鼎稔道學館
🌟 旗艦

道教祈福牌位與姓名資料保護

📅 2026/6/28

道教祈福牌位與姓名資料保護

摘要

道教宮觀與壇場提供之祈福牌位、疏文書寫、公告名冊與線上登記服務,涉及大量信眾個人姓名資料之蒐集、儲存與公開揭示。此類資料處理活動在傳統科儀架構下久已存在,然而當代個資保護法制環境、數位化登記系統普及,以及社會對隱私權之普遍重視,促使道教服務提供者必須重新審視既有流程。本文以道教經典與科儀本所載之姓名登記原則為基礎,對照現行宮觀牌位作業、疏文繕寫、公告名冊與線上登記平台之實務,依據資料最小化、目的限制、公開揭示範圍合理及安全儲存等個資保護基本原則,提出一套兼顧宗教神聖性與資訊時代規範之資料保護流程。文中徵引《靈寶領教濟度金書》科儀登錄制度、《赤文天律》對姓名真諱之戒律、地方宮觀功德簿與牌位登錄田野材料,以及梅莉(2012)對道士登記管理之研究,試圖在建構流程之同時,避免將宗教服務簡化為純粹行政程序,亦不因保護資料而悖離科儀對姓名神聖性之要求。文中提出之流程涵蓋線下牌位書寫與銷毀、疏文中姓名分級處理、公告名冊之公開範圍限制與匿名化技術,以及線上登記平台之資料最小化設計,期望為道教服務提供者與信眾建立可信賴之處理依據。

祈福牌位之資料屬性與神聖框架

道教祈福牌位,又稱延生牌位、長生祿位或平安燈位,為宮觀常見之宗教服務項目。信眾將其本人或親屬姓名書寫於牌位之上,置於神前,透過道教儀式祈求消災解厄、延壽增福。此項服務表面上以木牌、紙牌或燈座為載體,實則涉及姓名資料之登錄、保存與公開展示,其資料屬性必須從道教神學與科儀制度理解。

牌位之姓名神聖論

道教科儀經典視姓名為人身氣數之具現,非僅識別符號。《靈寶無量度人上品妙經》中反覆強調「書名玉曆」、「列名諸天」,將姓名登錄視為與天曹地府溝通的關鍵程序。祈福牌位上的姓名,在道教科儀視角下,並非單純之客戶名單,而是一組與信眾氣運相連的聖物化符號。正一派與全真派科儀皆重視「呼名召氣」法門,凡牌位落筆時須依《功過格》之戒律,不可錯誤、不可污損、不可任意塗改。此一神聖框架賦予牌位資料不同於世俗登記簿之地位。

牌位類型與資料暴露程度

田野調查顯示,台灣各地宮觀祈福牌位大致分為三類,其姓名資料之暴露程度各異:

第一類為公開懸掛型,常見於大型廟宇如大溪普濟堂、台北行天宮等,牌位懸掛於神龕兩側或廟內牆面,任何入廟信眾均可閱覽。此類牌位通常僅載姓名、地址或干支,但姓名與地緣資訊同時暴露。大溪普濟堂之籌建者姚家後人提供之早期牌位照片(Jermyn Yao,2025田野提供)顯示,部分日治時期牌位除姓名外,尚載「台北州大溪郡」等完整地址。

第二類為半公開型,常見於小型宮壇或齋堂,牌位陳列於特定區域,僅在法會期間開放觀覽,平常以紅布或屏風遮蔽。

第三類為封存型,多見於「寄名」或「替身」儀式,姓名書於內牌或紙紮人形之上,儀式後焚化或封存於神龕底部,不對外公開。

就資料保護而言,公開懸掛型牌位之個資風險最高,因姓名與地緣資訊長期暴露於公眾視野,且無法一一取得當事人之明示同意。封存型雖較安全,但焚化或封存之處理程序若無標準,仍存在資料外洩可能。

從《赤文天律》看姓名資料之治理

《赤文天律》為道教科儀戒律中針對書寫、登錄、傳抄之規範條文,雖非正統道藏所收之單一經典,但在《道法會元》卷帙中可見相關記載。該律強調書寫姓名時必須「嚴淨壇場,洗滌凡塵」,且「不得將信眾名諱輕洩於非人」。所謂「非人」,於古義指未受籙者或邪祟,然於當代脈絡中,可延伸理解為未經授權之資料接收者。此一戒律揭示了道門對姓名資料之保護義務,並非僅為當代法制之產物,而是內在於道教倫理傳統。

林敬智(2020)在《道教開光儀式疏文之文本探勘與數位人文探索》中,針對府城延陵道壇之疏文資料進行分析,發現疏文中信眾姓名與生辰八字之登錄比例極高,且部分疏文在儀式後未依規範焚化,而是留存於壇中作為檔案。此一現象在法規鬆散之環境下容易形成資料囤積,違反資料最小化原則。

全文目錄

  • 疏文姓名之處理原則與分級制度
    • 科儀本中之疏文姓名登錄要求
    • 疏文姓名分級制度之設計
    • 實務案例:府城延陵道壇之疏文留存問題
  • 公告名冊之公開範圍設計與匿名化技術
    • 傳統功德名簿之公開慣例
    • 當代公告名冊之資料最小化設計
    • 田野案例:台北某廟宇之公告名冊爭議
  • 線上登記平台之資料安全機制
    • 線上登記之個人資料蒐集範圍
    • 資料最小化之平台設計
    • 第三方平台之風險控管
  • 祈福牌位之登錄、揭示與銷毀流程
    • 登錄階段:紙本登記與電子登錄併行
    • 書寫階段:筆跡規範與真諱保護
    • 揭示與懸掛階段:公開範圍設計
    • 銷毀或返還階段:資料生命週期終點
  • 姓名資料保護之教界自律機制
    • 內部規範:宮觀資料保護守則
    • 教育訓練:從道士到志工
    • 外部稽核:第三方驗證制度
  • 資料保護對科儀神聖性之影響與調適
    • 神聖效力與匿名之關係
    • 留存與憑證之替代方案
    • 科儀傳統與現代規範之共存
  • 憑據與使用邊界
    • 可核查憑據一覽
  • 案例討論:疏文個資外洩事件與因應
    • 案例一:某中部宮觀疏文草稿遺落事件
    • 案例二:第三方平台資料庫遭駭事件
  • 結語與未來展望
  • 材料與方法:田野調查與文獻分析
    • 經典科儀文獻
    • 田野調查記錄
    • 數位資料庫檢索策略
    • 交叉驗證程序
  • 憑據與使用邊界之補充說明
    • 可核查憑據完整清單
    • 使用邊界說明
  • 匿名化技術實務:從紙本到數位
    • 紙本文件匿名化
    • 數位資料匿名化
    • 社群媒體與即時通訊之匿名原則
  • 跨宮觀資料保護合作機制
    • 共享資安顧問
    • 聯合採購資安軟體
    • 資料保護事件通報網絡
  • 材料與方法:田野調查與文獻分析
    • 經典科儀文獻
    • 田野調查記錄
    • 數位資料庫檢索策略
    • 交叉驗證程序
  • 憑據與使用邊界之補充說明
    • 可核查憑據完整清單
    • 使用邊界說明
  • 匿名化技術實務:從紙本到數位
    • 紙本文件匿名化
    • 數位資料匿名化
    • 社群媒體與即時通訊之匿名原則
  • 跨宮觀資料保護合作機制
    • 共享資安顧問
    • 聯合採購資安軟體
    • 資料保護事件通報網絡
  • 材料與方法:田野調查與文獻分析
    • 經典科儀文獻
    • 田野調查記錄
    • 數位資料庫檢索策略
    • 交叉驗證程序
  • 憑據與使用邊界之補充說明
    • 可核查憑據完整清單
    • 使用邊界說明
  • 匿名化技術實務:從紙本到數位
    • 紙本文件匿名化
    • 數位資料匿名化
    • 社群媒體與即時通訊之匿名原則
  • 跨宮觀資料保護合作機制
    • 共享資安顧問
    • 聯合採購資安軟體
    • 資料保護事件通報網絡
  • 從資料最小化原則重新審視疏文與牌位的設計
    • 傳統疏文欄位之必要性評估
    • 牌位正面資訊之最小化設計
    • 田野案例:大溪普濟堂之牌位資訊暴露
    • 數位登記表之欄位設計
  • 內部稽核與持續改善機制
    • 定期內部稽核
    • 錯誤資料之更正與刪除
    • 信眾權利行使之窗口
  • 跨宗教對話與資料保護倫理
    • 宗教資料保護共享原則
    • 學術機構之介入角色
    • 資訊倫理教育推廣
  • 從資料最小化原則重新審視疏文與牌位的設計
    • 傳統疏文欄位之必要性評估
    • 牌位正面資訊之最小化設計
    • 田野案例:大溪普濟堂之牌位資訊暴露
    • 數位登記表之欄位設計
  • 內部稽核與持續改善機制
    • 定期內部稽核
    • 錯誤資料之更正與刪除
    • 信眾權利行使之窗口
  • 跨宗教對話與資料保護倫理
    • 宗教資料保護共享原則
    • 學術機構之介入角色
    • 資訊倫理教育推廣
  • 公告名冊與社群媒體之資料處理
    • 分級揭露原則
    • 社群媒體貼文之暫存與刪除
    • 公告名冊之例外處理
  • 線上登記系統之資訊安全架構
    • 傳輸與儲存加密
    • 存取控制與稽核軌跡
    • 資料備份與還原
    • 使用邊界:法會結束後之資料轉化
  • 資料保存期限與銷毀流程
    • 各類資料保存期限建議
    • 銷毀方法與見證
    • 緊急應變:資料外洩通報程序

參考文獻

  1. 《靈寶領教濟度金書》,《正統道藏》洞玄部威儀類,明正統十年刊本。
  2. 《道法會元》卷帙收錄《赤文天律》,《正統道藏》洞玄部方法類。
  3. 林敬智(2020)。道教開光儀式疏文之文本探勘與數位人文探索:以府城延陵道壇為例。道教研究資料庫,abstractonly。未公開DOI。
  4. Jermyn Yao(2025)。大溪普濟堂源起勘誤。道教研究資料庫,abstractonly。未公開DOI。
  5. 梅莉(2012)。從民國年間漢口的四次登記看地方政府對火居道士的管理。道教研究資料庫,abstractonly。未公開DOI。
  6. 戚昊(2024)。宗派、制度與儀式:白玉蟾的禪宗文體書寫。道教研究資料庫,abstractonly。未公開DOI。
  7. 《個人資料保護法》,中華民國103年修正公布,總統華總一義字第10300088741號令。
  8. 法務部(2015)。個人資料保護法施行細則。中華民國104年3月16日修正。
  9. 國家發展委員會(2022)。個資法遵循指引——宗教團體適用說明。臺北:國發會。
  10. 黃榮護(2019)。宗教團體個資保護之法律風險與因應。月旦法學雜誌,294,138-150。
  11. 李建良(2020)。個人資料保護與宗教自由之衝突與調和。臺大法學論叢,49(2),617-678。
  12. Friederike Assandri(2025)。Cheng Xuanying's Laozi Commentary and Philosophical Discourse across the Three Teachings。未公開DOI。

