自從2010年5月26日將電腦處理個人資料保護法全盤修正，並更名為個人資料保護法，已經歷時多年。這麼多年來，個人資料保護法有保護民眾個人資料、凡事應避免違反個人資料保護法等思維，似乎也已經隨著個人資料保護法的立法而普遍深植在一般台灣民眾心中。大家都知道「姓名、電話、地址等等個人資料不能隨意公開，否則可能會違反個資法」，但是個人資料保護法保護的個人資料只限於如此嗎？

依據個人資料保護法第41條規定：「意圖為自己或第三人不法之利益或損害他人之利益，而違反第6條第1項、第15條、第16條、第19條、第20條第1項規定，或中央目的事業主管機關依第21條限制國際傳輸之命令或處分，足生損害於他人者，處5年以下有期徒刑，得併科新臺幣100萬元以下罰金。」違反個人資料保護法保護個人資料的相關規定，有刑事責任，將可能被科處5年以下有期徒刑，更可能將被併科新臺幣100萬元以下罰金。換言之，違反個人資料保護法的法律效果並不是單純民事糾紛，實際上是刑事犯罪行為。 到底什麼叫做個人資料保護法所保護的個人資料，是一個應該非常嚴肅看待的問題。

依據個人資料保護法第2條關於個人資料的定義：個人資料是指「指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。」這條條文的重點在於最後所謂其他得以直接或間接方式識別該個人之資料都屬於個人資料保護法上之個人資料。

為特定個人資料的類別，法務部更制定《個人資料保護法之特定目的及個人資料之類別》，其中屬於姓名、電話、地址等的個人資料屬於代號Ｃ○○一之辨識個人者之類型，其餘屬於個人資料類型的尚有「特徵類」、「家庭情況」、「社會情況、教育、考選、技術或其他專業」、「受僱情形」、「財務細節」、「商業資訊」、「健康與其他」等等各式類型的個資。如有需要，讀者可以於下列網站查詢：https://mojlaw.moj.gov.tw/LawContent.aspx?LSID=FL010631

法務部告訴我們，並不是只有姓名、電話、地址屬於個人資料保護法所保護的個人資料，舉凡一切能夠以直接或間接方式識別該個人之資料，均屬個人資料保護法所保護的個人資料。舉例而言，個人抽菸或喝酒的習慣、婚姻史、家庭成員的細節、旅行細節、運動嗜好、生活格調、學校紀錄、職業專長、學習過程、受僱情形、受僱之條件及期間、離職經過及原因、差勤紀錄、繳稅情形、工作表現、收入、所得、信用評等、保險細節等，均屬個人資料保護法所保護的個人資料。

此外，有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料，於我國個人資料保護法屬於特種個人資料，是敏感性個人資料，亦受我國個人資料保護法特別保護。

另外，已於2018年5月25日上路、廣受各大公司，包括微軟、Facebook、Google等，所關注的歐盟個人資料保護規範（General Data Protection Regulation, GDPR）亦有嚴格規範，GDPR第4條即規範除了可識別自然人之任何資訊外，網路識別碼亦屬個人資料。GDPR第9條更明文禁止處理與民族、種族來源、政治意見、宗教觀、所屬工會、個人基因資料、個人生物特徵、個人健康資訊、個人性生活及性傾向等個人資料。

綜合上述，個人資料保護法所保護的個人資料當然不限於姓名、電話、地址。為保障自身權益，也為避免侵害他人權益，請特別留心，切莫觸法。

<黃仕翰主持律師、李增胤律師>