已確定刑事案件卷證資料，包含訴訟關係人之特徵，甚或醫療、基因、性生活及犯罪前科等資料，而屬於一般性與敏感性個人資料。經由司法系統之偵查、審理程序，這些個人資料經過系統性處理，而具有易於與其他案件卷證中資料連結的特性，而屬於個人資料檔案。這些資料本身足以識別特定自然人，與其他資料結合後，甚至可能勾勒出資料當事人的生活圖像，是故使用該等個資之行為將對其個人資訊自決權造成干預。 本文以刑事法院為觀察重點，整理法院等司法機關使用已確定案件卷證中個資的行為，並進行分類，發現法院的使用行為往往欠缺適當的授權規範。就整體法律體系而言，關於刑事卷證中資料的規範，應以刑事訴訟法為特別法，以個人資料保護法、法院組織法、政府資訊公開法等作為普通法。然而現行刑事訴訟法對於該等資料使用幾無規範，普通法位階之一般性規範則較寬泛，而留下過多解釋空間。 本文觀察到此問題，並比較歐盟一般性資料保護規範(GDPR)、EU Directive 2016/680，以及德國刑事訴訟法、聯邦資料保護法、法院組織法施行法等相關條文後提出解決方案：在現行法下，司法機關得在其使用個資之決定中加入資料保護影響評估(DPIA)之架構，以符合個資保護之透明性原則，亦有助於事後司法審查；在立法構想上，則得以德國刑事訴訟法第八編為借鏡，考慮於我國刑事訴訟法增訂第十編，令刑事卷證使用得以依循明確的特別授權規範，並加入配套保護措施，使個資保護法律體系更加完備。