【個資保護系列：基礎篇】什麼資料算是個資？——企業需要的個資法第一課

「上次辦的抽獎活動迴響很好，蒐集到不少新客人的聯絡資料，直接把他們加到我們的 LINE 官方帳號，發送新品通知吧？」
「這季的線上課程快開賣了，我們來下一波 Facebook 廣告，這次也用免費懶人包來引導大家留下 Email，應該可以建立一波新的潛在客戶名單。」

這些對話，是所有企業再熟悉不過的日常。然而，許多經營者與行銷人員可能沒有意識到，就在這些看似普通的商業活動中，已經觸及了《個人資料保護法》（下稱「個資法」）的核心。

最大的誤解往往來自於：「我蒐集的這些東西，算是『個人資料』嗎？」為了回答這個問題，我們將用一個清晰的法律分析框架——「主體、客體、行為」，為您一次釐清個資法的基本輪廓。

一、建立分析框架：主體、客體、行為

要理解一部法律，最快的方式就是拆解它的三大核心要素：

接下來，我們就用這個框架來逐一解析個資法的規定。

首先，我們要確定自己是否為個資法規範的「主體」。可能有一個常見的迷思是：「我們只是個小工作室／新創公司，個資法應該是針對大企業吧？」

但答案是：錯。個資法規範的對象，除了公務機關外，就是「非公務機關」。這個詞涵蓋了所有法人（公司、財團法人）、團體或個人。簡單來說，無論是公司、行號、工作室，甚至是個人接案，只要業務運作會接觸到客戶、會員或員工的個人資料，就必須遵守個資法。

不過，個資法也設下了一道合理的界線。根據個資法第51條，如果是自然人為了單純的個人或家庭活動之目的而蒐集、處理或利用個人資料（例如：為了寄送喜帖而整理親友通訊錄），則不適用個資法的規定，以免過度干預民眾的私人生活領域。

確認自己是受規範的主體後，接著就要看法律到底在管什麼「客體」（資料）以及哪些「行為」（動作）。個資法依據資料的敏感程度，將其分為「一般個資」與「特種個資」，並有不同的規範強度。

1. 客體：什麼是「一般個資」？

根據個資法定義，「個人資料」是指任何得以直接或間接方式識別該個人之資料。

直接識別資料： 單獨存在就能夠直接認出你是誰的資料。例如：姓名、身分證字號、護照號碼、指紋等。
間接識別資料： 單獨來看意義不大，但經過「比對、連結、勾稽」後，足以識別出特定個人的資料。例如：悠遊卡交易資料、IP 位址、車牌號碼、電話號碼、信用卡卡號、存款餘額等。法院在判斷時會採用「識別重要性」標準，也就是看組合後的資料，對於識別特定個人是否具有「關鍵」或「重要性」的價值。若經判斷之結果，具備「關鍵」或「重要性」之價值時，才屬於個資法保護的對象。如果需要更具體的指引，可以參考法務部訂定之個人資料保護法之特定目的及個人資料之類別。

反過來說，資料若經過去識別化處理過後，其是否仍屬個資？根據憲法法庭的見解，其判斷的標準在於「客觀上是否仍有還原而識別個人的可能性」。若資料客觀上已無還原可能，即喪失個資本質；反之，若無論方法難易，客觀上仍可還原識別，則仍屬個資，受個資法保護。

2. 行為：哪些行為被納管？

個資法將企業對資料的處理，歸納為三大核心行為，涵蓋了資料的整個生命週期：

蒐集：以任何方式取得個人資料。例如，透過網站表單、實體問卷等。
處理：指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。例如，將客戶名單建成Excel檔、匯入CRM系統等。
利用： 將蒐集之個人資料為處理以外之使用。例如，寄送EDM、將資料提供給物流公司等。

1. 客體：什麼是「特種個資」？

個資法第6條特別劃出了一道紅線，明列出一些高度敏感的「特種個資」，包含：病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料。

2. 行為：法律如何管制？

對於這些特種個資，法律的態度是「原則上不得蒐集、處理或利用」。除非有例如法律明文規定、基於醫療目的、為履行法定義務等極少數的例外情況，否則企業基本上不應該，也不能碰觸這些敏感資料。

經過本文的說明，我們可以釐清三個核心觀念：

透過「主體、客體、行為」的分析框架，我們可以得到一個清晰的結論：只要您的企業（主體）還在運營，手上握有任何足以直接或間接識別個人的資料，如客戶、會員或員工名冊（客體），那麼從取得、整理到使用的每一個環節（行為），都幾乎不可能避開個資法的規範。

認識到這一點，並不是要讓您感到恐慌，而是建立正確風險意識的第一步。既然無法迴避，那麼關鍵就在於如何「合法地」進行這一切。

在下一篇文章【合規篇】，我們將深入探討企業最核心的兩項義務：「告知」與「同意」，告訴您如何在蒐集資料的第一步，就為企業的合規之路打下穩固的基礎。