行動電話號碼是不是個人資料？車牌號碼是不是個人資料？什麼叫直接識別？什麼叫間接識別？這些問題在個資法施行以來，已對很多人帶來困擾，造成不少適用個資法的爭議。

    有人主張行動電話號碼只是一連串數字符號的組成，他人並無法透過這串數字「識別」特定之人，因此不屬於個人資料。但本文作者認為，這樣的理解還有待商榷。因為諸如身份證字號也是一連串數字的組成、指紋也只是一個生理圖像，若按照前述主張，這些資料都不是個人資料，顯然將架空個資法保護當事人的意旨。

    事實上，即便是「姓名」也不過是一連串的符號組成，是由當事人賦予這些符號「識別自己」的意義。唐伯虎入華府之後獲得「9527」的代稱，若非最後他透漏自己的身分，否則9527這串數字的組成，才是他在華府後院的「姓名」。

    因此本文作者認為，個資法中所謂的「識別」二字，不應理解成「腦海中浮起該特定人之形象」，而應解釋為「能將特定人從群體中區別出來」。

    詳言之，某一資訊對於當事人而言是否屬於個人資料，應由整體時空背景加以判斷，無法一概而論。為了解釋上的便利，我們不妨將個人資料依其功能或作用區分為「區別類個人資料」及「資訊類個人資料」，前者之功能在於「將特定人從群體中區別出來」；後者之作用則為「與『已從群體中被區別出來的特定人』有關的任何資訊」。

    所謂「區別類個人資料」是指該資料(群)的描述在群體中對於某特定人具有專屬性、獨特性，而能以該資料(群)將某特定人從群體中予以區別。例如在100人中有20人叫「柯文哲」，此時「柯文哲」三字尚不足以區別出特定人；但如僅有1人叫「柯文哲」，則此三字便是該特定人的區別類個人資料。又如在100人中雖有20人叫「柯文哲」，但一旦加上「男性」、「已婚」、「曾任台大外科醫師」等資訊，雖然這四個資訊個別拆開來看，均無法發揮將特定人從群體中區別出來的功能，但當這四個資訊組合在一起，我們便可以將特定的「柯文哲」從群體中予以區別，因此這些資訊都會在這100人中構成「間接識別」特定人的「區別類個人資料」。

    至於本文所謂「資訊類個人資料」，則是指當某特定人被「區別類個人資料」從群體中被區別出來後，任何與該特定人有關的資訊。舉例來說，單純「台大外科醫師」此一描述並不足以構成任何人的個人資料，因為「台大外科醫師」數量眾多，此描述尚不足以將某特定人從群體中區別出來，缺少「區別類個人資料」，尚無從基於此資訊而特定出當事人為何。然而，「柯文哲曾為台大外科醫師」此描述便已使「台大外科醫師」構成「柯文哲」此特定人的個人資料，因為在此描述中，「柯文哲」三字即為「區別類個人資料」，已將特定人從群體中區別出來，其後伴隨之描述「曾為台大外科醫師」即是「柯文哲」此人的「經歷」、「職業」等「資訊類個人資料」。

    上述分類係依歐盟在2012年提出的「一般個人資料保護規則」(General Data Protection Regulation)草案中，對於「個人資料」所建構的新定義及認定標準作為參考：

1. 草案第4條「名詞定義」第(1)項規定「『資料當事人』係指已被識別的自然人，或可被資料控制者或任何其他自然人或法人合理藉由識別號碼、位置資訊、網路識別資訊，或其他一個或數個身體、生理、基因、心理、經濟、文化及社會身分等與該自然人有關之資訊，直接或間接識別之自然人。」('data subject' means an identified natural person or a natural person who can be identified, directly or indirectly, by means reasonably likely to be used by the controller or by any other natural or legal person, in particular by reference to an identification number, location data, online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that person.)。

2. 同條第(2)項則規定「『個人資料』係指與資料當事人有關之任何資訊。」('personal data' means any information relating to a data subject.)。

    上述草案第4條第(1)項即是在說明，當某特定人被任何直接或間接的「區別類個人資料」從群體中區別出來時，該特定人便成為「資料當事人」；第(2)項則是規範任何與「資料當事人」有關的資訊，均構成該「資料當事人」的「資訊類個人資料」。

    在此定義下，本文作者認為，行動電話號碼、車牌號碼雖是一連串數字的組成，但對於租用人或登記人而言，確實具有獨特性及專屬性，均是能將特定人從群體中區別出來的「區別類個人資料」，與身分證字號及指紋的功能相同，均應視為個人資料。否則，若有人公然揭露「行動電話號碼0912345678的租用人之信用卡號」、「車牌號碼AKB-48的車主之行動位置蹤跡」、「身分證字號A123456789之持有人的健康檢查報告」，都將因為不具「識別性」而不構成對他人個人資料的違法利用。甚至若在網路上發表「網路帳號5566的網友是個神經病」之言論，亦將因為不具「識別性」而不成立對於該網友的公然侮辱，此結果顯與個資法的規範意旨不符，也與我國司法實務相悖。

    因此，本文作者認為，前述歐盟在2012年提出的「一般個人資料保護規則」草案針對「資料當事人」及「個人資料」的定義，應可作為我國個人資料保護法對於「個人資料」定義的調整參考，期能以更明確的規範協助國人釐清適用個資法上的爭議。

達文西個資暨高科技法律事務所 王慕民律師