保有個人資料檔案者」之適用?
1. 按個資法第2條第2款規定「本法用詞,定義如下:…二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合」;第27條第1項規定「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏」。
2. 陳情人進線OO公司,而OO公司倘就進線之電話號碼以系統自動化機器予以留存,即屬上開個資法第2條第2款規定之個人資料檔案;OO公司即應依個資法第27條規定就該個人資料檔案採行相關安全措施,以防止個資侵害事故之發生。
(三)OO公司表示已採行門禁管理、教育訓練、資料存取管理及勞動契約相關罰則等措施,仍無法避免客服人員透過來電顯示自行記下號碼並洩漏至外部行銷網站之行為,則OO公司是否仍有違反個資法第27條第1項「應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏」之規定?按個資法第27條第1項所稱「適當安全措施」,依同法施行細則第12條規定,包括配置管理之人員及相當資源、資料安全管理及人員管理、設備安全管理、資料安全稽核機制等。有關OO公司主張已盡安全措施是否有違個資法第27條第1項規定一節,事涉事實認定,應由貴會本於權責審認。
|