已確定刑事案件卷證資料,包含訴訟關係人之特徵,甚或醫療、基因、性生活及犯罪前科等資料,而屬於一般性與敏感性個人資料。經由司法系統之偵查、審理程序,這些個人資料經過系統性處理,而具有易於與其他案件卷證中資料連結的特性,而屬於個人資料檔案。這些資料本身足以識別特定自然人,與其他資料結合後,甚至可能勾勒出資料當事人的生活圖像,是故使用該等個資之行為將對其個人資訊自決權造成干預。 本文以刑事法院為觀察重點,整理法院等司法機關使用已確定案件卷證中個資的行為,並進行分類,發現法院的使用行為往往欠缺適當的授權規範。就整體法律體系而言,關於刑事卷證中資料的規範,應以刑事訴訟法為特別法,以個人資料保護法、法院組織法、政府資訊公開法等作為普通法。然而現行刑事訴訟法對於該等資料使用幾無規範,普通法位階之一般性規範則較寬泛,而留下過多解釋空間。 本文觀察到此問題,並比較歐盟一般性資料保護規範(GDPR)、EU Directive 2016/680,以及德國刑事訴訟法、聯邦資料保護法、法院組織法施行法等相關條文後提出解決方案:在現行法下,司法機關得在其使用個資之決定中加入資料保護影響評估(DPIA)之架構,以符合個資保護之透明性原則,亦有助於事後司法審查;在立法構想上,則得以德國刑事訴訟法第八編為借鏡,考慮於我國刑事訴訟法增訂第十編,令刑事卷證使用得以依循明確的特別授權規範,並加入配套保護措施,使個資保護法律體系更加完備。