個資法系列-請問哪些行為受到本法規範呢?

文/ 蘇宏文104法務長 原文出處:104人資法寶

筆者在個資法系列分享文中,前已提到本法規範的主體(公務機關與非公務機關)與客體(指保護的對象即個人資料),本文將分享有哪些行為受到本法規範,也就是此等行為須依照本法所定的遊戲規則辦理。

其實,讀者無須先翻閱本法法條,單純想像應也能推導出有哪些行為,立法者會將之列入雷達幅射範圍。

本法第一條開宗明義說明二項立法目的:1. 避免人格權受到侵害,2. 促進個人資料的合理利用。以後者為例,若要達到個人資料的合理利用目的,利用者首須擁有個人資料,如何擁有呢?由此可推導出個人資料的「蒐集」行為。若要將蒐集而來的個人資料作有效率的使用,經過適當的「處理」行為過程,即能便於日後展開的「利用」行為。因此,本法規範的行為態樣是「蒐集、處理與利用」行為。

本法第2條就上述行為作了以下立法定義:

(第3款)蒐集:指以任何方式取得個人資料。

(第4款)處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。

(第5款)利用:指將蒐集之個人資料為處理以外之使用。

若進一步將個人資料作跨國(境)的處理或利用,例如國內總公司與國外分公司(同一法人間)進行個人資料的傳輸行為即屬於「跨國境的處理」行為,國內母公司與國外子公司(二不同法人間)進行個人資料的傳輸行為即屬於「跨國境的利用」行為,此稱之為「國際傳輸」行為(第2條第6款),同樣受到本法規範。