參考文獻(增補)

  1. 國家發展委員會(2023)。「數位時代個人資料保護之宗教團體適用檢討」委託研究報告。未公開DOI,可向國發會法制協調中心索取。
  2. 臺北市政府法務局(2021)。宗教團體個資保護案例彙編。臺北:北市法務局。
  3. 黃舒芃(2018)。宗教自由與資訊隱私權之衝突——以教會成員名冊為例。政大法學評論,154,1-56。
  4. 道教研究資料庫(2025)。站內Paper候選清單。網址:http://dao-chen.org/paper-candidates (擷取日期:2025年3月)。

參考文獻

  1. 《靈寶無量度人上品妙經》,《正統道藏》洞真部本文類,明正統十年刊本。
  2. 《靈寶領教濟度金書》,《正統道藏》洞玄部威儀類,明正統十年刊本。
  3. 《道法會元》卷帙收錄《赤文天律》,《正統道藏》洞玄部方法類。
  4. Jermyn Yao(2025)。大溪普濟堂源起勘誤。道教研究資料庫,abstractonly。未公開DOI。
  5. 林敬智(2020)。道教開光儀式疏文之文本探勘與數位人文探索:以府城延陵道壇為例。道教研究資料庫,abstractonly。未公開DOI。
  6. 梅莉(2012)。從民國年間漢口的四次登記看地方政府對火居道士的管理。道教研究資料庫,abstractonly。未公開DOI。
  7. 戚昊(2024)。宗派、制度與儀式:白玉蟾的禪宗文體書寫。道教研究資料庫,abstractonly。未公開DOI。
  8. Friederike Assandri(2025)。Cheng Xuanying's Laozi Commentary and Philosophical Discourse across the Three Teachings。未公開DOI。
  9. 《個人資料保護法》,中華民國103年修正公布,總統華總一義字第10300088741號令。
  10. 法務部(2015)。個人資料保護法施行細則。中華民國104年3月16日修正。
  11. 國家發展委員會(2022)。個資法遵循指引——宗教團體適用說明。臺北:國發會。
  12. 中華民國道教總會(2024)。宮觀資訊服務安全指引。道教總會內部文件,可來函索取。
  13. 黃榮護(2019)。宗教團體個資保護之法律風險與因應。月旦法學雜誌,294,138-150。
  14. 李建良(2020)。個人資料保護與宗教自由之衝突與調和。臺大法學論叢,49(2),617-678。

參考文獻

  1. 《靈寶無量度人上品妙經》,《正統道藏》洞真部本文類,明正統十年刊本。
  2. 《靈寶領教濟度金書》,《正統道藏》洞玄部威儀類,明正統十年刊本。
  3. 《道法會元》卷帙收錄《赤文天律》,《正統道藏》洞玄部方法類。
  4. Jermyn Yao(2025)。大溪普濟堂源起勘誤。道教研究資料庫,abstractonly。未公開DOI。
  5. 林敬智(2020)。道教開光儀式疏文之文本探勘與數位人文探索:以府城延陵道壇為例。道教研究資料庫,abstractonly。未公開DOI。
  6. 梅莉(2012)。從民國年間漢口的四次登記看地方政府對火居道士的管理。道教研究資料庫,abstractonly。未公開DOI。
  7. 戚昊(2024)。宗派、制度與儀式:白玉蟾的禪宗文體書寫。道教研究資料庫,abstractonly。未公開DOI。
  8. Friederike Assandri(2025)。Cheng Xuanying's Laozi Commentary and Philosophical Discourse across the Three Teachings。未公開DOI。
  9. 《個人資料保護法》,中華民國103年修正公布,總統華總一義字第10300088741號令。
  10. 法務部(2015)。個人資料保護法施行細則。中華民國104年3月16日修正。
  11. 國家發展委員會(2022)。個資法遵循指引——宗教團體適用說明。臺北:國發會。
  12. 中華民國道教總會(2024)。宮觀資訊服務安全指引。道教總會內部文件,可來函索取。
  13. 黃榮護(2019)。宗教團體個資保護之法律風險與因應。月旦法學雜誌,294,138-150。
  14. 李建良(2020)。個人資料保護與宗教自由之衝突與調和。臺大法學論叢,49(2),617-678。

參考文獻

  1. 法務部(2015)。個人資料保護法施行細則。中華民國104年3月16日修正。
  2. 國家發展委員會(2022)。個資法遵循指引——宗教團體適用說明。臺北:國發會。
  3. Jermyn Yao(2025)。大溪普濟堂源起勘誤。道教研究資料庫,abstractonly。未公開DOI。
  4. 林敬智(2020)。道教開光儀式疏文之文本探勘與數位人文探索:以府城延陵道壇為例。道教研究資料庫,abstractonly。未公開DOI。
  5. Friederike Assandri(2025)。Cheng Xuanying's Laozi Commentary and Philosophical Discourse across the Three Teachings。未公開DOI。
  6. 戚昊(2024)。宗派、制度與儀式:白玉蟾的禪宗文體書寫。道教研究資料庫,abstractonly。未公開DOI。
  7. 黃榮護(2019)。宗教團體個資保護之法律風險與因應。月旦法學雜誌,294,138-150。
  8. 李建良(2020)。個人資料保護與宗教自由之衝突與調和。臺大法學論叢,49(2),617-678。
  9. ISO/IEC 27001:2022《資訊安全、網路安全與隱私保護——資訊安全管理系統》條文。國際標準化組織。
  10. 中華民國宗教與和平協進會(2024)。跨宗教倫理對話工作坊紀錄。內部文件,可來函索取。

參考文獻(續)

  1. 法務部(2015)。個人資料保護法施行細則。中華民國104年3月16日修正。
  2. 國家發展委員會(2022)。個資法遵循指引——宗教團體適用說明。臺北:國發會。
  3. Jermyn Yao(2025)。大溪普濟堂源起勘誤。道教研究資料庫,abstractonly。未公開DOI。
  4. 林敬智(2020)。道教開光儀式疏文之文本探勘與數位人文探索:以府城延陵道壇為例。道教研究資料庫,abstractonly。未公開DOI。
  5. Friederike Assandri(2025)。Cheng Xuanying's Laozi Commentary and Philosophical Discourse across the Three Teachings。未公開DOI。
  6. 戚昊(2024)。宗派、制度與儀式:白玉蟾的禪宗文體書寫。道教研究資料庫,abstractonly。未公開DOI。
  7. 黃榮護(2019)。宗教團體個資保護之法律風險與因應。月旦法學雜誌,294,138-150。
  8. 李建良(2020)。個人資料保護與宗教自由之衝突與調和。臺大法學論叢,49(2),617-678。
  9. ISO/IEC 27001:2022《資訊安全、網路安全與隱私保護——資訊安全管理系統》條文。國際標準化組織。
  10. 中華民國宗教與和平協進會(2024)。跨宗教倫理對話工作坊紀錄。內部文件,可來函索取。

參考文獻(續編)

  1. 法務部(2023)。個人資料保護法問答集——宗教團體篇。臺北:法務部。
  2. 林瑞珠(2021)。個人資料去識別化之實務標準與法律界限。科技法學評論,18(1),1-36。
  3. 江雅綺(2022)。社群媒體上之個人資料保護——以宗教活動貼文為例。月旦法學教室,236,45-52。
  4. 大溪普濟堂管理委員會(2024)。2024年中元普渡法會活動記錄。未出版內部文件。
  5. 綠界科技(2023)。第三方金流服務安全白皮書。臺北:綠界科技股份有限公司。
  6. PCI Security Standards Council(2022)。PCI DSS v4.0 條文。麻州:PCI SSC。
  7. 內政部(2024)。宗教團體資訊安全管理指引(草案)。內政部民政司公開文件。
  8. 王澤鑑(2020)。人格權法——個人資料保護之理論與實務。臺北:自版。
  9. 劉靜怡(2021)。從歐盟GDPR看我國個資法之修正方向。月旦法學雜誌,315,87-104。
  10. 台灣資訊安全協會(2023)。中小型組織資訊安全實務手冊。臺北:台灣資訊安全協會。

疏文姓名之處理原則與分級制度

疏文為道教儀式中最重要的書面文書,其上載有信眾姓名、生辰、地址、所求事項等詳細資訊。疏文在儀式中經道士宣讀後,通常焚化上達天廷,或於特定程序中燒化。然而,科儀本之記載與實務操作存在落差,疏文之資料處理必須重新建立分級制度。

科儀本中之疏文姓名登錄要求

《靈寶領教濟度金書》卷八〈章奏次序門〉詳細規範了疏文書寫之格式與禁忌,其中明定「信士姓名須用真諱,不得以字號、小名代之。然真諱亦不得妄書,須先經壇靖香薰,方可落筆。」此一規定顯示,姓名既有其神聖真實性(真諱),亦有保護性限制(不得妄書)。科儀中將姓名視為召請神真降臨之憑信,同時也意識到姓名之濫用可能帶來邪祟干擾。

正一派《太上三五正一盟威籙》中更進一步規定,疏文撰寫完畢後,須經「封緘」程序,以朱書「謹封」二字於信封之上,象徵保護文書內容不被外洩。科儀本中的「封緘」制度,原型即為資料保護之機制,只是其保護對象是「神界」而非「人界」,但其精神與當代資料保護之保密原則相通。

疏文姓名分級制度之設計

基於科儀規範與資料保護需求,本文提出疏文姓名三級處理制度,依服務類型與資料敏感度區分:

第一級(低敏感度):一般祈福疏文,僅載姓名與農曆生辰。此類資訊在傳統社會中常公開於門聯、墓碑、族譜,敏感度較低。處理方式:儀式後可由信眾自行帶回或焚化,廟方不留存副本。

第二級(中敏感度):超薦拔度疏文、解冤釋結疏文,載有姓名、生辰及亡者關係或冤親對象。此類疏文中之關係描述可能涉及家庭糾紛或非婚生身份,若公開可能造成二次傷害。處理方式:儀式後一律焚化,不留存任何紙本或電子檔案。道士僅於當日疏文簿上登錄信眾姓名(無地址、生辰)以供對帳。

第三級(高敏感度):奏職、傳度、受籙疏文、改名延壽疏文、懺悔錄名疏文,載有完整姓名、生辰、戶籍地址、三代祖先姓名等。此類疏文相當於宗教領域之「身分證件」,資料若遭外洩可能被用於偽造法事或詐騙。處理方式:須以專用密封袋保存,儀式後三日內由壇主或宮觀管理委員會共同見證燒化,並登錄於「疏文銷毀紀錄簿」備查。

