資料蒐集 過失責任 個資法

「告知後同意」的個資保護機制

2012-01-09
資料蒐集是資訊化社會中大眾普遍進行的基本動作,但所蒐集的資料歸屬於私領域與公領域,這個界限到底要如何劃分,實在是見仁見智。新版個資法規範的對象與客體均比舊法更加廣泛,跟著作權法一樣幾乎涉及到政府、企業及個人每天都在進行的行為,影響至為深遠。
「蒐集」是資訊化社會中大眾普遍進行的基本動作,我們每天常常利用Google蒐集資料,search之後還會進一步re-search,以進行更細緻的蒐集與研究。

當蒐集的客體是他人享有著作權的資料時,實務上已引發智慧財產權保護與言論自由及合理使用空間的爭論;而當個人資料為蒐集的客體時,就牽動了個人隱私與公眾知的權利之間的緊張關係。

法律的界限

私領域與公領域的界限到底要如何劃分,隨著社會變遷與科技進步,實在是見仁見智。Facebook執行長馬克佐伯格曾表示:「人們越來越習慣在網路上和更多人公開分享各種資訊,社群規範是會隨著時間進化的。」

而Facebook最近才與美國聯邦交易委員會(FTC)就其涉嫌侵害用戶隱私違反FTC法令之行為(如片面更改隱私條款、把使用者以為是私密的資訊公開等)達成和解協議。

無論如何,我們不能忽略99年4月27日立法通過而可能於今年實施的「個人資料保護法」,其施行細則草案亦於100年10月27日公佈。

新版個資法規範的對象與客體均比舊法更加廣泛,跟著作權法一樣幾乎涉及到政府、企業及個人每天都在進行的行為,影響至為深遠。

為調和各種利益與價值,個資法設了許多例外規定,例如第51條排除一般社交活動蒐集、處理或利用個資的適用,但其模糊性並未在個資法施行細則獲得釐清。

另一方面,企業為符合個資法避免遭致民刑事責任及行政處罰,除有必要建置個資安全措施(請參見網管人第71期「個資安全措施的里程碑」一文)以防範個資外洩之外,亦須善盡告知義務以取得當事人同意而蒐集個資。

告知後同意的機制

「告知後同意(Informed Consent)」是為確保個人在充分資訊下做出適當決定的機制,已廣泛運用在醫療服務與金融商品的銷售且由法律所明定(請參醫療法第63條及金融消費者保護法第10條)。

由於個資屬於個人重要的隱私,如遭有心人士惡用可能造成個人隱私、名譽及財產的嚴重損害。個資法亦以「告知後同意」的機制作為個資保護的法律界限,符合國際立法趨勢以及OECD於1980年提出的個資保護八大項原則中第1項之限制蒐集原則(Collection Limitation Principle)。

告知

個資法第8條規定除特定例外情事之外,向當事人蒐集個人資料時,應明確告知當事人下列事項:

1.公務機關或非公務機關名稱。
2.蒐集之目的。
3.個資之類別。
4.個資利用之期間、地區、對象及方式。
5.當事人依第3條規定(即請求查詢、更正、刪除個資等)得行使之權利及方式。
6.當事人得自由選擇提供個人資料時,不提供將對其權益之影響。

關於告知的方式,個資法施行細則第13條規定得以書面、電話、傳真、電子文件或其他適當方式為之。須特別注意,告知雖不以書面為必要,但應以個別通知之方式(如電子郵件)使當事人知悉,不能僅以網站公告為之。

同意

個資法第15條與第19條均有規定「經當事人書面同意」得作為公務或非公務機關蒐集或處理個資之要件。

而依同法第7條,所謂書面同意,係指當事人經蒐集者告知個資法所定應告知事項後,所為允許之書面意思表示,此即「告知後同意」的機制。

個資法第8條規定告知事項中的「蒐集之目的」則界定了個資蒐集及後續處理與利用的界線,如超過特定目的,原則上應再取得當事人之書面同意。

關於同意之書面是否限於紙本?將影響電子商務的發展以及企業因應的成本。個資法施行細則第11條參考電子簽章法的規定表示:如其內容可完整呈現,並可於日後取出供查驗者,經蒐集者及當事人同意,得以電子文件為之。

因此,企業為合法蒐集使用者個資,於網頁設計可採「兩次同意鍵」方式,第一次同意是使用者同意以電子文件來為意思表示,第二次同意則是使用者表示同意企業蒐集個資。

由於違反個資保護規定將招致民刑事責任以及行政處罰,企業從事商業活動進行成本效益分析時,應綜合考量透過蒐集個資而強化行銷力道所賺取之利潤,以及違法之代價與遵守法律所支出之個資保護成本。

就「告知後同意」的機制,企業除須合理控制成本之外,亦應保留個別告知以及取得書面同意的相關證據,以備將來遭控違法時,得證明無故意或過失而免責。

(本文作者現為執業律師)


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!