什麼是個人資料？個資保護法定義、直接與間接識別標準完整解析

一、什麼是「個人資料」？法律如何定義？

依個人資料保護法第2條第1款規定，個人資料是指自然人的姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動，以及「其他得以直接或間接方式識別該個人之資料」。這條規定的保護範圍並不以明文列舉的項目為限，凡是足以辨識特定自然人身分的資訊，皆在個資法的保護範疇之內。

以實際生活情境為例：企業業務往來中取得的客戶聯絡清單、醫療院所保存的就診紀錄、招募流程中收到的求職履歷，甚至是通訊軟體群組中轉傳的朋友電話號碼，只要這些資料能辨識出特定個人，就受個資法規範，任意蒐集、散布或出售都可能觸法。

二、「直接識別」與「間接識別」有什麼不同？

（一）直接識別個人的資料是什麼？

直接識別是指單憑資料本身，不須搭配任何其他資訊，就能鎖定特定一個人。行動電話號碼是最典型的例子：臺灣高等法院臺南分院105年度上易字第393號刑事判決明確指出，行動電話號碼對於使用人具有專屬性與獨特性，屬於得以直接方式識別之個人資料。此類資料一旦遭到外洩，對方幾乎不需要任何額外比對，即可直接聯繫或追蹤當事人，因此法律給予最嚴格的保護。其他常見例子包括國民身分證統一編號、護照號碼、指紋，以及以真實姓名命名的電子郵件信箱。

（二）間接識別個人的資料是什麼？

間接識別則是指，單憑該筆資料本身無法鎖定任何人，但一旦與其他資料進行「對照、組合或連結」，就能識別出特定個人。依個人資料保護法施行細則第3條規定，所謂間接方式識別，是指保有該資料的公務或非公務機關，須將該資料與其他資料對照、組合、連結等，始能識別特定個人。

以「電信業者別」為例：僅憑知道某人使用中華電信，並無法辨識出是哪一位特定用戶；但若再搭配姓名、身分證號碼或帳號等資料進行比對，就可能藉此鎖定特定個人。臺灣臺北地方法院103年度北小字第1360號小額民事判決即採取這樣的認定方式，將電信業者別列入個資保護範疇。

三、哪些常見資料容易被忽視卻仍受個資法保護？

除了姓名、身分證號等核心個資外，以下幾類資料也常因使用者疏忽而在不知情的情況下觸法：

• IP位址：若能與其他資料結合後識別出特定使用者，屬間接識別個資，受個資法保護。
• 照片或影像：含有足以辨識特定個人之臉部特徵者，屬個人資料。
• 車牌號碼：可藉由車籍資料連結至特定車主，構成間接識別之個資。
• 求職履歷：包含姓名、學歷、工作經歷等，整體上可辨識特定自然人身分。
• 社群媒體帳號名稱：若以真實姓名或足以辨識個人身分的方式命名，亦在保護範圍內。

四、違反個資保護法會面臨什麼法律責任？

違反個人資料保護法可能同時面臨刑事責任與民事賠償責任。在刑事責任方面，依個人資料保護法第41條規定，意圖為自己或第三人不法之利益或損害他人之利益，違法蒐集、處理或利用個人資料，可處5年以下有期徒刑，得併科新臺幣100萬元以下罰金。

在民事責任方面，依個人資料保護法第28條及第29條規定，非公務機關違反本法規定，致當事人權益受損，應負損害賠償責任。若當事人難以證明實際損害金額，得請求法院依侵害情節，以每人每一事件新臺幣500元以上2萬元以下計算損害賠償；同一事件侵害多數人時，賠償總額最高可達新臺幣2億元。

五、實務上如何判斷一筆資料是否為個資？

法務部法律決字第10303506500號函（2014年6月17日）明確指出，個人資料的判斷並無統一標準，必須由資料蒐集者針對個案，綜合考量蒐集目的、使用情境、資料本身特性，以及是否能與其他資料對照組合以識別特定個人等因素，方能做出正確判斷。同樣的一筆資料，對A蒐集者而言可能不構成個資，對B蒐集者而言卻可能因其掌握的比對資料不同，而屬於受保護的個資。

實務上，建議企業或個人在蒐集任何資料前，先進行以下自我評估：
（一）這筆資料是否涉及自然人？法人的相關資料原則上不在個資保護範圍內。
（二）單憑這筆資料，或與現有資料組合後，能否辨識出特定個人？
（三）蒐集、處理或利用這筆資料是否有法定依據，或已取得當事人的明確同意？

結語：個資意識是現代法律生活的基本素養

個人資料保護法的適用範圍廣泛，從企業客戶資料庫的日常管理，到個人在社群媒體上轉發的一則訊息，都可能涉及個資的蒐集與利用。在數位化程度持續深化的今日，稍有不慎便可能在不知情的情況下觸犯個資法，承擔不必要的刑事或民事法律責任。若您對個資蒐集的合法性有疑問，或已遭受個資外洩的侵害，建議盡速諮詢專業律師，以保障自身權益並有效降低法律風險。