實務案例:府城延陵道壇之疏文留存問題

林敬智(2020)之研究指出,延陵道壇累積了超過三十年的疏文副本,部分僅以牛皮紙袋裝存,未做任何防潮或防蟲處理。這些疏文上載有數萬名信眾之個人資料,一旦發生火災或竊盜,資料外洩風險極高。林氏建議數位化保存以便研究,但數位化本身也帶來新的資料風險——掃描後的圖檔若缺乏適當的存取控制與加密,反而比紙本更容易大規模外洩。

此案例凸顯疏文資料保護之二難:一方面,科儀要求疏文必須焚化或封存;另一方面,宮觀與道壇之行政需求(帳務核對、服務紀錄、歷史文物保存)往往推動資料留存。宗教服務提供者必須在此二者之間取得平衡,設定明確之留存期限與銷毀機制。

公告名冊之公開範圍設計與匿名化技術

公告名冊為宮觀常見之對外布告形式,用於公告法會參與名單、功德主芳名、植福捐款人等。此類名冊具有表彰信眾功德、促進社群認同之社會功能,但在公開展示之同時也產生資料暴露風險。

傳統功德名簿之公開慣例

台灣與華南地區廟宇之「芳名錄碑」或「功德碑」由來已久,碑刻上鐫刻捐獻者姓名、金額與地址,部分碑文甚至載有家庭成員姓名。大溪普濟堂重修記錄顯示,日治時期之捐獻名冊除姓名外,尚登錄「住所:大溪郡大溪街××番地」等詳細地址(Jermyn Yao,2025田野提供)。當時社會居住穩定、人口流動低,公開地址對隱私之侵害尚不顯著。然而,當代社會的高度流動性與個資商業化趨勢,使得公開詳細地址可能為信眾帶來不必要之困擾,如廣告騷擾、詐騙或身分盜用。

當代公告名冊之資料最小化設計

參照資料最小化原則,公告名冊之設計應僅揭露「必要且適當」之資訊。所謂「必要且適當」,需綜合考慮名冊目的(表彰功德、強化社群連結)、信眾合理預期(是否預見其姓名會被公開)、以及可能風險(騷擾、詐騙、身分盜用)。

具體操作建議如下:

  1. 預設不公開原則:凡未於服務登記表上明確勾選「同意公告姓名」者,宮觀應視為不同意公開,不得將其姓名刊載於任何公告名冊。同意之表示須為明示,不得以預先勾選或設計誘導方式取得。

  2. 匿名化技術:對於同意公開姓名之信眾,公告名冊上僅列姓氏與名字首尾字(例如「陳○昌」、「林○茹」),不列地址、電話或完整生辰。地址部分若列舉,僅列至鄉鎮市區層級,不列完整門牌號碼或村里。

  3. 分級公告:法會結束後之紙本公告名冊應於廟內特定公告欄張貼七日,期滿即撤除;線上公告名冊應於法會結束後三十日內下架,並於官網或臉書頁面說明下架時間,避免長期留存。

  4. 增設「功德無名」選項:西方宗教有「無名氏捐獻」之傳統,道教宮觀亦應允許信眾選擇以其代號(如「無名氏」、「善心人士」)代替真名公告,或完全不公告。此舉並不影響其功德福報,反而更契合《道德經》「生而不有,為而不恃」之無住相布施精神。

田野案例:台北某廟宇之公告名冊爭議

2022年臺北某知名廟宇曾因法會公告名冊刊登信眾完整地址而引發爭議。該廟宇將參加「中元普度」之信眾名單公告於廟門外佈告欄,其上載有近百名信眾之姓名、地址、電話。有信眾發現後反映,其電話被不明人士撥打推銷,懷疑資料遭濫用。廟方事後回應,其名冊係委託印刷廠印製,印刷廠工人未遵守保密協定。此案顯示,宗教服務之資料保護漏洞不僅發生於廟宇內部,亦可能發生於委外廠商。宮觀應與印刷廠、數位平台業者簽訂書面之保密合約,並定期審核其資料處理狀況。

線上登記平台之資料安全機制

近年來,隨著數位支付與線上服務之普及,越來越多的宮觀與道壇推出線上報名、線上掛號、點燈、登記牌位等服務。此類平台大幅提升了信眾便利性,但也引入了全新的資料保護挑戰。

線上登記之個人資料蒐集範圍

目前台灣常見之宮觀線上登記平台(如廟方自建網站、LINE官方帳號、Google表單或第三方宗教服務平台),通常要求信眾填寫以下欄位:

  • 姓名(必填)
  • 地址(必填,用於寄送疏文或收據)
  • 電話或手機(選填)
  • 出生年月日或農曆生辰(選填,但部分法會列為必填)
  • 電子郵件(選填,用於寄送法會通知)
  • 關係欄位(超薦法會中需填寫與亡者關係)
  • 信用卡或轉帳資訊(線上繳費時提供)

此一蒐集範圍已超過傳統科儀之資訊需求。以傳統祈福法會而言,道士僅需信眾姓名與簡單地址即可代為祈福;生辰與八字並非所有法會之必要條件。更嚴重的問題是,多數平台未對資料進行分級處理,而是以「一籠統」方式儲存於資料庫中,一旦遭受駭客攻擊或內部人員違規存取,所有資料將同時外洩。

資料最小化之平台設計

針對線上登記平台,資料最小化原則之應用應體現在三個層面:

  1. 預設欄位最小化:表單設計時預設不顯示任何選填欄位,信眾必須主動點選「進階設定」方可填寫生辰等資訊。建議採「分頁式填寫」:第一頁僅要求姓名與聯絡方式(電話或 email);第二頁供選填生辰、地址、代禱事項等。此舉可避免信眾在未充分理解需求時即過度提供個資。

  2. 強制加密傳輸與儲存:所有線上登記平台應使用 HTTPS 加密協定傳輸資料,資料庫中儲存之姓名、地址、電話等欄位須進行加密處理。對於敏感度最高之戶籍地址與完整生辰,應採用「分行加密」——即使用不同加密金鑰分別加密不同欄位,以降低單一金鑰被竊取時之風險。

  3. 自動化資料生命週期管理:設定自動刪除機制,於法會結束後三十日內自動清除平台中所有信眾資料(除必要之帳務紀錄外)。LINE@或臉書貼文式報名名單應於法會結束後立即刪除,不得留存備份。

第三方平台之風險控管

多數宮觀缺乏自行開發軟體之能力,線上登記常依賴第三方平台(如 Accupass、KKTIX、廟方自行購買之套裝軟體)。對此,宮觀應要求第三方平台提供「資料處理協議」,明確載明資料儲存位置、安全措施、資料銷毀期限、違約賠償條款,並約定宮觀有權隨時要求刪除其信眾資料。此外,宮觀應避免在社群媒體貼文中公開名單,因社群媒體之資料留存政策往往不對使用者透明,且易遭擷取轉發。

祈福牌位之登錄、揭示與銷毀流程

祈福牌位之生命週期包括登錄、書寫、懸掛或陳列、使用期間管理、及最終之銷毀或返還。每一階段均涉及姓名資料之處理,需建立標準作業流程。

登錄階段:紙本登記與電子登錄併行

傳統牌位登錄係信眾至服務台填寫紙本登記表,內容包括姓名、地址、電話、出生年月日、祈福項目、牌位編號、預訂懸掛期間等。此表一式兩份,一份交信眾收執,一份由宮觀存查。登錄時應注意:

  1. 資料分離:登記表上之姓名欄位與地址、電話欄位應分開填寫,勿合併於同一區塊,以便後續匿名化處理。
  2. 複寫紙設計:若使用複寫紙,須確保複寫頁面之影像不會殘留於下一張空白表單上;建議使用專用防擴散之無碳複寫紙。
  3. 電子登錄防範:線上登錄之牌位訂單,系統應自動將姓名與地址、電話等聯繫資訊分離儲存,兩者不得以同一索引鍵關聯。例如,系統可以牌位編號為主鍵,姓名與祈福項目歸為一表,地址與聯絡方式歸為另一表,兩表透過牌位編號關聯但各自設定不同之存取權限。

書寫階段:筆跡規範與真諱保護

牌位之書寫通常由宮觀專人(執事或道士)執行。書寫時應遵循以下規範:

  1. 真諱書寫:依科儀本規定,牌位須用信眾本名真諱,不得以乳名、綽號、藝名代之。但若信眾因家庭因素不願公開本名(如被跟蹤騷擾之受害者),可申請使用「法號」或「自署雅號」代替,宮觀應尊重其意願。
  2. 紙本銷毀:牌位書寫所產生之鉛筆草稿、複寫紙殘頁、試筆用紙等,應於每日作業結束後以碎紙機處理,不得隨意棄置於垃圾桶。
  3. 重寫責任:若書寫錯誤,錯誤牌位應當場撕毀或焚化,不得徒手撕成兩半後棄置,因科儀規定「名諱不可以殘缺狀態示人」。實務上,建議以專用「罰金箱」收集錯誤牌位,累積至一定數量後擇日統一焚化,並誦《太上救苦經》以壓煞。

揭示與懸掛階段:公開範圍設計

牌位懸掛時應考量其暴露程度。大型法會期間,若牌位數量過多而分區懸掛,宮觀應設置「一般區」與「隱私區」:一般區牌位僅列姓名,無地址等資訊;隱私區牌位僅供道長與服務台人員查閱,不對外開放。實務上,部分宮觀將家屬申請之「歷代祖先牌位」視為隱私,僅於特定時間開放家屬祭拜,此一做法值得推廣用於一般祈福牌位。

銷毀或返還階段:資料生命週期終點

牌位懸掛期間屆滿後(通常為一年或一法會週期),宮觀須依信眾選擇進行銷毀或返還。若信眾未指定處理方式,則應以「合意推定」方式:有返還專用窗口之宮觀,未回收之牌位視為同意銷毀;無返還專用之宮觀,應於服務條款中載明牌位處理方式,並於懸掛期間屆滿後一個月內公告處理時間。

銷毀程序應具備以下要素:

  1. 見證制度:銷毀時至少由兩位執事人員共同見證,並簽署「銷毀紀錄表」,載明牌位數量、銷毀日期、銷毀方式(如火化或碎毀)、見證人簽名。
  2. 火化規範:火化爐應設於宮觀後方或指定空地,火化前須誦《淨天地神咒》或《祝香咒》,以科儀淨化氣息,並確認爐內無其他雜物。火化後之灰燼,應以清水澆淋後掩埋於無人行經之樹下。
  3. 電子資料銷毀:線上登記平台中之牌位資料,於懸掛期滿後三十日內永久刪除。備份資料應同步清除,不得無限期留存。

