我們今天來看一下跟特種個資有關的小案件。

2021年8月5日，奧地利法院作出決議，由於被告M先生未經原告S小姐的同意，將M小姐的病歷寄給M小姐工作的單位，違反GDPR第9條規定，針對特種個資(Sensitive Data)的處理或利用需經過當事人同事，因此開出一張600歐元的罰單。

在本案裡面，M先生因為跟S小姐的私人爭議，把跟S小姐其他的爭議案件中取得的病歷資料，寄給S小姐工作的單位，使得S小姐的隱私因而曝光。這事似乎在我們日常生活中屢見不鮮，那麼，我們可以主張甚麼樣的個資權利保護嗎？

‧甚麼是特種個資？我可以蒐集、處理跟利用它嗎？
首先問問各位受過充足個資保護與資安訓練的朋友們：甚麼是特種個資？
通常大家都可以很快地回答出來：病歷、醫療、基因、性生活、健康檢查及犯罪前科。
再問：特種個資跟一般個資有甚麼不同？
通常會很快地回答：要蒐集要經過特別書面同意或者法令有規定。

…鳩都嘛得！我國個資法第六條第一項前段是這樣寫的：
有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得蒐集、處理或利用。 …
原則不能蒐集，書面同意、法令規定都是例外喔！

‧那GDPR定義的敏感性個人資料跟我國的特種個資有甚麼不同？
我國個資法第6條定義的特種個資包含：病歷、醫療、基因、性生活、健康檢查及犯罪前科。
GDPR所定義之Sensitive Data(=我國的特種個資)，則是任何得以揭露種族、政治理念、宗教信仰、工會會籍、健康或性生活、性取向、基因資料或生物統計資料等因子，原則上也是禁止蒐集、處理或利用，只有在符合特定法定情形的狀況下，才可使用。
其實GDPR的寫法較寬，有關宗教、政治傾向跟性取向(以及可能可以直接間接判讀出相關取向的資料)都算是特種個資，原則禁止/例外(例如明確書面同意、法令規定等)才能蒐集。

‧惡意散布特種個資或一般個資在法律上的評價有甚麼不同嗎？
其實洩漏或不當使用個資，不管是哪種個資，都是違法行為。但法院在考量罰鍰或者處罰輕重的時候會視行為內容、影響、可能造成的損害、洩漏的資料酌情考量。也不要忘記，惡意散佈或洩漏個資，除了違反個資保護相關法令，也可能違反其他的法規喔！例如以本案為例，他可能還會有誹謗及公共侮辱的罪嫌的爭議。

那麼這個小案件分享如上，我們明天來看一個”大一點”的案件！

判決全文
5 August 2021 (Verfahrenszahl: DSB-D550.214)
https://www.ris.bka.gv.at/Dokumente/Dsk/DSBT_20210805_2021_0_518_795_00/DSBT_20210805_2021_0_518_795_00.html