上一篇提到了什麼是個人資料(以下簡稱為個資)與個資為何重要,本篇想簡單討論所謂的敏感個資。個資的蒐集處理上,對於一般個資和敏感個資規範通常有所不同,最主要是因為敏感個資更加涉及隱私,因此有區分之必要性,也就是在蒐集處理上應盡更多之注意義務,包含在
特定情況下方得蒐集、是否需要指定個資管理師(data privacy officer)、是否需要進行個資影響判斷檢驗(privacy impact assessment)、甚至政府監控管理更加嚴格(例如必須登記備查)等等。然而什麼是敏感個資?雖然GDPR提供各國立法方向,然由於各國社會文化風土民情之不同而仍有所差異。
在討論到各國定義之前,筆者想先帶出一個概念,所謂的敏感個資,筆者以為簡單一點去理解,就是在個資主體(也就是被蒐集個資的個人)被要求要提供時會感到不舒服,或是需要再考慮一下,經過確認之後才願意提供,甚至因此不願意提供的個人資料。也可說是更需要受到保護的個人資料。
歐盟GDPR定義下的敏感個資包含遺傳、生物識別、健康數據、揭示種族和族裔出身、政治觀點、宗教或意識形態信念或工會成員的個人資料[1]。目前也是亞太大多數國家適用的標準。應該不難看出宗教、政治、意識形態是對於西方人士的敏感議題。GDPR的立場對於敏感個資原則上是禁止蒐集除有例外規定。而我國的敏感個資定義則包含病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料[2],相對而言似乎比較符合我國人民之法感情。至於亞太各國的定義大致不脫離GDPR範疇,比較特別的是菲律賓將年齡視為敏感個資(紐西蘭也有非正式定義建議將年齡納入敏感個資),而大陸將住家地址視為敏感個資。也不意外地不少國家將財務相關資料定義為敏感個資,例如印度、越南。越南亦將個人位置資料定義為敏感個資。而各國對於敏感個資的定義名稱也不盡然相同,例如印尼稱之為specific personal data而不是sensitive personal data。
筆者淺見以為法律一向是與時俱進的一門社會課學,敏感個資的定義除了可窺見特國風土民情文化不同之外,亦可見到越晚期立法之國家似乎將敏感個資的範疇定義得更為廣泛(例如2023年才頒布之印度個資法與越南個資法),而被納入為敏感個資的個人資料在科技技術日新月異進步之下,也的確需要在蒐集處理時應課予更多的注意義務。至於了解各國針對敏感個資定義之不同,除了學術研究比較法上的意義外,筆者以為也亦是對於各國社會民情有更一層了解,亦可對於台灣日後立法方向有所省思。至於跨國企業如對敏感個資定義更加了解,自可在未來蒐集處理應盡之注意義務上,具備更完善的法遵意識,進行內部政策完善之制定與規劃。
[1]< Article 9 of GDPR: Processing of personal data revealing racial or ethnic origin, political opinions, religious or philosophical beliefs, or trade union membership, and the processing of genetic data, biometric data for the purpose of uniquely identifying a natural person, data concerning health or data concerning a natural person’s sex life or sexual orientation shall be prohibited.
[2] 個人資料保護法第六條