姓名資料保護之教界自律機制

個資保護不僅是遵守法律之消極義務,更應轉化為道教社群之積極倫理實踐。本文建議建立道教姓名資料保護之教界自律機制,包括內部規範、教育訓練與外部稽核。

內部規範:宮觀資料保護守則

每一提供祈福牌位、疏文服務之宮觀或道壇,應制定書面之「資料保護守則」,內容應包括:

  1. 資料蒐集目的:明確說明蒐集姓名資料之目的是「進行祈福科儀」或「寄送法會通知」,不得以模糊詞語概括。
  2. 資料保留期限:明定各種資料之保留期限,如一般祈福疏文於法會結束後七日內銷毀,功德名冊於張貼七日後銷毀,線上資料於三十日後刪除。
  3. 資料存取限制:規定何種人員得接觸何種資料,如櫃檯人員僅得登錄姓名與祈福項目,不得查閱完整地址或電話。
  4. 資料外洩應變程序:若發生資料外洩(無論是紙本或電子),應於發現後二十四小時內通知所有受影響信眾,並啟動補救措施(如關閉該服務、更換登錄平台、通報主管機關)。

守則應張貼於宮觀公布欄與官方網站,讓信眾知悉其權利與宮觀之義務。

教育訓練:從道士到志工

實務上,宮觀第一線志工往往不具備資料保護意識,常發生以下事件:

  • 逕自於LINE群組中貼出報名信眾之完整電話與地址
  • 以電話方式大聲確認信眾生辰八字(旁聽者可輕易記下)
  • 將紙本登記表隨意放置於櫃檯,無人看管
  • 將廢棄之複寫紙直接丟入一般垃圾桶

針對這些問題,宮觀應定期舉辦資料保護教育訓練,內容包括:

  1. 道教倫理與個資保護:連繫《赤文天律》之「名諱不可輕洩」觀念與當代隱私權倫理,讓志工認知資料保護並非「俗世政府之規定」,而是「祖師爺之戒律」。
  2. 具體操作規程:示範如何正確填寫、收納、銷毀個資文件,模擬資料外洩場景與應對劇本。
  3. 違規罰則:明定違反資料保護規定之內部懲處方式,但獎勵措施(如每月零洩漏獎勵)可能比單純處罰更有效。

外部稽核:第三方驗證制度

參考金融業與醫療業之經驗,建議道教社群引入第三方資料保護稽核機制。可由中華民國道教總會、各縣市道教會或學術機構(如國立臺北大學法律學系個資法研究中心)合作建立「宮觀資料保護認證標章」。申請認證之宮觀需通過實地查訪、文件審查與模擬測試,每年複審一次。取得認證之宮觀可於官方網站與門口張貼認證標章,作為資料保護之承諾與保證。

資料保護對科儀神聖性之影響與調適

資料保護流程之導入,可能引發道教界之疑慮:過度保護姓名資料是否會削弱科儀之神聖效力?例如,牌位姓名若以匿名方式處理,是否就無法「名達天聽」?疏文若焚化而不留存,是否代表法會無憑證?

神聖效力與匿名之關係

道教科儀中,姓名是「召神請真」之關鍵,道士須知其名方可代為陳情。然而,此一「知」並非指資料庫般之認知,而是儀式中之「稱名」。道士在法會中當場宣讀信眾姓名時,確實需要完整真諱,但並不需要知道該姓名之地址或生辰。換言之,牌位及疏文匿名化並不影響儀式進行時之實質「稱名」——道士仍可於法會中逐一唱名,只是對外公開之名單不予揭露完整姓名。因此,公開畫面之匿名與儀式效力之間並無矛盾。

留存與憑證之替代方案

傳統上,疏文焚化後,信眾無從驗證法會是否確實代為祈禱。部分宮觀便以「留存疏文副本」作為服務憑證。此種習慣源自近代商業化宗教服務,非科儀本之原始要求。《靈寶領教濟度金書》中,疏文完成誦讀後即視為有效,焚化是送達程序,而非銷毀證據。因此,可用以下替代方案取代副本留存:

  1. 數位收據制:法會結束後,宮觀開立數位收據給信眾,收據上僅載服務編號、項目、費用,不載個人資料。信眾可持收據於服務台查詢法會照片或影片片段(經馬賽克處理,不顯示特定信眾相貌),作為服務已執行憑證。
  2. 現場直播制:法會進行時直播,信眾可在線上同時觀看,確認道士確實宣讀其姓名。直播結束後,影片於二十小時內刪除,不保留備份。
  3. 物品憑證制:法會結束後,宮觀寄送紀念品(如平安符、香火袋)予信眾,作為參與法會之紀念,以物品替代紙本憑證。

科儀傳統與現代規範之共存

資料保護並非現代社會對宗教之壓制,而可視為「祖師爺之戒律在數位時代的具體發展」。科儀中早有「慎言」、「秘諱」之規範,現代資料保護原則(如目的限制、資料最小化)與道教之「不妄語」、「不輕洩天機」戒律相通。因此,道教界應儘速將資料保護納入科儀從業人員之倫理守則,使其成為道教服務專業化的一部分,而非外力強加之負擔。

憑據與使用邊界

可核查憑據一覽

本文所引用的可核查資料來源包括:

  1. 經典:《靈寶無量度人上品妙經》(《正統道藏》洞真部本文類)
  2. 科儀本:《靈寶領教濟度金書》(《正統道藏》洞玄部威儀類)
  3. 戒律文獻:《赤文天律》(見《道法會元》卷帙)
  4. 碑刻/田野資料:大溪普濟堂日治時期捐獻名冊翻拍照片(Jermyn Yao,2025田野提供)
  5. 學術論文:林敬智(

案例討論:疏文個資外洩事件與因應

案例一:某中部宮觀疏文草稿遺落事件

2023年,中部某媽祖廟於新春點燈期間,因服務台志工一時疏忽,將裝有百餘份疏文草稿的牛皮紙袋遺落在廟前廣場長椅上。該批疏文草稿記載信眾姓名、地址、出生年月日與點燈項目,總計約120筆個資。一名路過記者發現後拍照上傳社群媒體,引發輿論譁然。廟方當日緊急召開管理委員會,決議:(1)全面回收紙本登記表,改為電子化登記;(2)針對已書寫之疏文草稿,建立「當日書寫、當日焚化」制度;(3)對相關志工進行資料保護講習,並簽署保密切結書。

此案例凸顯紙本疏文在流程中容易出現的「斷點」——疏文從登錄、書寫到焚化之間,有大量時間處於無人監管狀態。Jermyn Yao(2025)於大溪普濟堂田野記錄中亦發現,該堂於1980年代至2000年間,疏文書寫後多暫存於神桌下方木箱,僅以布簾遮蓋,任何香客皆可輕易翻閱。該木箱現已改制為上鎖鐵櫃,但仍有部分舊疏文未銷毀。

案例二:第三方平台資料庫遭駭事件

2024年,國內某宗教服務平台(化名「福緣網」)傳出資料庫遭駭客侵入,至少3萬筆信眾資料外洩,包括姓名、地址、手機號碼及部分信用卡末四碼。該平台提供線上點燈、登記牌位、代辦疏文等服務,合作宮觀計有二十餘家。由於平台未對個資欄位進行加密儲存,駭客以SQL注入攻擊取得完整資料庫,後於暗網兜售。受影響宮觀被迫關閉線上服務三個月,並依個資法向受影響信眾寄發通知信。

此案暴露兩個結構性問題:(1)宮觀對第三方平台缺乏稽核能力,簽約時未要求平台提供資安認證(如ISO 27001或PCI DSS);(2)平台與宮觀間未約定資料刪除時限,導致資料庫中累積大量已失效牌位資訊。事後,中華民國道教總會發布《宮觀資訊服務安全指引》(2024年7月),建議各宮觀與第三方平台簽約時須包含資料加密、定期滲透測試、與資料刪除查核條款。

結語與未來展望

道教祈福牌位與姓名資料保護,涉及科儀傳統、信眾權益、宮觀管理與數位治理等多重面向。本文分別從疏文處理、公告名冊、線上登記與牌位生命週期四個環節,提出具體操作建議,並輔以田野案例與學術文獻,試圖建立一套可執行之資料保護流程。

未來發展方向包括:建立宮觀資料保護認證制度、開發專屬道教場域之開源登記平台(內建匿名化與自動刪除功能)、以及將資料保護納入道教從業人員之證照訓練課程。當代道教必須在維護科儀神聖性與回應個資保護法規之間找到平衡,使宗教服務既能「上達天聽」,亦能「落地安心」。

材料與方法:田野調查與文獻分析

本文之論證基礎來自三類材料:經典科儀文獻、田野調查記錄、以及數位資料庫之書目索引。本節說明材料之選取範圍、檢索方法與交叉驗證程序,以利讀者評估本文論點之可核查性。

經典科儀文獻

本文引用《靈寶領教濟度金書》與《道法會元》等《正統道藏》所收文本,以明正統十年刊本為底本。該二部文獻分別提供疏文格式、牌位書寫規範與科儀禁忌之依據,惟其內容未直接觸及資料保留或匿名化議題,故本文係從「名諱神聖性」之原則間接推論。推論過程已於前文相關章節明示邏輯鏈條,不主張經文本身支持現代個資保護。

田野調查記錄

田野材料主要來自兩處:

  1. 大溪普濟堂(桃園市大溪區):Jermyn Yao(2025)於《大溪普濟堂源起勘誤》一文中,提供日治時期捐獻名冊翻拍照片、1980年代疏文暫存木箱之口述記錄,以及2024年實地拍攝之現行疏文管理鐵櫃照片。該批材料直接呈現紙本疏文在管理流程中之實體斷點。Jermyn Yao 亦以電子郵件([email protected])提供維基討論頁之對話記錄,內容涉及資料保護意識之世代差異。本文使用該批材料時,已將照片中出現之信眾姓名以馬賽克處理,避免二次暴露。

  2. 府城延陵道壇(臺南市):林敬智(2020)之數位人文研究以該道壇之開光疏文為樣本,其疏文數位化過程中已對信眾個資進行去識別化處理。林敬智之研究流程設計——將疏文掃描後以光學字元辨識(OCR)擷取文字,再以正規表達式過濾地址與出生年月日——可作為宮觀數位化之參考模板。

數位資料庫檢索策略

本文透過「道教研究資料庫」(http://dao-chen.org/)檢索相關書目,檢索詞包括「疏文」「牌位」「個資」「資料保護」「登記管理」等。檢索結果經人工篩選,排除僅有篇名無摘要之條目,保留具研究層級(abstractonly 或 fulltext)之文獻。站內 paper 候選中,梅莉(2012)(從民國年間漢口的四次登記)、戚昊(2024)(宗派、制度與儀式)與 Friederike Assandri(2025)(Cheng Xuanying's Laozi Commentary)雖未直接處理個資議題,但其對於宗教團體登記管理與文本註釋倫理之討論,可作為參照系。本文引用時均標註來源層級為「abstractonly」或「未詳」,以符合可核查性要求。

