發文字號:
國家發展委員會 109.07.24 發法字第1090015912號
發文日期:
民國 109 年 07 月 24 日
要 旨:
非屬電信事業用戶之人申訴時之來電顯示號碼,倘電信事業就進線之電話 號碼以系統自動化機器予以留存,係屬得以間接方式識別之個人資料,應 採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏
主 旨:有關貴會所詢電信事業客服人員洩漏民眾申訴之來電顯示號碼是否違反個
人資料保護法一案,復如說明,請查照。
說 明:一、復貴會本(109) 年 7 月 7 日通傳平臺決字第 10941020410 號
函。
二、謹就貴會函詢重點及本會意見,說明如次:
(一)本案陳情人並非○○股份有限公司(下稱○○公司)用戶,○○公
司未保有其個人資料,再查陳情人與上揭客服人員交談內容,陳情
人亦未提及其個人身分識別資訊,於陳情人來電顯示號碼(下稱系
爭電話號碼)未連結個人資料之情形下,該電話號碼是否屬個人資
料保護法(下稱個資法)所稱個人資料?
1.按個資法第 2 條第 1 款規定「本法用詞,定義如下:一、個
人資料:指自然人之…、聯絡方式…及其他得以直接或間接方式
識別該個人之資料」;同法施行細則第 3 條規定「本法第 2
條第 1 款所稱得以間接方式識別,指保有該資料之公務或非公
務機關僅以該資料不能直接識別,須與其他資料對照、組合、連
結等,始能識別該特定之個人」。
2.查陳情人固非○○公司之用戶,惟陳情人之電話號碼得透過其所
屬電信公司所保有之資料對照、組合、連結,而得以識別該陳情
人,即屬上開個資法及其施行細則所稱間接識別之個人資料。
3.又我國個資法主要係參考歐盟 1995 年個人資料保護指令(下稱
95 指令)制定,關於個人資料之定義亦與 95 指令相仿。參考
歐盟法院(CJEU)2016 年判決(Case C-582/14) 亦明確指出
,所稱「個人資料」,並未要求所有足使特定資料主體被識別之
資料都必須由同一人掌握,例如保有動態 IP 位址(dynamic IP
address) 資料之服務提供者得以可能、合理之方式,透過其他
網路服務提供者取得對照、組合之資料識別特定資料主體,即可
認定動態 IP 位址屬於個人資料。
(二)系爭電話號碼是否符合個資法第 2 條第 2 款個人資料檔案之定
義?本案○○公司對該電話號碼,是否有個資法第 27 條第 1 項
規定「保有個人資料檔案者」之適用?
1.按個資法第 2 條第 2 款規定「本法用詞,定義如下:…二、
個人資料檔案:指依系統建立而得以自動化機器或其他非自動化
方式檢索、整理之個人資料之集合」;第 27 條第 1 項規定「
非公務機關保有個人資料檔案者,應採行適當之安全措施,防止
個人資料被竊取、竄改、毀損、滅失或洩漏」。
2.陳情人進線○○公司,而○○公司倘就進線之電話號碼以系統自
動化機器予以留存,即屬上開個資法第 2 條第 2 款規定之個
人資料檔案;○○公司即應依個資法第 27 條規定就該個人資料
檔案採行相關安全措施,以防止個資侵害事故之發生。
(三)○○公司表示已採行門禁管理、教育訓練、資料存取管理及勞動契
約相關罰則等措施,仍無法避免客服人員透過來電顯示自行記下號
碼並洩漏至外部行銷網站之行為,則○○公司是否仍有違反個資法
第 27 條第 1 項「應採行適當之安全措施,防止個人資料被竊取
、竄改、毀損、滅失或洩漏」之規定?
按個資法第 27 條第 1 項所稱「適當安全措施」,依同法施行細
則第 12 條規定,包括配置管理之人員及相當資源、資料安全管理
及人員管理、設備安全管理、資料安全稽核機制等。有關○○公司
主張已盡安全措施是否有違個資法第 27 條第 1 項規定一節,事
涉事實認定,應由貴會本於權責審認。
正 本:國家通訊傳播委員會