【為什麼我們要挑選這篇文章】我們都有被傳教的經驗,但必須意識到,我們回答傳教者的問題,例如姓名、地址、宗教信仰,都是個資。今年,號稱史上最嚴個資法的 GDPR 實施了,宗教團體也得遵守規範,未經過同意,不能記錄被傳教者的個資。(責任編輯:郭家宏)
文 / 資策會科技法律研究所法律研究員 楊長蓉
「叮咚!叮咚!」正以為是郵差或快遞,急急忙忙從家裡沙發上起來,打開門卻是不認識的面孔也沒有包裹,開口第一句是「你知道天啟(apocalypse)要來了嗎?」
不知道大家是否都有在家中碰過傳教人員登門按鈴傳教的經驗?對方一邊聊天,一邊詢問私人問題,後面可能還會有人專責寫下你說的話和個資!如果不願意受訪,是否有因應之道呢?
涉及最近各界熱烈討論的最強資料保護法 – 歐盟一般資料保護規則(General Data Protection Regulation,GDPR),正好出現一個類似這樣議題的案例!歐盟法院(Court of Justice of the European Union,CJEU)針對某宗教團體挨家挨戶的傳教行為作出了判決:歐盟法院認為傳教人員必須事先取得當事人的同意,始得蒐集個資。這件事情的起源與發展是這樣的:
2013 年的時候,芬蘭資料保護委員會(tietosuojalautakunta;Data Protection Board,Finland)做出決議,禁止該宗教團體的成員於挨家挨戶傳教時,蒐集或處理個人資料,除非該宗教團體遵循芬蘭資料保護法。然而,該宗教團體的芬蘭會所(uskonnollinen yhdyskunta)不滿這個決議,而向芬蘭個資監管機關(tietosuojavaltuutettu, Data Protection Supervisor, Finland)申訴。之後由芬蘭法院向歐盟法院提起「先訴裁判」(preliminary ruling)程序,請求歐盟法院依據歐盟法相關規定,針對該宗教團體在登門傳教時,記錄個資的行為是否屬於歐盟資料保護法(*註)下之範疇做出解釋。(判決原文在這裡)
歐盟法院認為,該宗教團體在進行傳教時,必須取得被傳教者同意,始能做紀錄蒐集個資。歐盟資料保護法對個人資料的除外範圍並不包括這類宗教行為。此外,本案對於歐盟資料保護法發展至少有兩點相當重要的解釋:(a)宗教團體傳教時手寫筆記亦屬於歐盟資料保護法範圍,且該行為並不適用宗教團體除外條款;以及(b)該宗教團體與其會員屬於「資料控管者」(Data Controller)。
傳教行為受歐盟資料保護法所規範
由於該宗教團體在向不認識的人傳教的時候,會一邊詢問一邊做手寫紀錄(note-taking),這些紀錄可能包括對方姓名與地址,亦可能包括了其他敏感資訊,像是宗教信仰以及家庭狀況。(註: GDPR 就將宗教信仰列為敏感個資)這些手寫紀錄將作為傳教人員後續傳教時提醒之用(memory aids),也就是說,那些當初蒐集的資料,之後不管是原來的傳教人員再做後續拜訪,或是其他傳教人員去拜訪,都能在當事人不知情或是未同意的狀況下,被該宗教團體所使用。
這邊必須說明的是,該宗教團體的傳教方式乃是非常具有組織性與協調性的。該宗教團體通常會分組行動,去一般民眾家門口傳教前,組織內部還會依照地圖劃分負責區域,訂定各個傳教人員的傳教範圍。傳教人員在門口傳教所做的紀錄,亦將做事後處理與保管,團體所發送的出版品之數量與對象亦會記錄。此外,該宗教團體會將那些要求不要再來傳教的民眾做成一份清單,稱之為「拒絕者清單」(refusal register),這份清單上面亦會有個人資料,提供給該宗教團體成員做後續傳教之用途。
宗教團體屬於資料控管者(controller)
這類挨家挨戶傳教的宗教團體,屬於歐盟資料保護法下的資料控管者。宗教團體與其共同從事傳教的成員,在民眾門口傳教的行為若有蒐集處理到個資,即為資料控管者。這種情況下所進行的傳教活動因為有涉及蒐集處理個資,就必須遵守歐盟資料保護法。
歐盟資料保護法要求控管者必須符合合法要件(lawful basis)才能蒐集資料主體(data subject)的個人資料。常見的合法要件有「同意」,控管者必須合法取得資料主體之「知情同意」(informed consent)才能蒐集個人資料。這包括了傳教人員詢問個人「名字」、「地址」或「是否有信仰」這類屬於個人隱私之項目,若要蒐集,都必須取得當事人明確且知情的同意才行。
歐盟法院並對於資料控管者的概念做出下列幾項重要說明:
