資訊隱私_歐洲人權法院一則重要判決

**T.C.

歐洲人權法院 (European Court of Human Rights )在今(2008)年7月中旬作成了一個重要的資訊隱私判決 I v. Finland，宣告「資訊系統欠缺合理安全措施，即構成隱私權侵害」，頗值得參考，特別簡單介紹評論如下。

案例事實:

• 原告 I 在芬蘭一所公立醫院擔任護士的工作，於1987年被診斷為人類免疫缺陷病毒陽性 (HIV positive)後，持續在其所服務的醫院工作並就醫。1992年初，I 開始懷疑醫院同事得知他患病的情況，因為當時醫院的工作人員可以自由查閱所有病患的醫療資料。在 I 向主治醫師反應他的不安後，醫院更改資訊系統，限制只有相關醫療人員才能查閱所負責病患的資料。
• I  於1995年離職。1996年底， I  請求主管機關調查是否有醫院員工不當查閱他的醫療資訊。然而，因為醫院的資訊系統並未記錄查詢檔案人員的身分，主管機關無法確認I的資訊是否曾被不當查閱。
• I  於2000年對當地衛生主管機關 (負責管理醫院病患資料) 提起民事訴訟，就其未能確保病患就醫資料隱私請求損害賠償。地方法院及上訴法院均以 I 無法證明其醫療資料確實曾被不當查閱為由，駁回 I 的請求。 I  於芬蘭最高法院拒絕其上訴後，向歐洲人權法院提起訴訟，主張芬蘭違反歐洲人權公約(下稱「公約」)第8條的規定。

判決摘要

• 人權法院首先重申公約第8條除了消極的限制政府干預人民隱私外，更課予政府一個積極的作為義務，以有效確保個人隱私不受其他人的干擾。
• 上述積極作為義務要求締約國內國法就避免個人醫療資訊不當揭露提供有效的保障。
• 芬蘭「個人檔案法(Personal Files Act)」[後修正為個人資料法(Personal Data Act)] 明文規定：資料的管理者應於合理範圍內確保個人資訊不被非法處理、使用、銷毀或修改。
• 人權法院認為I所服務醫院的檔案系統「未限制病患資料的查閱」，以及「未保存查閱檔案人員的記錄」，已明顯違反「個人檔案法」的規定，原告「不須」另行證明因醫院資訊系統欠缺上述安全措施而導致其個人就醫資料外洩。
• 人權法院強調，芬蘭法律單純規定個人資料系統應有相關的安全措施，並賦予個人資料外洩的受害人損還賠償請求權，並不足以滿足公約第8條積極作為義務的要求。芬蘭政府應提供「實際、有效的『事前』保障，以排除任何『可能的』非法查閱個人資料情形。」
• 人權法院判決芬蘭政府賠償原告 I 八千歐元非財產的損害 [原告起訴主張金額為三萬歐元]，另須負擔 I 所支出的相關訴訟費用計兩萬歐元。

簡評:

• I v. Finland乙案最值得注意之處，是歐洲人權法院逕以資訊系統欠缺合理安全措施為由，認定芬蘭政府違反公約第8條的規定；至於原告個人資料是否確實外洩及因果關係，則並不影響損害賠償的請求。
• 如同芬蘭「個人檔案法」，台灣現行「電腦處理個人資料保護法(個資法)」第17條也規定：「公務機關保有個人資料檔案者，應指定專人…辦理安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏。」本條規定依同法第26條的規定準用於非公務機關。
  上述人權法院的判決非常值得台灣法院在審理個資法第27條、第28條損害賠償案件時參考 [個資法第27條規定：公務機關違反本法規定，致當事人權益受損害者，應負損害賠償責任]。換言之，只要原告能夠證明政府機關或業者就其個人資料檔案的隱私維護有所不足(違反第17條)，並受有損害(例如：因擔心個人資料外洩造成精神上的痛苦等)，原告即可請求損害賠償，至於原告個資是否確有外洩或外洩的原因，則非所問。
• 當然，現行個資法對於非公務機關適用的範圍有所侷限，但民法第195條明文保障「隱私權」，且司法院大法官已在多號解釋宣示（資訊）隱私權為憲法保障的基本人權，其中釋字第603號解釋更表示：人民對其個人資料之使用有知悉與控制權。因此，在個資法修正前，是否可以透過解釋（例如「憲法的第三人效力理論」），配合民法保障隱私權的明文規定，將目前尚不受個資法規範的非公務機關亦納入一般侵權行為請求的範圍，也值得思考。