《個人資料保護法》應建立「查詢透明與責任追蹤機制」

　　現行《個人資料保護法》對於公務機關與非公務機關，在蒐集、處理、利用個人資料的告知義務與相關程序已有明文規範，但在保護當事人對於「個人資料查詢紀錄管理」的部分仍有不足之處。

　　依《個人資料保護法》第三條規定：「當事人就其個人資料依本法規定行使之下列權利，不得預先拋棄或以特約限制之：一、查詢或請求閱覽。二、請求製給複製本。三、請求補充或更正。四、請求停止蒐集、處理或利用。五、請求刪除。」但缺乏法律明定，使當事人可以對公務機關與非公務機關，行使查詢「個人資料查詢紀錄」的法定權利，包括「查詢日期、查詢理由、查詢人員」等三項核心資訊，導致當事人無法追蹤其個人資料何時被查閱？為何被查閱？及被誰查閱？三項關鍵被查閱資訊，此一漏洞使《個人資料保護法》中的「資訊自決權」難以落實，也削弱《個人資料保護法》第19條「特定目的外利用之禁止」與第29條「損害賠償責任」的請求。

　　為強化個人資料使用的可追蹤性與責任制，筆者建議未來在《個人資料保護法》修法中，增訂「查詢紀錄透明條款」，要求所有蒐集與利用個資之公務機關與特定的非公務機關，於查詢任何個人資料時，應完整登錄查詢日期、查詢理由與查詢人員，並於當事人請求閱覽時提供查詢紀錄。

　　在財團法人金融聯合徵信中心的「當事人綜合信用報告」查詢資料，雖有「被查詢紀錄」欄位，但目前僅揭露「查詢日期」、「查詢機構」及「查詢理由」，缺乏「查詢經辦人員」，僅限於機構層級，無法確定實際操作的員工或代理人是誰，缺乏查詢回溯機制實在可惜，但此部分可在未來在《個人資料保護法》修法中，增訂「查詢紀錄透明條款」，由銀行端補足這一缺漏之處，來強化個人資料使用的可追蹤性與責任制。

　　透過強制登錄個人資料使用的查詢三要素「查詢日期」、「查詢人員」及「查詢理由」，可建立完整的個人資料使用追蹤鏈，防止公務機關與非公務機關內部人員濫用查詢權限，此舉符合「資訊自決權」及「透明原則」，並能提升公務機關與非公務機關內部自我管理與稽核能力，落實資訊自決權。

　　近年新聞報導少數不法戶政人員、地政人員及警務人員，因利用職務查詢個人資料非常方便，勾結詐騙集團犯案，而這些不法公務員多是因為詐騙集團被查獲後，辦案檢警人員逆查詐騙集團擁有的個人資料來源才破獲不法戶政人員、地政人員及警務人員洩漏個人資料的違法情事。

　　因此，筆者建議建議未來在《個人資料保護法》修法中，要求公務機關與特定的非公務機關，增訂查詢紀錄透明條款，明確登錄查詢日期、查詢理由及查詢人員，並賦予當事人查詢紀錄之知情權，方能完善個人資料保護制度，平衡資訊運用與隱私保障。

個人資料保護研究發展委員會 主委 楊白全