位置: 主页 > 有趣生活 >宗教团体也得遵守 GDPR!挨家挨户传教就有可能违反史上最严 >
  • 宗教团体也得遵守 GDPR!挨家挨户传教就有可能违反史上最严

    2020-07-03

    宗教团体也得遵守 GDPR!挨家挨户传教就有可能违反史上最严

    文 / 资策会科技法律研究所法律研究员 杨长蓉

    「叮咚!叮咚!」正以为是邮差或快递,急急忙忙从家里沙发上起来,打开门却是不认识的面孔也没有包裹,开口第一句是「你知道天启(apocalypse)要来了吗?」

    不知道大家是否都有在家中碰过传教人员登门按铃传教的经验?对方一边聊天,一边询问私人问题,后面可能还会有人专责写下你说的话和个资!如果不愿意受访,是否有因应之道呢?

    涉及最近各界热烈讨论的最强资料保护法 – 欧盟一般资料保护规则(General Data Protection Regulation,GDPR),正好出现一个类似这样议题的案例!欧盟法院(Court of Justice of the European Union,CJEU)针对某宗教团体挨家挨户的传教行为作出了判决:欧盟法院认为传教人员必须事先取得当事人的同意,始得蒐集个资。这件事情的起源与发展是这样的:

    2013 年的时候,芬兰资料保护委员会(tietosuojalautakunta;Data Protection Board,Finland)做出决议,禁止该宗教团体的成员于挨家挨户传教时,蒐集或处理个人资料,除非该宗教团体遵循芬兰资料保护法。然而,该宗教团体的芬兰会所(uskonnollinen yhdyskunta)不满这个决议,而向芬兰个资监管机关(tietosuojavaltuutettu, Data Protection Supervisor, Finland)申诉。之后由芬兰法院向欧盟法院提起「先诉裁判」(preliminary ruling)程序,请求欧盟法院依据欧盟法相关规定,针对该宗教团体在登门传教时,记录个资的行为是否属于欧盟资料保护法(*注)下之範畴做出解释。(判决原文在 这里)

    欧盟法院认为,该宗教团体在进行传教时,必须取得被传教者同意,始能做纪录蒐集个资。欧盟资料保护法对个人资料的除外範围并不包括这类宗教行为。此外,本案对于欧盟资料保护法发展至少有两点相当重要的解释:(a)宗教团体传教时手写笔记亦属于欧盟资料保护法範围,且该行为并不适用宗教团体除外条款;以及(b)该宗教团体与其会员属于「资料控管者」(Data Controller)。

    传教行为受欧盟资料保护法所规範

    由于该宗教团体在向不认识的人传教的时候,会一边询问一边做手写纪录(note-taking),这些纪录可能包括对方姓名与地址,亦可能包括了其他敏感资讯,像是宗教信仰以及家庭状况。(注: GDPR 就将宗教信仰列为敏感个资)这些手写纪录将作为传教人员后续传教时提醒之用(memory aids),也就是说,那些当初蒐集的资料,之后不管是原来的传教人员再做后续拜访,或是其他传教人员去拜访,都能在当事人不知情或是未同意的状况下,被该宗教团体所使用。

    这边必须说明的是,该宗教团体的传教方式乃是非常具有组织性与协调性的。该宗教团体通常会分组行动,去一般民众家门口传教前,组织内部还会依照地图划分负责区域,订定各个传教人员的传教範围。传教人员在门口传教所做的纪录,亦将做事后处理与保管,团体所发送的出版品之数量与对象亦会记录。此外,该宗教团体会将那些要求不要再来传教的民众做成一份清单,称之为「拒绝者清单」(refusal register),这份清单上面亦会有个人资料,提供给该宗教团体成员做后续传教之用途。

    宗教团体属于资料控管者(controller)

    这类挨家挨户传教的宗教团体,属于欧盟资料保护法下的资料控管者。宗教团体与其共同从事传教的成员,在民众门口传教的行为若有蒐集处理到个资,即为资料控管者。这种情况下所进行的传教活动因为有涉及蒐集处理个资,就必须遵守欧盟资料保护法。

    欧盟资料保护法要求控管者必须符合合法要件(lawful basis)才能蒐集资料主体(data subject)的个人资料。常见的合法要件有「同意」,控管者必须合法取得资料主体之「知情同意」(informed consent)才能蒐集个人资料。这包括了传教人员询问个人「名字」、「地址」或「是否有信仰」这类属于个人隐私之项目,若要蒐集,都必须取得当事人明确且知情的同意才行。

    欧盟法院并对于资料控管者的概念做出下列几项重要说明:

