據媒體報導，某航空公司遭駭客入侵竊取上萬名會員資料，並放上暗網交易¹。正是因為此類事件頻發，近年來主管機關將許多注意力放在資訊安全事件，不僅在個人資料保護法(下稱個資法)規定「非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏」²，如有違反，則應處第一次處新臺幣二萬元以上二百萬元以下罰鍰，限期改正仍未改正者，提高罰鍰至新臺幣十五萬元以上一千五百萬元以下³。

除此之外，對於上市櫃、興櫃公司更加強管控，接連在1月17日及3月7日更新「上市公司重大訊息發布應注意事項參考問答集」及「上(興)櫃公司重大訊息發布應注意事項參考問答集」，強調若有「公司之核心資通系統、官方網站或機密文件檔案資料等，遭入侵、破壞、竄改、刪除、加密、竊取、服務阻斷攻擊(DDoS)等，致無法營運或正常提供服務，或有個資外洩」時，則屬造成公司重大損害或影響，公司即應依重大訊息處理程序法規第4條第26款⁴發布重訊。

是以，保護營業中所蒐集之個資顯然成為企業不可避免的問題，則何謂個資法保障之「個資」，應有探討之必要，但囿於篇幅，以常見之會員制度所蒐集之姓名、出生年月日、電話、地址及金融帳戶相關號碼作為討論重點：

1. 首先，由於個資的類型多樣，個資法第2條1款舉例說明，如屬以下之情形，則可能屬於個資法所保障之個資：

「自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料⁵」。

2. 其中，會員制度蒐集之姓名、地址、住家電話號碼、行動電話⁶，經過有心人士之探查，通常具備直接識別身分之功能，可能被認為是個資。
3. 其次，若可以辨識其財務情況，如信用卡號、金融機構帳戶之號碼或保險單號碼⁷，倘若結合實際情況，具備直接或間接可以識別出帳戶或卡號所有人者，亦可能被認為是個資。

上述僅僅是單項之判斷，但真實環境中大多是姓名結合電話、地址以及其他資料之情形，企業在蒐集資料時仍需認知到，即便其單一資料不會被認為是個資，只要結合觀察可能具備識別性，仍有落入個資法保障之可能性⁸。

【本文係依據當時有效之法律及相關實務見解所撰寫，僅供參考，並非針對特定事項提供正式之法律意見。若您有相關之法律問題或需要任何專業協助，歡迎與本所聯繫，本所將為您提供更進一步的專業法律諮詢服務。】

---

¹聯合新聞網，https://udn.com/news/story/7266/7857497。

²個人資料保護法第27條規定。

³個人資料保護法第48條2項規定。

⁴重大訊息處理程序法規第4條第26款

二十六、發生災難、集體抗議、罷工、環境污染、資通安全事件或其他重大情事，致有下列情事之一者：

（一）造成公司重大損害或影響者；

（二）經有關機關命令停工、停業、歇業、廢止或撤銷污染相關許可證者；

（三）單一事件罰鍰金額累計達新台幣壹佰萬元以上者；

（四）金融控股公司或屬金融監督管理委員會組織法第二條所稱之銀行、證券、期貨及保險業之上市公司，經主管機關廢止其許可或因違反金融控股公司法、銀行法、保險法、票券金融管理法、證券暨期貨等相關法令經主管機關處分。但處分種類為糾正或限期改善，且對公司財務或業務無重大影響者，不在此限。

⁵個資法第2條第1款規定

1. 個人資料：指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。

⁶個人資料保護法之特定目的及個人資料之類別

Ｃ○○一 辨識個人者。

例如：姓名、職稱、住址、工作地址、以前地址、住家電話號碼、行動電話、即時通帳號、網路平臺申請之帳號、通訊及戶籍地址、相片、指紋、電子郵遞地址、電子簽章、憑證卡序號、憑證序號、提供網路身分認證或申辦查詢服務之紀錄及其他任何可辨識資料本人者等。

⁷個人資料保護法之特定目的及個人資料之類別

Ｃ○○二 辨識財務者。

例如：金融機構帳戶之號碼與姓名、信用卡或簽帳卡之號碼、保險單號碼、個人之其他號碼或帳戶等。

⁸個人資料保護法施行細則第3條規定

本法第二條第一款所稱得以間接方式識別，指保有該資料之公務或非公務機關僅以該資料不能直接識別，須與其他資料對照、組合、連結等，始能識別該特定之個人。