若是有多個或共同(jointly)資料控管者參與個資蒐集處理的情況,像是宗教團體與傳教人員的傳教行為,並不需要每一個人都有資料存取權(data access),才能被稱為控管者,或是承擔控管者歐盟資料保護法下的責任。由於這些行為人可能在不同階段蒐集處理個資,程度也可能都不一樣,因此,其個別的責任程度需要依據個案的相關情狀來判定。也就是說,判定因素為控管者在「決定處理個資之目的與手段」之控制程度。
此外,控管者對個資蒐集處理的目的與手段,並不一定要透過明文指引或指示的方式。歐盟資料保護法的範圍涵蓋手寫紀錄或筆記。
本案不適用歐盟資料保護法下宗教團體的除外規定
在本案中,該宗教團體主張傳教的行為是個人宗教行為,而且手寫紀錄應被認為是個人的,而不應適用歐盟資料保護法之相關規範。此外,該宗教團體亦主張,宗教行為應受到《歐洲聯盟基本權利憲章》(Charter of Fundamental Rights of the European Union)第 10 條宗教自由權之保護。
GDPR 第 IX 章中規定,會員國可以針對特定的資料蒐集處理行為提供除外(exemptions)或豁免(derogations)規定。例如對於員工資料、保密義務以及教堂或宗教團體(churches and religious associations)等等。
不過歐盟法院並不認為傳教行為屬於宗教團體除外範疇。宗教團體除外條款乃是適用在「組織內部成員間」的行為,這是因為彼此之間已經有一定的「關係」存在,例如,某個人已經是你教會成員,或者是你籃球隊中的志工,便不需要他們的同意即可在組織內部使用其基本個人資料。這些所謂組織內部成員可能包括了現任成員、先前成員以及常有接觸的人(regular contacts)。
至於本案的情形,歐盟法院認為,這種門口挨家挨戶的形式已經是負責傳教的成員對「組織外部人員」的行為了,故而不在除外範疇之內。也就是說,由於傳教人員在民眾門口傳教的行為,因為是蒐集處理「非宗教團體內部成員」的個人資料,並不屬於宗教團體內部間的資料蒐集與溝通行為,故不適用歐盟資料保護法的宗教團體除外條款。而在《歐洲聯盟基本權利憲章》的宗教自由部分,亦不包括這類行為,第 10 條宗教自由權應是限於純個人或是家庭行為。
傳教人員蒐集處理的個人資料是否屬於檔案系統(filing system)的一部分
由於歐盟資料保護法的規範客體主要限於「全部或部分以自動化方式蒐集、處理或利用的個人資料」的部分,而若是透過手動(manual),即非自動的方式(automatic means)蒐集處理個資,例如本案中的手寫紀錄,則必須「構成檔案系統一部分,或『為』構成檔案系統一部分而蒐集、處理或利用的個人資料」才會適用歐盟資料保護法。
在這部分歐盟法院認為,「檔案系統」的概念,涵蓋了宗教團體透過門口傳教所取得的個人資料,包括姓名、地址以及其他被接觸的人之資料,特別是若是這些資料蒐集的方式有依照特定模式蒐集,而使得之後實踐上要做處理利用容易使用的情形。因此,即使蒐集得來的個人資訊並非放置於常見的中央檔案系統(filing system),例如資料庫(databases)的形式,這仍然是歐盟資料保護法所涵蓋的範圍。
歐盟法院說明,檔案系統的概念下,不一定要有表單(data sheets)、特定清單或是搜尋方式。亦即,宗教團體在門口傳教的行為必須符合歐盟資料保護法的相關規範。
下次再碰到傳教人員,可以直接跟他們說,你問我信什麼宗教或是信仰屬於個人隱私,你再問下去可能會違反個資法喔!
(*註)這邊歐盟資料保護法(EU Data Protection Law)主要是指舊法《歐盟個人資料保護指令》(Data Protection Directive 95 / 46 / EC),由於本案發生時點 GDPR 尚未通過,故歐盟法院係適用舊法歐盟個人資料保護指令作出判決。然而, 2018 年 5 月後歐盟正式施行 GDPR 取代舊指令,在舊指令相關適用條文與 GDPR 相同概念的部分,歐盟法院針對舊指令的解釋亦採用與 GDPR 相同的概念。惟須注意的是歐盟資料保護法不只包括 GDPR ,尚有其他相關法律,例如「歐盟執法機關之個資保護指令」(Directive (EU) 2016 / 680,Data Protection Directive for Police and Criminal Justice Authorities)等等。
(本文經合作夥伴 資策會科法所 授權轉載,並同意 TechOrange 編寫導讀與修訂標題,原文標題為 〈連宗教團體都要遵守的GDPR! 保護個資最佳利器!〉 首圖來源:Youtube。)
更多關於個資的文章
Google 社交平台大漏洞:超過 50 萬用戶個資外洩,發現後第一時間還刻意隱瞞
