手機版選單

:::

個資法問與答

列印圖示
【個資法即時通】電信事業接獲非該公司客戶之民眾申訴電話號碼,該電話號碼是否屬於個人資料?是否符合個人資料檔案之定義?又電信事業客服人員洩漏民眾申訴電話號碼,該電信事業是否違反個人資料保護法第27條第1項之規定?
一、 本案陳情人並非○○股份有限公司(下稱○○公司)用戶,○○公司未保有其個人資料,再查陳情人與上揭客服人員交談內容,陳情人亦未提及其個人身分識別資訊,於陳情人來電顯示號碼(下稱系爭電話號碼)未連結個人資料之情形下,該電話號碼是否屬個人資料保護法(下稱個資法)所稱個人資料?
(一)




(二)


(三)

 
按個資法第2條第1款規定「本法用詞,定義如下:一、個人資料:指自然人之…、聯絡方式…及其他得以直接或間接方式識別該個人之資料」;同法施行細則第3條規定「本法第2條第1款所稱得以間接方式識別,指保有該資料之公務或非公務機關僅以該資料不能直接識別,須與其他資料對照、組合、連結等,始能識別該特定之個人」。
查陳情人固非○○公司之用戶,惟陳情人之電話號碼得透過其所屬電信公司所保有之資料對照、組合、連結,而得以識別該陳情人,即屬上開個資法及其施行細則所稱間接識別之個人資料。
又我國個資法主要係參考歐盟1995年個人資料保護指令(下稱95指令)制定,關於個人資料之定義亦與95指令相仿。參考歐盟法院(CJEU)2016年判決(Case C-582/14)亦明確指出,所稱「個人資料」,並未要求所有足使特定資料主體被識別之資料都必須由同一人掌握,例如保有動態IP位址(dynamic IP address)資料之服務提供者得以可能、合理之方式,透過其他網路服務提供者取得對照、組合之資料識別特定資料主體,即可認定動態IP位址屬於個人資料。
二、 系爭電話號碼是否符合個資法第2條第2款個人資料檔案之定義?本案○○公司對該電話號碼,是否有個資法第27條第1項規定「保有個人資料檔案者」之適用?
(一)



(二)

 
按個資法第2條第2款規定「本法用詞,定義如下:…二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合」;第27條第1項規定「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏」。
陳情人進線○○公司,而○○公司倘就進線之電話號碼以系統自動化機器予以留存,即屬上開個資法第2條第2款規定之個人資料檔案;○○公司即應依個資法第27條規定就該個人資料檔案採行相關安全措施,以防止個資侵害事故之發生。
三、 ○○公司表示已採行門禁管理、教育訓練、資料存取管理及勞動契約相關罰則等措施,仍無法避免客服人員透過來電顯示自行記下號碼並洩漏至外部行銷網站之行為,則○○公司是否仍有違反個資法第27條第1項「應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏」之規定?
  按個資法第27條第1項所稱「適當安全措施」,依同法施行細則第12條規定,包括配置管理之人員及相當資源、資料安全管理及人員管理、設備安全管理、資料安全稽核機制等。有關○○公司主張已盡安全措施是否有違個資法第27條第1項規定一節,事涉事實認定,應由貴會本於權責審認。

:::