報載(https://www.mirrormedia.mg/story/20161018soc003/)台北市政府教育局於105年6月開始使用Google Apps for Education雲端服務，由教育局為台北市35萬國中國小學童申請Google帳號，以供學童免費及無上限的使用電子郵件與雲端硬碟，以及各種應用程式與學習平台。此舉遭該篇報導質疑教育局是否將學童之個人資料「外洩」給Google公司。

【短評】

      該篇報導在發表後引起輿論廣泛討論，由於相關資訊皆自新聞或評論而來，實際情況難以掌握，本文僅就我國個人資料保護法上的規範義務初步探討本案應聚焦的法律面向。

      蒐集個人資料的機關(蒐集者)在個資法上負有「維護資料安全」及「尊重當事人自主」的兩種義務，前者規範目的在於避免個人資料外洩、滅失或遭竊取、竄改等侵害，著重的是資料的秘密性、完整性與正確性；後者則強調蒐集者須遵守諸多法律條件(例如目的限制、必要範圍、告知義務)以落實當事人資訊自主權的保障，只有在符合個資法要件的情況下才可蒐集、處理或利用當事人的個人資料。

    以本案為例，在假設北市府教育局確實將學童個資提供給Google公司的前提下，由於北市府教育局並非「未採取適當安全維護措施」而「意外」讓學童的個資遭到竊取，而是「有意」對外提供學童的個人資料，這在個資法上是「利用」個資的行為，須以「有無遵守法律要件以尊重當事人資訊自主權」的角度檢視合法性。

    也就是依個資法規範，先確認教育局蒐集學童個資的「特定目的」及「法定要件(例如執行法定職務必要範圍、經當事人同意等)」為何，再檢視教育局將學童個資提供給Google公司的「利用個資行為」是否合於「蒐集個資的特定目的」？如超過特定目的，則有無符合任何「例外條件」(例如有利於當事人權益或經當事人同意等)？以此釐清教育局在個資法上應負之責。

註：本文未討論本案可能另涉及未成年人對其個資的同意權是否及如何由法定代理人行使的問題。

達文西個資暨高科技法律事務所 王慕民律師