發文字號:
個人資料保護委員會籌備處 114.10.03 個資籌法字第1140001596號
發文日期:
民國 114 年 10 月 03 日
要 旨:
有關個人資料之蒐集、處理或利用之合法性分析,應先界定該個資係由何
機關基於何種職務或業務所欲蒐集、處理、利用及保有者;若非屬蒐集主
體地位者,則應審思是否屬受委託蒐集、處理或利用之人
主 旨:有關貴署擬建置「減廢護照」行動服務,其涉個資傳輸及處理等相關疑義
,復如說明二至五,請查照。
說 明:一、復貴署 114 年 9 月 18 日環循永字第 1146117667 號函。
二、按個人資料保護法(下稱個資法)第 2 條第 1 款及同法施行細則
第 3 條規定,個人資料係指得以直接或間接方式識別該特定個人之
資料,包括得與其他資料對照、組合、連結,而得識別特定個人之資
料。是個人資料雖經處理,依其資料型態與本質,客觀上仍有還原而
間接識別當事人之可能時,無論還原識別之方法難易,仍不影響其個
人資料屬性(憲法法庭 111 年憲判字第 13 號判決意旨參照)。依
來函說明一(三)所述,本案會員手機號碼於資料傳輸過程將以安全
雜湊演算法進行處理,因技術上仍得以此演算法且相同的位元序列原
則進行比對,從而識別特定會員身分,故仍屬個人資料而有個資法之
適用。
三、有關個人資料之蒐集、處理或利用之合法性分析,首重相關利害關係
人角色,在個人資料之流動過程,應先定位,始能開展後續法律遵循
評估。換言之,應先界定該個資係由何機關(即蒐集主體)基於何種
職務或業務所欲蒐集、處理、利用及保有者;若非屬前開蒐集主體地
位者,則應審思是否屬受委託蒐集、處理或利用之人(個資法第 4
條規定參照)。
四、依貴署來函說明一(一)所稱,貴署刻正與電子支付兼交通票證整合
服務公司(下稱 A 公司)「合作」推出減廢護照行動服務,欲將該
護照建置於 A 公司之電子支付 APP 應用程式,以接收來自 B 公
司所傳輸某民眾消費使用自備杯及循環杯之相關減廢交易紀錄等語。
惟查貴署來函說明一(二)續稱由民眾於 A 公司 APP 簽署個資使
用同意書,B 公司將上開個人資料傳輸至貴署中台,繼再轉傳給 A
公司比對減廢交易紀錄於減廢護照;最後貴署來函說明二(四)又稱
有關公務機關委託非公務機關執行業務涉個資管理需簽署相關管理合
約等情。綜上可知,本案涉及之個資法相關利害關係人角色定位,尚
有不明。
五、質言之,貴署所稱「合作」推出減廢護照行動服務,究係純粹由 A
公司基於蒐集機關地位及 B 公司基於利用機關地位,與個人資料當
事人間進行個人資料移動之過程,而貴署中台功能僅是受 A 公司委
託而保有該資料?或係貴署基於蒐集機關地位而接收自 B 公司所傳
輸個人資料,並委託交由 A 公司比對並儲存於該減廢護照內?建請
貴署先行釐明,以利整體規劃階段之法遵分析。
正 本:環境部資源循環署