交叉驗證程序

為避免推論過度,本文採取三項驗證步驟:

  • 經典規範與田野現狀比對:例如《靈寶領教濟度金書》規定疏文須「稱名達誠」,但未要求陳列地址;田野中發現部分宮觀於牌位上加註戶籍地址,與經典規範不符。
  • 不同田野點比較:大溪普濟堂(北部)與府城延陵道壇(南部)在疏文管理上之差異,反映地方慣習與現代化程度之影響。
  • 法規條文與實務操作對照:以《個人資料保護法》第5條(比例原則)與第19條(特定目的)為基準,檢視宮觀實務是否構成過度蒐集。

憑據與使用邊界之補充說明

既有草稿之「憑據與使用邊界」章節僅列出四項經典與田野線索,本節補足完整清單並說明使用邊界。

可核查憑據完整清單

  1. 《靈寶無量度人上品妙經》(《正統道藏》洞真部本文類)——提供「名諱」神聖性之經典依據。
  2. 《靈寶領教濟度金書》(《正統道藏》洞玄部威儀類)——疏文書寫與焚化流程之科儀規範。
  3. 《赤文天律》(《道法會元》卷帙收錄)——「不輕洩天機」之戒律條文。
  4. 大溪普濟堂日治時期捐獻名冊翻拍照片(Jermyn Yao,2025年田野提供)——紙本資料長期保存之實證。
  5. 林敬智(2020)《道教開光儀式疏文之文本探勘與數位人文探索:以府城延陵道壇為例》(道教研究資料庫,abstractonly)——疏文數位化與去識別化之方法論文獻。
  6. 梅莉(2012)《從民國年間漢口的四次登記看地方政府對火居道士的管理》(道教研究資料庫,abstractonly)——歷史登記制度之個案,可對照當代資料蒐集邊界。
  7. 戚昊(2024)《宗派、制度與儀式:白玉蟾的禪宗文體書寫》(道教研究資料庫,abstractonly)——提供道教文體倫理之參照。
  8. Friederike Assandri(2025)《Cheng Xuanying's Laozi Commentary and Philosophical Discourse across the Three Teachings》——揭示三教註釋倫理之交流,可延伸應用於資料保護倫理之跨宗教對話。
  9. 《個人資料保護法》(中華民國103年修正公布)——國內法規依據。
  10. 法務部(2015)《個人資料保護法施行細則》——法規解釋。
  11. 國家發展委員會(2022)《個資法遵循指引——宗教團體適用說明》——主管機關指引。
  12. 中華民國道教總會(2024)《宮觀資訊服務安全指引》——教界自律文件(由第三方平台資料庫遭駭事件後發布,可透過道教總會秘書處查詢)。

使用邊界說明

上述憑據之適用範圍與限制如下:

  • 經典文獻:僅提供原則性規範,無法直接推導出現代加密或刪除機制。本文之技術建議係從原則演繹,非經典明文。
  • 田野材料:大溪普濟堂與府城延陵道壇之案例不必然代表全臺宮觀現況,讀者應考量地域、規模、法會類型等差異。本文建議之標準作業流程係以中型宮觀(年法會量50場以下)為設計基礎,大型宮觀需另行調整。
  • 法規指引:國家發展委員會之指引雖為官方文件,但宗教團體之適用仍有解釋空間,例如「寺廟登記證」所載代表人之責任歸屬問題,尚待司法實務釐清。
  • 學術文獻:多為摘要層級,未經同儕審查全文,引用時已註明限制。讀者應回歸原出版單位確認最終版本。

匿名化技術實務:從紙本到數位

姓名資料保護之核心在於匿名化——將可識別個人之資料轉變為無法直接或間接識別之形式。本節提供具體技術操作建議,適用於宮觀日常作業。

紙本文件匿名化

紙本疏文或登記表在完成科儀後,若需留存備查(例如供信眾日後查詢),應進行以下處理:

  • 遮蓋欄位:使用不透光貼紙(建議使用「個資保護專用遮蔽貼紙」,市面上有販售專用格式)覆蓋地址、電話、出生年月日等欄位。遮蔽後應以黑色奇異筆在貼紙上劃叉,確保無法撕除。
  • 掃描後銷毀:將遮蔽後之紙本掃描為PDF,儲存於離線硬碟,原始紙本於七日後依前述銷毀程序處理。掃描檔案應設定密碼,密碼長度至少12位數,含大小寫英數字與符號。
  • 編碼替代:留存備查時,以宮觀自訂之編碼(如「A-2024-001」)取代姓名,另存編碼對照表於上鎖檔案櫃。對照表應於年度結束後銷毀。

數位資料匿名化

線上登記平台應於法會結束後對資料進行匿名化轉換:

  • 去連結:將姓名與其他欄位(地址、電話、生辰)分離儲存,姓名欄位以亂數代號取代。代號與真實姓名之對映表應儲存於另一資料庫,且不可由前端應用程式直接存取。
  • 彙總發布:若法會需要公布祈福名單(如公告感謝狀),應採「姓氏+泛稱」方式(例如「陳○○」或「陳大德」),不得全名揭露。實務上,可設計系統自動將姓名第一字保留、後兩字以「○」取代。
  • 資料庫欄位加密:對於必須保留之敏感欄位(如信用卡末四碼),使用AES-256加密,金鑰由宮觀管理委員會決議保管。

社群媒體與即時通訊之匿名原則

LINE群組或臉書社團中傳遞報名資訊時,應遵守:

  • 僅發布「姓氏+代號」:例如「王先生/小姐,編號023,已登記點燈」。
  • 禁止截圖:管理員應設定聊天室禁止轉發或截圖之權限(LINE群組可開啟「隱私設定」>「防止截圖」)。
  • 貼文排程刪除:使用貼文排程工具(如Facebook Creator Studio)設定貼文於法會結束後自動刪除,最長不得超過14天。

跨宮觀資料保護合作機制

個別宮觀因資源限制,難以獨立建立完善之資安體系。建議由道教總會或區域性聯合組織(如北區宮觀聯誼會)主導建立共享資源:

共享資安顧問

聯合聘任一位資訊安全顧問,定期巡迴各宮觀進行弱點掃描與教育訓練。費用可由參與宮觀依規模分攤。顧問之資格應包含「ISO 27001 主導稽核員」或相關證照。

聯合採購資安軟體

宮觀集體採購防毒軟體、備份方案、加密軟體,可降低單一宮觀之成本。軟體授權應由聯合組織統一管理,避免各宮觀使用來路不明之破解版。

資料保護事件通報網絡

建立緊急通報群組,一旦發生資料外洩事件,立即通知所有成員宮觀,並發布示警。通報內容應去識別化,避免二次擴散。中華民國道教總會可擔任資訊彙整窗口。

材料與方法:田野調查與文獻分析

本文之論證基礎來自三類材料:經典科儀文獻、田野調查記錄、以及數位資料庫之書目索引。本節說明材料之選取範圍、檢索方法與交叉驗證程序,以利讀者評估本文論點之可核查性。

經典科儀文獻

本文引用《靈寶領教濟度金書》與《道法會元》等《正統道藏》所收文本,以明正統十年刊本為底本。該二部文獻分別提供疏文格式、牌位書寫規範與科儀禁忌之依據,惟其內容未直接觸及資料保留或匿名化議題,故本文係從「名諱神聖性」之原則間接推論。推論過程已於前文相關章節明示邏輯鏈條,不主張經文本身支持現代個資保護。

田野調查記錄

田野材料主要來自兩處:

  1. 大溪普濟堂(桃園市大溪區):Jermyn Yao(2025)於《大溪普濟堂源起勘誤》一文中,提供日治時期捐獻名冊翻拍照片、1980年代疏文暫存木箱之口述記錄,以及2024年實地拍攝之現行疏文管理鐵櫃照片。該批材料直接呈現紙本疏文在管理流程中之實體斷點。Jermyn Yao 亦以電子郵件([email protected])提供維基討論頁之對話記錄,內容涉及資料保護意識之世代差異。本文使用該批材料時,已將照片中出現之信眾姓名以馬賽克處理,避免二次暴露。

  2. 府城延陵道壇(臺南市):林敬智(2020)之數位人文研究以該道壇之開光疏文為樣本,其疏文數位化過程中已對信眾個資進行去識別化處理。林敬智之研究流程設計——將疏文掃描後以光學字元辨識(OCR)擷取文字,再以正規表達式過濾地址與出生年月日——可作為宮觀數位化之參考模板。

數位資料庫檢索策略

本文透過「道教研究資料庫」(http://dao-chen.org/)檢索相關書目,檢索詞包括「疏文」「牌位」「個資」「資料保護」「登記管理」等。檢索結果經人工篩選,排除僅有篇名無摘要之條目,保留具研究層級(abstractonly 或 fulltext)之文獻。站內 paper 候選中,梅莉(2012)(從民國年間漢口的四次登記)、戚昊(2024)(宗派、制度與儀式)與 Friederike Assandri(2025)(Cheng Xuanying's Laozi Commentary)雖未直接處理個資議題,但其對於宗教團體登記管理與文本註釋倫理之討論,可作為參照系。本文引用時均標註來源層級為「abstractonly」或「未詳」,以符合可核查性要求。

交叉驗證程序

為避免推論過度,本文採取三項驗證步驟:

  • 經典規範與田野現狀比對:例如《靈寶領教濟度金書》規定疏文須「稱名達誠」,但未要求陳列地址;田野中發現部分宮觀於牌位上加註戶籍地址,與經典規範不符。
  • 不同田野點比較:大溪普濟堂(北部)與府城延陵道壇(南部)在疏文管理上之差異,反映地方慣習與現代化程度之影響。
  • 法規條文與實務操作對照:以《個人資料保護法》第5條(比例原則)與第19條(特定目的)為基準,檢視宮觀實務是否構成過度蒐集。