    若是有多个或共同(jointly)资料控管者参与个资蒐集处理的情况,像是宗教团体与传教人员的传教行为,并不需要每一个人都有资料存取权(data access),才能被称为控管者,或是承担控管者欧盟资料保护法下的责任。由于这些行为人可能在不同阶段蒐集处理个资,程度也可能都不一样,因此,其个别的责任程度需要依据个案的相关情状来判定。也就是说,判定因素为控管者在「决定处理个资之目的与手段」之控制程度。

    此外,控管者对个资蒐集处理的目的与手段,并不一定要透过明文指引或指示的方式。欧盟资料保护法的範围涵盖手写纪录或笔记。

    本案不适用欧盟资料保护法下宗教团体的除外规定

    在本案中,该宗教团体主张传教的行为是个人宗教行为,而且手写纪录应被认为是个人的,而不应适用欧盟资料保护法之相关规範。此外,该宗教团体亦主张,宗教行为应受到《欧洲联盟基本权利宪章》(Charter of Fundamental Rights of the European Union)第 10 条宗教自由权之保护。

    GDPR 第 IX 章中规定,会员国可以针对特定的资料蒐集处理行为提供除外(exemptions)或豁免(derogations)规定。例如对于员工资料、保密义务以及教堂或宗教团体(churches and religious associations)等等。

    不过欧盟法院并不认为传教行为属于宗教团体除外範畴。宗教团体除外条款乃是适用在「组织内部成员间」的行为,这是因为彼此之间已经有一定的「关係」存在,例如,某个人已经是你教会成员,或者是你篮球队中的志工,便不需要他们的同意即可在组织内部使用其基本个人资料。这些所谓组织内部成员可能包括了现任成员、先前成员以及常有接触的人(regular contacts)。

    至于本案的情形,欧盟法院认为,这种门口挨家挨户的形式已经是负责传教的成员对「组织外部人员」的行为了,故而不在除外範畴之内。也就是说,由于传教人员在民众门口传教的行为,因为是蒐集处理「非宗教团体内部成员」的个人资料,并不属于宗教团体内部间的资料蒐集与沟通行为,故不适用欧盟资料保护法的宗教团体除外条款。而在《欧洲联盟基本权利宪章》的宗教自由部分,亦不包括这类行为,第 10 条宗教自由权应是限于纯个人或是家庭行为。

    传教人员蒐集处理的个人资料是否属于档案系统(filing system)的一部分

    由于欧盟资料保护法的规範客体主要限于「全部或部分以自动化方式蒐集、处理或利用的个人资料」的部分,而若是透过手动(manual),即非自动的方式(automatic means)蒐集处理个资,例如本案中的手写纪录,则必须「构成档案系统一部分,或『为』构成档案系统一部分而蒐集、处理或利用的个人资料」才会适用欧盟资料保护法。

    在这部分欧盟法院认为,「档案系统」的概念,涵盖了宗教团体透过门口传教所取得的个人资料,包括姓名、地址以及其他被接触的人之资料,特别是若是这些资料蒐集的方式有依照特定模式蒐集,而使得之后实践上要做处理利用容易使用的情形。因此,即使蒐集得来的个人资讯并非放置于常见的中央档案系统(filing system),例如资料库(databases)的形式,这仍然是欧盟资料保护法所涵盖的範围。

    欧盟法院说明,档案系统的概念下,不一定要有表单(data sheets)、特定清单或是搜寻方式。亦即,宗教团体在门口传教的行为必须符合欧盟资料保护法的相关规範。

    下次再碰到传教人员,可以直接跟他们说,你问我信什幺宗教或是信仰属于个人隐私,你再问下去可能会违反个资法喔!

    (*注)这边欧盟资料保护法(EU Data Protection Law)主要是指旧法《欧盟个人资料保护指令》(Data Protection Directive 95 / 46 / EC),由于本案发生时点 GDPR 尚未通过,故欧盟法院係适用旧法欧盟个人资料保护指令作出判决。然而, 2018 年 5 月后欧盟正式施行 GDPR 取代旧指令,在旧指令相关适用条文与 GDPR 相同概念的部分,欧盟法院针对旧指令的解释亦採用与 GDPR 相同的概念。惟须注意的是欧盟资料保护法不只包括 GDPR ,尚有其他相关法律,例如「欧盟执法机关之个资保护指令」(Directive (EU) 2016 / 680,Data Protection Directive for Police and Criminal Justice Authorities)等等。

    更多关于个资的文章

    Google 社交平台大漏洞:超过 50 万用户个资外洩,发现后第一时间还刻意隐瞒

    LINE Pay 一卡通爆漏洞:未加密网址暴露使用者个资,这样的资安标準你接受吗?

    GDPR 成骇客勒索「神助攻」帮手:钱交出来,不然我就公开公司个资害你受罚



    上一篇: 下一篇: