要 旨:
個人資料保護法第 2 條、個人資料保護法施行細則第 3 條等規定參照
,如記名悠遊卡、金融卡、信用卡卡號等可間接識別持卡人身分,持卡人
為自然人者,仍屬個人資料,又尚不得因可間接識別持卡人身分之卡號加
密後而尚未解密前,無遭側錄盜刷風險,或機關沒有持卡人其他詳細個人
資料檔案可供比對,即認非屬個資法所稱個人資料
主 旨:有關以信用卡、金融卡及電子票證做為電子發票索取載具之適法性乙案,
復如說明二、三。請查照參考。
說 明:一、復貴部 101 年 5 月 23 日台財資字第 10122004370 號函及 101
年 7 月 23 日台財資字第 10122007390 號函。
二、有關來函附件項次一:
(一)「加密後卡號資料是否為個人資料」:
1.按個人資料保護法(下稱個資法)第 2 條第 1 款規定:「個
人資料:指自然人之姓名、出生年月日、國民身分證統一編號、
護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療
、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、
社會活動及其他得以直接或間接方式識別該個人之資料。」次按
個人資料保護法施行細則第 3 條規定:「本法第 2 條第 1
款所稱得以間接方式識別,指保有該資料之公務或非公務機關僅
以該資料不能直接識別,須與其他資料對照、組合、連結等,始
能識別該特定之個人。」。依來函說明二(二)略以:擷取卡片
相關基本碼後,由貴部財稅資料中心提供試辦商之「加」「解」
密程式加密,產生無法辨識原卡號之唯一亂數碼後傳送併儲存等
語以觀,似表示該「無法辨識原卡號之唯一亂數碼」亦可使用「
解」密程式將其還原為原卡號,參照上開說明,原卡號雖用加密
程式後產生之亂數碼不能直接識別特定當事人,但該「唯一」亂
數碼若可使用解密程式原卡號,即可對照、組合、連結識別該特
定之個人,仍屬個資法所稱之個人資料,縱擷取卡片相關基本碼
未涉及金融業相關金流作業,亦不影響上開規定之適用。換言之
,除無記名悠遊卡卡號仍無法識別持卡人之身分外,其餘記名悠
遊卡、金融卡、信用卡卡號等可間接識別持卡人之身分,而持卡
人若為自然人者,仍屬個人資料。
2.至於公務機關請試辦商使用具加解密雙向性質之程式加密後,傳
輸至貴部電子發票整合服務平台,係為符合個資法第 18 條規定
:「公務機關保有個人資料檔案者,應指定專人辦理安全維護事
項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」故尚不
得因可間接識別持卡人之身分之卡號加密後而尚未解密前,無遭
側錄盜刷風險,或貴部沒有持卡人其他詳細個人資料檔案可供比
對,即認非屬個資法所稱個人資料。
(二)另按中央法規標準法第 16 條規定:「法規對其他法規所規定之同
一事項而為特別之規定者,應優先適用之。其他法規修正後,仍應
優先適用。」電子票證發行管理條例第 21 條第 1 項或銀行法第
47 條之 1 授權訂定之信用卡業務機構管理辦法第 27 條第 1
項第 3 款及第 53 條均分別規定,電子票證之發行機構或特約機
構、或信用卡之信用卡業務機構、特約商店對申請人或持卡人之一
切資料,除其他法律或主管機關另有規定者外,應保守秘密。依上
開:「申請人或持卡人之一切資料,…應保守秘密」規定觀之,該
等資料係屬高密度保護之個人資料,從而其所指「其他法律」自應
從嚴解釋為法律規定應予提供者而言,否則恐與上開「應保守秘密
」規定之立法意旨有違。個資法僅係對於個人隱私最低密度之保護
,此由個資法第 1 條所揭示「促進個人資料之合理利用」亦為該
法制定意旨之一,及個資法第 16 條及第 20 條有關個人資料得為
目的外利用之範圍相當廣泛自明,從而個資法難謂屬上開規定之「
其他法律」,故仍應適用上開「應保守秘密」之規定。
三、有關於來函附件項次二:
(一)「發票資料併同卡號是否為個人資料之爭議」:依加值型及非加值
型營業稅法第 32 條第 4 項規定訂定「統一發票使用辦法」第 7
條第 3 項,營業人開立統一發票,須載明發票號碼、交易內容資
訊,復參照「實體消費通路開立電子發票試辦作業要點」第 4 點
規定,電子發票內容尚包括買受人持有「特定載具(得以電磁紀錄
記載或連結電子發票資訊之工具)」資訊。依上開說明二(一)1
、所述,電子發票上傳整合服務平台,包含「發票號碼」及「交易
內容資訊」,亦可經由載具而得間接識別持卡人之卡號,而成為該
特定之自然人資訊,仍屬個資法所稱之個人資料。
(二)次者,營業人蒐集「發票資訊」和「消費資訊」結合「載具識別碼
」,並上傳至貴部整合服務平台,係依加值型及非加值型營業稅法
第 32 條第 4 項規定訂定之「統一發票使用辦法」規定,如未超
出法律授權意旨範圍,應屬個資法第 19 條第 1 項第 1 款所稱
「法律明文規定」且係基於稅務行政(代號 120)特定目的,故得
合法蒐集、處理,又基於特定目的必要範圍內利用(例如提供至稅
務機關),符合個資法第 20 條第 1 項本文規定,得利用個人資
料,故無須再依同條項第 6 款規定經當事人書面同意。
(三)再者,按個資法施行細則第 14 條:「本法第 7 條所定書面意思
表示之方式,依電子簽章法之規定,得以電子文件為之。」至買受
人依電子發票實施作業要點第 15 條第 1 項規定選擇要求開立電
子發票,是否符合電子簽章法規定,而屬「當事人書面同意」,建
請貴部另函詢該法主管機關經濟部解釋。
正 本:財政部
副 本:本部資訊處(第 1 類、第 2 類)、本部法律事務司(4 份)