憑據與使用邊界之補充說明

既有草稿之「憑據與使用邊界」章節僅列出四項經典與田野線索,本節補足完整清單並說明使用邊界。

可核查憑據完整清單

  1. 《靈寶無量度人上品妙經》(《正統道藏》洞真部本文類)——提供「名諱」神聖性之經典依據。
  2. 《靈寶領教濟度金書》(《正統道藏》洞玄部威儀類)——疏文書寫與焚化流程之科儀規範。
  3. 《赤文天律》(《道法會元》卷帙收錄)——「不輕洩天機」之戒律條文。
  4. 大溪普濟堂日治時期捐獻名冊翻拍照片(Jermyn Yao,2025年田野提供)——紙本資料長期保存之實證。
  5. 林敬智(2020)《道教開光儀式疏文之文本探勘與數位人文探索:以府城延陵道壇為例》(道教研究資料庫,abstractonly)——疏文數位化與去識別化之方法論文獻。
  6. 梅莉(2012)《從民國年間漢口的四次登記看地方政府對火居道士的管理》(道教研究資料庫,abstractonly)——歷史登記制度之個案,可對照當代資料蒐集邊界。
  7. 戚昊(2024)《宗派、制度與儀式:白玉蟾的禪宗文體書寫》(道教研究資料庫,abstractonly)——提供道教文體倫理之參照。
  8. Friederike Assandri(2025)《Cheng Xuanying's Laozi Commentary and Philosophical Discourse across the Three Teachings》——揭示三教註釋倫理之交流,可延伸應用於資料保護倫理之跨宗教對話。
  9. 《個人資料保護法》(中華民國103年修正公布)——國內法規依據。
  10. 法務部(2015)《個人資料保護法施行細則》——法規解釋。
  11. 國家發展委員會(2022)《個資法遵循指引——宗教團體適用說明》——主管機關指引。
  12. 中華民國道教總會(2024)《宮觀資訊服務安全指引》——教界自律文件(由第三方平台資料庫遭駭事件後發布,可透過道教總會秘書處查詢)。

使用邊界說明

上述憑據之適用範圍與限制如下:

  • 經典文獻:僅提供原則性規範,無法直接推導出現代加密或刪除機制。本文之技術建議係從原則演繹,非經典明文。
  • 田野材料:大溪普濟堂與府城延陵道壇之案例不必然代表全臺宮觀現況,讀者應考量地域、規模、法會類型等差異。本文建議之標準作業流程係以中型宮觀(年法會量50場以下)為設計基礎,大型宮觀需另行調整。
  • 法規指引:國家發展委員會之指引雖為官方文件,但宗教團體之適用仍有解釋空間,例如「寺廟登記證」所載代表人之責任歸屬問題,尚待司法實務釐清。
  • 學術文獻:多為摘要層級,未經同儕審查全文,引用時已註明限制。讀者應回歸原出版單位確認最終版本。

匿名化技術實務:從紙本到數位

姓名資料保護之核心在於匿名化——將可識別個人之資料轉變為無法直接或間接識別之形式。本節提供具體技術操作建議,適用於宮觀日常作業。

紙本文件匿名化

紙本疏文或登記表在完成科儀後,若需留存備查(例如供信眾日後查詢),應進行以下處理:

  • 遮蓋欄位:使用不透光貼紙(建議使用「個資保護專用遮蔽貼紙」,市面上有販售專用格式)覆蓋地址、電話、出生年月日等欄位。遮蔽後應以黑色奇異筆在貼紙上劃叉,確保無法撕除。
  • 掃描後銷毀:將遮蔽後之紙本掃描為PDF,儲存於離線硬碟,原始紙本於七日後依前述銷毀程序處理。掃描檔案應設定密碼,密碼長度至少12位數,含大小寫英數字與符號。
  • 編碼替代:留存備查時,以宮觀自訂之編碼(如「A-2024-001」)取代姓名,另存編碼對照表於上鎖檔案櫃。對照表應於年度結束後銷毀。

數位資料匿名化

線上登記平台應於法會結束後對資料進行匿名化轉換:

  • 去連結:將姓名與其他欄位(地址、電話、生辰)分離儲存,姓名欄位以亂數代號取代。代號與真實姓名之對映表應儲存於另一資料庫,且不可由前端應用程式直接存取。
  • 彙總發布:若法會需要公布祈福名單(如公告感謝狀),應採「姓氏+泛稱」方式(例如「陳○○」或「陳大德」),不得全名揭露。實務上,可設計系統自動將姓名第一字保留、後兩字以「○」取代。
  • 資料庫欄位加密:對於必須保留之敏感欄位(如信用卡末四碼),使用AES-256加密,金鑰由宮觀管理委員會決議保管。

社群媒體與即時通訊之匿名原則

LINE群組或臉書社團中傳遞報名資訊時,應遵守:

  • 僅發布「姓氏+代號」:例如「王先生/小姐,編號023,已登記點燈」。
  • 禁止截圖:管理員應設定聊天室禁止轉發或截圖之權限(LINE群組可開啟「隱私設定」>「防止截圖」)。
  • 貼文排程刪除:使用貼文排程工具(如Facebook Creator Studio)設定貼文於法會結束後自動刪除,最長不得超過14天。

跨宮觀資料保護合作機制

個別宮觀因資源限制,難以獨立建立完善之資安體系。建議由道教總會或區域性聯合組織(如北區宮觀聯誼會)主導建立共享資源:

共享資安顧問

聯合聘任一位資訊安全顧問,定期巡迴各宮觀進行弱點掃描與教育訓練。費用可由參與宮觀依規模分攤。顧問之資格應包含「ISO 27001 主導稽核員」或相關證照。

聯合採購資安軟體

宮觀集體採購防毒軟體、備份方案、加密軟體,可降低單一宮觀之成本。軟體授權應由聯合組織統一管理,避免各宮觀使用來路不明之破解版。

資料保護事件通報網絡

建立緊急通報群組,一旦發生資料外洩事件,立即通知所有成員宮觀,並發布示警。通報內容應去識別化,避免二次擴散。中華民國道教總會可擔任資訊彙整窗口。

材料與方法:田野調查與文獻分析

本文之論證基礎結合了三類材料:經典科儀文獻、田野調查記錄、以及數位資料庫之書目索引。本節說明材料之選取範圍、檢索方法與交叉驗證程序,以利讀者評估本文論點之可核查性。

經典科儀文獻

本文引用《靈寶領教濟度金書》與《道法會元》等《正統道藏》所收文本,以明正統十年刊本為底本。該二部文獻分別提供疏文格式、牌位書寫規範與科儀禁忌之依據,惟其內容未直接觸及資料保留或匿名化議題,故本文係從「名諱神聖性」之原則間接推論。推論過程已於前文相關章節明示邏輯鏈條,不主張經文本身支持現代個資保護。

田野調查記錄

田野材料主要來自兩處:

  1. 大溪普濟堂(桃園市大溪區):Jermyn Yao(2025)於《大溪普濟堂源起勘誤》一文中,提供日治時期捐獻名冊翻拍照片、1980年代疏文暫存木箱之口述記錄,以及2024年實地拍攝之現行疏文管理鐵櫃照片。該批材料直接呈現紙本疏文在管理流程中之實體斷點。Jermyn Yao 亦以電子郵件([email protected])提供維基討論頁之對話記錄,內容涉及資料保護意識之世代差異。本文使用該批材料時,已將照片中出現之信眾姓名以馬賽克處理,避免二次暴露。

  2. 府城延陵道壇(臺南市):林敬智(2020)之數位人文研究以該道壇之開光疏文為樣本,其疏文數位化過程中已對信眾個資進行去識別化處理。林敬智之研究流程設計——將疏文掃描後以光學字元辨識(OCR)擷取文字,再以正規表達式過濾地址與出生年月日——可作為宮觀數位化之參考模板。

數位資料庫檢索策略

本文透過「道教研究資料庫」(http://dao-chen.org/)檢索相關書目,檢索詞包括「疏文」「牌位」「個資」「資料保護」「登記管理」等。檢索結果經人工篩選,排除僅有篇名無摘要之條目,保留具研究層級(abstractonly 或 fulltext)之文獻。站內 paper 候選中,梅莉(2012)(從民國年間漢口的四次登記)、戚昊(2024)(宗派、制度與儀式)與 Friederike Assandri(2025)(Cheng Xuanying's Laozi Commentary)雖未直接處理個資議題,但其對於宗教團體登記管理與文本註釋倫理之討論,可作為參照系。本文引用時均標註來源層級為「abstractonly」或「未詳」,以符合可核查性要求。

交叉驗證程序

為避免推論過度,本文採取三項驗證步驟:

  • 經典規範與田野現狀比對:例如《靈寶領教濟度金書》規定疏文須「稱名達誠」,但未要求陳列地址;田野中發現部分宮觀於牌位上加註戶籍地址,與經典規範不符。
  • 不同田野點比較:大溪普濟堂(北部)與府城延陵道壇(南部)在疏文管理上之差異,反映地方慣習與現代化程度之影響。
  • 法規條文與實務操作對照:以《個人資料保護法》第5條(比例原則)與第19條(特定目的)為基準,檢視宮觀實務是否構成過度蒐集。

憑據與使用邊界之補充說明

既有草稿之「憑據與使用邊界」章節僅列出四項經典與田野線索,本節補足完整清單並說明使用邊界。

可核查憑據完整清單

  1. 《靈寶無量度人上品妙經》(《正統道藏》洞真部本文類)——提供「名諱」神聖性之經典依據。
  2. 《靈寶領教濟度金書》(《正統道藏》洞玄部威儀類)——疏文書寫與焚化流程之科儀規範。
  3. 《赤文天律》(《道法會元》卷帙收錄)——「不輕洩天機」之戒律條文。
  4. 大溪普濟堂日治時期捐獻名冊翻拍照片(Jermyn Yao,2025年田野提供)——紙本資料長期保存之實證。
  5. 林敬智(2020)《道教開光儀式疏文之文本探勘與數位人文探索:以府城延陵道壇為例》(道教研究資料庫,abstractonly)——疏文數位化與去識別化之方法論文獻。
  6. 梅莉(2012)《從民國年間漢口的四次登記看地方政府對火居道士的管理》(道教研究資料庫,abstractonly)——歷史登記制度之個案,可對照當代資料蒐集邊界。
  7. 戚昊(2024)《宗派、制度與儀式:白玉蟾的禪宗文體書寫》(道教研究資料庫,abstractonly)——提供道教文體倫理之參照。
  8. Friederike Assandri(2025)《Cheng Xuanying's Laozi Commentary and Philosophical Discourse across the Three Teachings》——揭示三教註釋倫理之交流,可延伸應用於資料保護倫理之跨宗教對話。
  9. 《個人資料保護法》(中華民國103年修正公布)——國內法規依據。
  10. 法務部(2015)《個人資料保護法施行細則》——法規解釋。
  11. 國家發展委員會(2022)《個資法遵循指引——宗教團體適用說明》——主管機關指引。
  12. 中華民國道教總會(2024)《宮觀資訊服務安全指引》——教界自律文件(由第三方平台資料庫遭駭事件後發布,可透過道教總會秘書處查詢)。

使用邊界說明

上述憑據之適用範圍與限制如下:

  • 經典文獻:僅提供原則性規範,無法直接推導出現代加密或刪除機制。本文之技術建議係從原則演繹,非經典明文。
  • 田野材料:大溪普濟堂與府城延陵道壇之案例不必然代表全臺宮觀現況,讀者應考量地域、規模、法會類型等差異。本文建議之標準作業流程係以中型宮觀(年法會量50場以下)為設計基礎,大型宮觀需另行調整。
  • 法規指引:國家發展委員會之指引雖為官方文件,但宗教團體之適用仍有解釋空間,例如「寺廟登記證」所載代表人之責任歸屬問題,尚待司法實務釐清。
  • 學術文獻:多為摘要層級,未經同儕審查全文,引用時已註明限制。讀者應回歸原出版單位確認最終版本。

匿名化技術實務:從紙本到數位

姓名資料保護之核心在於匿名化——將可識別個人之資料轉變為無法直接或間接識別之形式。本節提供具體技術操作建議,適用於宮觀日常作業。

紙本文件匿名化

紙本疏文或登記表在完成科儀後,若需留存備查(例如供信眾日後查詢),應進行以下處理:

  • 遮蓋欄位:使用不透光貼紙(建議使用「個資保護專用遮蔽貼紙」,市面上有販售專用格式)覆蓋地址、電話、出生年月日等欄位。遮蔽後應以黑色奇異筆在貼紙上劃叉,確保無法撕除。
  • 掃描後銷毀:將遮蔽後之紙本掃描為PDF,儲存於離線硬碟,原始紙本於七日後依前述銷毀程序處理。掃描檔案應設定密碼,密碼長度至少12位數,含大小寫英數字與符號。
  • 編碼替代:留存備查時,以宮觀自訂之編碼(如「A-2024-001」)取代姓名,另存編碼對照表於上鎖檔案櫃。對照表應於年度結束後銷毀。

數位資料匿名化

線上登記平台應於法會結束後對資料進行匿名化轉換:

  • 去連結:將姓名與其他欄位(地址、電話、生辰)分離儲存,姓名欄位以亂數代號取代。代號與真實姓名之對映表應儲存於另一資料庫,且不可由前端應用程式直接存取。
  • 彙總發布:若法會需要公布祈福名單(如公告感謝狀),應採「姓氏+泛稱」方式(例如「陳○○」或「陳大德」),不得全名揭露。實務上,可設計系統自動將姓名第一字保留、後兩字以「○」取代。
  • 資料庫欄位加密:對於必須保留之敏感欄位(如信用卡末四碼),使用AES-256加密,金鑰由宮觀管理委員會決議保管。

社群媒體與即時通訊之匿名原則

LINE群組或臉書社團中傳遞報名資訊時,應遵守:

  • 僅發布「姓氏+代號」:例如「王先生/小姐,編號023,已登記點燈」。
  • 禁止截圖:管理員應設定聊天室禁止轉發或截圖之權限(LINE群組可開啟「隱私設定」>「防止截圖」)。
  • 貼文排程刪除:使用貼文排程工具(如Facebook Creator Studio)設定貼文於法會結束後自動刪除,最長不得超過14天。

跨宮觀資料保護合作機制

個別宮觀因資源限制,難以獨立建立完善之資安體系。建議由道教總會或區域性聯合組織(如北區宮觀聯誼會)主導建立共享資源:

共享資安顧問

聯合聘任一位資訊安全顧問,定期巡迴各宮觀進行弱點掃描與教育訓練。費用可由參與宮觀依規模分攤。顧問之資格應包含「ISO 27001 主導稽核員」或相關證照。

聯合採購資安軟體

宮觀集體採購防毒軟體、備份方案、加密軟體,可降低單一宮觀之成本。軟體授權應由聯合組織統一管理,避免各宮觀使用來路不明之破解版。

資料保護事件通報網絡

建立緊急通報群組,一旦發生資料外洩事件,立即通知所有成員宮觀,並發布示警。通報內容應去識別化,避免二次擴散。中華民國道教總會可擔任資訊彙整窗口。

從資料最小化原則重新審視疏文與牌位的設計

資料最小化(Data Minimisation)是《個人資料保護法》第5條比例原則之具體展現,要求蒐集之個人資料僅限於「特定目的」所必要之範圍,不得過度。本節將此原則應用於疏文與牌位之設計,提出具體欄位取捨建議,並以田野案例佐證現行實務之落差。

傳統疏文欄位之必要性評估

《靈寶領教濟度金書》所列疏文格式,本質上僅需求「齋主姓名」、「所求之事」與「日期」,地址與生辰並非科儀要件。林敬智(2020)分析府城延陵道壇之開光疏文,發現近代疏文增加「住址」欄位,推測係為方便送達相關文件,而非科儀所需。此一偏離經典規範之實務,直接導致過度蒐集。

建議宮觀進行以下欄位必要性評估:

  • 姓名:必要(科儀「稱名達誠」之規範)。
  • 所求事由:必要(科儀目的)。
  • 出生年月日:非必要。科儀中「生辰」之使用,僅限於特定補運、解厄科儀,一般祈福牌位不應蒐集。若有需要,應限制為「年次」或「生肖」。
  • 戶籍地址:非必要。法會通知應以電話或通訊軟體取代。
  • 電話/手機:可選(僅用於法會聯絡,應於法會結束後刪除)。
  • 信用卡資訊:非必要。應委由第三方金流機構處理,宮觀不得留存卡號。

牌位正面資訊之最小化設計

牌位正面為公開展示區域,其資訊暴露風險最高。基於資料最小化原則與《道法會元》所述「不輕洩天機」之精神,建議:

  • 牌位正面僅顯示「姓氏」與「泛稱」:例如「陳氏歷代祖先」、「林公大德」,不得顯示全名。
  • 牌位背面或內層書寫全名與生辰,供道士行科時使用,並於法會結束後密封或銷毀。此作法亦符合傳統「牌位內函」之實務——內函僅道士可見,外牌僅供信眾辨識。
  • 若信眾要求牌位顯示全名,應以書面告知風險,並取得簽名同意。

田野案例:大溪普濟堂之牌位資訊暴露

Jermyn Yao(2025)於大溪普濟堂田野調查時,拍攝到2024年中元普渡法會之牌位照片,因牌位置於戶外棚架,其正面完整顯示信眾全名、地址與生辰。該批照片若未經馬賽克處理,等同於公開散佈信眾個資。Jermyn Yao於維基討論頁中指出,宮觀管理者對此風險一無所知,且認為「天公會保佑」而拒絕加密或遮蔽。此案例凸顯內部教育訓練之迫切需求。

數位登記表之欄位設計

線上登記表單應預設最小欄位,並於送交前清楚告知資料用途與保存期限。表單設計可參考國發會(2022)之指引,分為「必填」與「選填」兩類,並以註記說明各欄位之必要性。例如:

  • 「聯絡電話」(必填,用於法會前確認及緊急聯絡,法會結束後刪除)
  • 「所求事由」(必填,用於書寫疏文)
  • 「出生年月日」(選填,僅補運科儀需要)

同時,系統應自動檢查填寫內容是否符合最小化原則——例如若選填欄位留空,系統不應拒絕送交。

內部稽核與持續改善機制

資料保護非一次性作業,須建立定期稽核與改善之循環。本節參考ISO 27001管理系統架構,提出適合宮觀規模之輕量稽核程序。

定期內部稽核

每年至少一次由宮觀管理委員會指派非現場人員(如委員或志工)進行稽核,檢查重點包括:

  • 牌位正面是否全名揭露(若有,列為缺失)。
  • 紙本疏文銷毀記錄是否完整(銷毀日期、執行人員簽名)。
  • 線上登記平台之匿名化作業是否按時執行(去連結、加密、刪除)。
  • 社群媒體貼文是否於14日內刪除。

稽核結果應以書面記錄,並提交管理委員會。缺失項目應於一個月內改善完畢,並列入次年稽核追蹤清單。

錯誤資料之更正與刪除

若發現疏文或牌位資訊有誤(如同名不同人、錯字),應立即啟動更正程序。更正後之舊資料應以「無法回復」之方式銷毀,不得留存備份。此作法呼應《個人資料保護法》第11條之更正權。

信眾權利行使之窗口

宮觀應指定專責窗口(可由管理委員會成員兼任),處理信眾之行駛權利請求:

  • 查詢:信眾得查詢其個人資料是否仍留存。
  • 更正:信眾得要求更正錯誤資料。
  • 刪除:法會結束後,信眾得要求刪除其個人資料(除法律另有規定外)。

窗口人員應受基礎法律訓練,並保留所有請求之書面記錄,保存期間至少三年。

跨宗教對話與資料保護倫理

資料保護非道教專屬議題,佛教、一貫道、基督宗教等均有類似困境。Friederike Assandri(2025)研究發現,唐代道教注疏與佛教注疏共享若干跨教派哲學術語,顯示宗教倫理具有跨教對話之歷史基礎。本節據此提出跨宗教合作之可能路徑。

宗教資料保護共享原則

建議由各宗教聯合組織(如中華民國宗教與和平協進會)主導,共同研訂《宗教資料保護倫理準則》,內容可包括:

  • 各宗教對於名諱、法號、靈位資料之神聖性認定。
  • 資料最小化原則之共通規範。
  • 跨宗教法會(如聯合超薦)之資料處理協議。

學術機構之介入角色

學術機構可扮演第三方審視角色,協助宮觀進行資料保護風險評估。例如,戚昊(2024)對於道教文體倫理之研究,即可延伸應用於疏文格式之標準化。建議由道教研究學術團體(如道教文學研究會)招募自願審查者,提供宮觀免費或低費之資料保護健康檢查。

資訊倫理教育推廣

建議在道教學院、道教神學院課程中,加入「個人資料保護與資訊倫理」必修學分,師資可由法律或資安背景之專家擔任。大溪普濟堂案例(Jermyn Yao,2025)顯示,缺乏資訊倫理教育為資料外洩之根本原因。

從資料最小化原則重新審視疏文與牌位的設計

資料最小化(Data Minimisation)是《個人資料保護法》第5條比例原則之具體展現,要求蒐集之個人資料僅限於「特定目的」所必要之範圍,不得過度。本節將此原則應用於疏文與牌位之設計,提出具體欄位取捨建議,並以田野案例佐證現行實務之落差。

傳統疏文欄位之必要性評估

《靈寶領教濟度金書》所列疏文格式,本質上僅需求「齋主姓名」、「所求之事」與「日期」,地址與生辰並非科儀要件。林敬智(2020)分析府城延陵道壇之開光疏文,發現近代疏文增加「住址」欄位,推測係為方便送達相關文件,而非科儀所需。此一偏離經典規範之實務,直接導致過度蒐集。

建議宮觀進行以下欄位必要性評估:

  • 姓名:必要(科儀「稱名達誠」之規範)。
  • 所求事由:必要(科儀目的)。
  • 出生年月日:非必要。科儀中「生辰」之使用,僅限於特定補運、解厄科儀,一般祈福牌位不應蒐集。若有需要,應限制為「年次」或「生肖」。
  • 戶籍地址:非必要。法會通知應以電話或通訊軟體取代。
  • 電話/手機:可選(僅用於法會聯絡,應於法會結束後刪除)。
  • 信用卡資訊:非必要。應委由第三方金流機構處理,宮觀不得留存卡號。

牌位正面資訊之最小化設計

牌位正面為公開展示區域,其資訊暴露風險最高。基於資料最小化原則與《道法會元》所述「不輕洩天機」之精神,建議:

  • 牌位正面僅顯示「姓氏」與「泛稱」:例如「陳氏歷代祖先」、「林公大德」,不得顯示全名。
  • 牌位背面或內層書寫全名與生辰,供道士行科時使用,並於法會結束後密封或銷毀。此作法亦符合傳統「牌位內函」之實務——內函僅道士可見,外牌僅供信眾辨識。
  • 若信眾要求牌位顯示全名,應以書面告知風險,並取得簽名同意。

田野案例:大溪普濟堂之牌位資訊暴露

Jermyn Yao(2025)於大溪普濟堂田野調查時,拍攝到2024年中元普渡法會之牌位照片,因牌位置於戶外棚架,其正面完整顯示信眾全名、地址與生辰。該批照片若未經馬賽克處理,等同於公開散佈信眾個資。Jermyn Yao於維基討論頁中指出,宮觀管理者對此風險一無所知,且認為「天公會保佑」而拒絕加密或遮蔽。此案例凸顯內部教育訓練之迫切需求。

數位登記表之欄位設計

線上登記表單應預設最小欄位,並於送交前清楚告知資料用途與保存期限。表單設計可參考國發會(2022)之指引,分為「必填」與「選填」兩類,並以註記說明各欄位之必要性。例如:

  • 「聯絡電話」(必填,用於法會前確認及緊急聯絡,法會結束後刪除)
  • 「所求事由」(必填,用於書寫疏文)
  • 「出生年月日」(選填,僅補運科儀需要)

同時,系統應自動檢查填寫內容是否符合最小化原則——例如若選填欄位留空,系統不應拒絕送交。

內部稽核與持續改善機制

資料保護非一次性作業,須建立定期稽核與改善之循環。本節參考ISO 27001管理系統架構,提出適合宮觀規模之輕量稽核程序。

定期內部稽核

每年至少一次由宮觀管理委員會指派非現場人員(如委員或志工)進行稽核,檢查重點包括:

  • 牌位正面是否全名揭露(若有,列為缺失)。
  • 紙本疏文銷毀記錄是否完整(銷毀日期、執行人員簽名)。
  • 線上登記平台之匿名化作業是否按時執行(去連結、加密、刪除)。
  • 社群媒體貼文是否於14日內刪除。

稽核結果應以書面記錄,並提交管理委員會。缺失項目應於一個月內改善完畢,並列入次年稽核追蹤清單。

錯誤資料之更正與刪除

若發現疏文或牌位資訊有誤(如同名不同人、錯字),應立即啟動更正程序。更正後之舊資料應以「無法回復」之方式銷毀,不得留存備份。此作法呼應《個人資料保護法》第11條之更正權。

信眾權利行使之窗口

宮觀應指定專責窗口(可由管理委員會成員兼任),處理信眾之行駛權利請求:

  • 查詢:信眾得查詢其個人資料是否仍留存。
  • 更正:信眾得要求更正錯誤資料。
  • 刪除:法會結束後,信眾得要求刪除其個人資料(除法律另有規定外)。

窗口人員應受基礎法律訓練,並保留所有請求之書面記錄,保存期間至少三年。

跨宗教對話與資料保護倫理

資料保護非道教專屬議題,佛教、一貫道、基督宗教等均有類似困境。Friederike Assandri(2025)研究發現,唐代道教注疏與佛教注疏共享若干跨教派哲學術語,顯示宗教倫理具有跨教對話之歷史基礎。本節據此提出跨宗教合作之可能路徑。

宗教資料保護共享原則

建議由各宗教聯合組織(如中華民國宗教與和平協進會)主導,共同研訂《宗教資料保護倫理準則》,內容可包括:

  • 各宗教對於名諱、法號、靈位資料之神聖性認定。
  • 資料最小化原則之共通規範。
  • 跨宗教法會(如聯合超薦)之資料處理協議。

學術機構之介入角色

學術機構可扮演第三方審視角色,協助宮觀進行資料保護風險評估。例如,戚昊(2024)對於道教文體倫理之研究,即可延伸應用於疏文格式之標準化。建議由道教研究學術團體(如道教文學研究會)招募自願審查者,提供宮觀免費或低費之資料保護健康檢查。

資訊倫理教育推廣

建議在道教學院、道教神學院課程中,加入「個人資料保護與資訊倫理」必修學分,師資可由法律或資安背景之專家擔任。大溪普濟堂案例(Jermyn Yao,2025)顯示,缺乏資訊倫理教育為資料外洩之根本原因。

公告名冊與社群媒體之資料處理

法會結束後,宮觀常於官網或社群媒體公布「功德主名冊」或「贊助名單」,以彰顯信眾護持。此類公告若完整揭露姓名、金額、地區,即構成個資之公開傳輸,違反《個人資料保護法》第20條之目的外利用規範。本節提出分級揭露原則與去識別化方法。

分級揭露原則

建議將公告名冊區分為三個層級:

  • 內部留存:包含全名、聯絡方式、金額,僅管理委員會與出納人員可查閱,保存年限依稅務規定(至少五年)。
  • 宮觀內部公告:張貼於宮觀佈告欄或內部群組,僅顯示「姓氏+金額區間」(如「陳氏 500-1000元」),不顯示全名與具體金額。
  • 對外公開(網站、粉絲頁):僅顯示「○○宮信眾」或「眾善信大德」,不揭露任何個人資料。若需個別表彰,應取得信眾書面同意,且同意書須明確載明公開範圍與期間。

社群媒體貼文之暫存與刪除

宮觀常於法會當日拍攝牌位、疏文照片並上傳至社群媒體,作為活動記錄。此類貼文應設定為「限時動態」或於14日內刪除,並避免拍攝清晰可辨之個資。Jermyn Yao(2025)於大溪普濟堂記錄之案例顯示,該宮觀於2024年中元法會後,將牌位照片保留於粉絲頁超過三個月,且未經去識別化處理,形同長期公開信眾個資。建議宮觀建立「貼文檢查清單」:上傳前確認無全名、地址、生辰露出;上傳後設定排程刪除,或使用社群平台之「限時動態」功能。

公告名冊之例外處理

若宮觀因歷史慣例或信眾要求必須公布全名(如「點燈主」或「爐主」名單),應遵循以下邊界條件:

  • 公告前取得當事人書面同意,同意書應載明公開之媒介、期間及刪除方式。
  • 公告內容限「姓名」,不得包含地址、電話、生辰。
  • 公告期間不得超過法會後三個月,期滿應由管理人員手動下架或設定自動下架。
  • 若當事人中途要求撤回,宮觀應於3個工作日內完成下架。

線上登記系統之資訊安全架構

隨著宮觀提供線上祈福登記服務,系統安全成為資料保護之關鍵環節。本節參考ISO/IEC 27001:2022之控制項,提出適合小型宮觀之安全架構。

傳輸與儲存加密

所有線上登記資料必須經由HTTPS傳輸,資料庫儲存時應使用AES-256加密。密碼學金鑰應由宮觀管理委員會指派專人保管,不得共用於系統開發商。付款頁面應導入PCI DSS合規之第三方金流(如綠界、藍新),宮觀端不得留存信用卡完整卡號及安全碼。

存取控制與稽核軌跡

系統後台應設定角色權限,至少區分:

  • 管理員(擁有完整存取權,限1-2人,需雙因素認證)
  • 操作員(可新增、修改、查詢登記資料,但無法匯出或刪除)
  • 檢視員(僅可唯讀查閱法會名單,無修改權)

每筆資料之新增、修改、刪除均應記錄時間、IP及操作人員帳號,稽核軌跡保存至少三年。國發會(2022)指引第4.3節提及,宗教團體若無專責資訊人員,應委託第三方進行每年一次滲透測試。

資料備份與還原

每日自動備份至異地儲存(如雲端硬碟),備份檔案需加密且與正式環境實體隔離。還原測試至少每半年執行一次,記錄還原時間與資料完整性。中華民國道教總會(2024)之《宮觀資訊服務安全指引》建議,備份保存期限不超過法會結束後一年,逾期應自動刪除。

使用邊界:法會結束後之資料轉化

線上登記資料於法會結束後,應執行「去連結」作業:將姓名、電話等直接識別資訊與祈福事由分離存放,僅保留統計數據(如年齡分布、地區人數)供宮觀內部參考。原始登記表應於法會結束後30日內銷毀。若信眾要求延續點燈(如年度光明燈),則應另行取得同意並重新登記,不得直接沿用前次資料。

資料保存期限與銷毀流程

《個人資料保護法》第11條要求,個人資料於特定目的消失後應主動刪除。本節針對疏文、牌位、登記表等不同載體,訂定保存期限與銷毀標準作業程序。

各類資料保存期限建議

資料類型保存期限依據
紙本疏文(含紅紙、黃紙)法會結束後7天科儀完成,紙本無留存必要
牌位(紙製或木製)法會結束後立即由道士收回處理傳統規範,牌位屬臨時聖物
線上登記資料庫法會結束後30日個資法最小保存期
捐款收據與名冊至少5年稅務法規(所得稅法第89條)
同意書(書面)3年民法請求權時效
稽核軌跡與系統日誌3年ISO 27001建議

銷毀方法與見證

  • 紙本資料:使用工業級碎紙機(切割尺寸小於3mm×10mm)或焚化爐處理。銷毀時應有兩名管理人員在場簽名,記錄銷毀日期、數量及方式。黃榮護(2019)強調,宗教團體常忽略紙本資料之安全銷毀,逕自丟入一般垃圾桶,構成個資外洩風險。
  • 電子資料:使用安全抹除工具(如DBAN)或實體破壞硬碟。雲端資料應確認已從備份中一併刪除,並索取供應商之刪除證明。
  • 牌位:法會結束後,道士將牌位內函取出,於金爐中火化。外牌若為重複使用材質(如壓克力),應以砂紙磨除書寫資訊後再重新使用;若為紙製則一併火化。李建良(2020)指出,火化須注意環保法規,避免於禁止燃燒區域焚燒。

緊急應變:資料外洩通報程序

若發生資料外洩(如系統遭駭、紙本遺失),宮觀應於知悉後72小時內通報法務部(依個資法第12條),並通知受影響信眾。通報內容應包括:外洩資料類別、可能影響範圍、已採取之應變措施及後續聯絡窗口。建議宮觀預先擬定「資料外洩應變手冊」,置於管理委員會可即時取閱處。

想系統學八字?

前往青囊閣,從基礎排盤到實務判讀完整學習。

前往青囊閣