個資告知同意書的本意是保護當事人的個資,然而在實際運作上,由於該文件常常是附屬在會員申請書或意見調查表中,且一般人在簽署前也不大會去細讀其中密密麻麻的文字,就草率簽署,導致失去提醒注意個資安全的作用。
隨著新版個資法於去年10月1日生效施行,我們在日常生活中也跟著經常收到業者提供的「個資告知同意書」,在密密麻麻的條款中常見:「本人瞭解並同意貴公司將本人個人資料提供予貴公司之關係企業及合作廠商,於行銷目的範圍內得為蒐集、處理及利用」或類似的文句,將我們的個資曝露於交易對象以外的「第三者」。但該第三者到底是誰?範圍有多廣?其實並不清楚。然而,個資告知同意書卻在不經意之中成為這些第三者利用我們個資的護身符。
個資告知同意書的功能
新版個資法保護客體不再限於電腦處理的個資,而擴及於任何得以直接或間接方式識別個人的資料。另就規範對象而言,除公務機關外,亦不再侷限於特定行業,而包括任何自然人、法人或團體。由於違反個資保護規定將招致民刑事責任以及行政處罰,許多業者已將個資法遵循列為內控內稽的重要事項以求自保,避免誤觸法網。
個資法中有所謂「告知後同意」(Informed Consent)的機制,也就是蒐集、處理及利用個資的基本原則為須經「當事人同意」。在當事人同意之前,實有必要知道蒐集個資者為何蒐集以及將如何處理及利用該資料,才能做出有意義的決定。因此當事人同意權的實踐,有賴於蒐集者充分的告知。
基此,個資法第8條規定除特定例外情事之外,向當事人蒐集個人資料時,應明確告知當事人下列事項:(1)公務機關或非公務機關名稱;(2)蒐集之目的;(3)個資之類別;(4)個資利用之期間、地區、對象及方式;(5)當事人依第3條規定(即請求查詢、更正、刪除個資等)得行使之權利及方式;(6)當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
個資法第15條與第19條均有規定「經當事人書面同意」得作為公務或非公務機關蒐集或處理個資之要件。依同法第7條所謂書面同意,指當事人經蒐集者告知個資法所定應告知事項後,所為允許之書面意思表示。因此實務上常見業者預先製作「個資告知同意書」供客戶簽署。
個資告知同意書的本意是保護當事人的個資,然而在實際運作上,由於該文件常常是附屬在會員申請書、服務使用條款或客戶意見調查表等文件之中,且一般人在簽署個資告知同意書之前不大會去留意其中密密麻麻的內容,在有限的時間內通常也不會細讀該文件之文字,常常就在服務人員的指示下草率簽署,導致失去提醒注意個資安全的作用。
包山包海的「第三者」
關於個資告知同意書中第三者的範圍,一般係記載關係企業及合作廠商。所謂關係企業,依公司法規定係指有控制與從屬關係的公司以及相互投資的公司。至於合作廠商,則指有契約關係的公司。然而,除非個資告知同意書列出業者的關係企業及合作廠商的清單,否則一般人實在無法明確知悉到底個資會流向何方。甚至有些個資告知同意書為保持第三者的彈性,還會多加一句「以及其他人」,那就更包山包海。
一般人的認知是簽署了個資告知同意書後即表示同意特定的交易對象蒐集、處理及利用我們的個資,沒料到個資提供的對象還可能因此而擴及於其他不知何方神聖的第三者。即使注意到個資將輾轉流落到第三者,惟因個資告知同意書亦載明:「如不同意該第三方業者對個資之蒐集、處理及利用,將無法提供相關服務及優惠活動」(例如銀行與百貨業者提供的聯名卡,以及購物網站就商品運送之委外處理等),也就勉強簽署表示同意。即使個資告知同意書另記載客戶得隨時以書面通知終止同意,然而大多數人早就忘記自己簽署過的文件,更不會費心去寄發終止函。
宜合理限制第三者使用
個資法第9條關於「間接蒐集個資」的規定已注意到第三者的問題,亦即任何機關蒐集非由當事人提供之個資,應於處理或利用前,向當事人告知個資來源(即從何處取得個資)以及機關名稱、蒐集目的、個資類別、利用方式、當事人得查詢或請求刪除等個人自主權之法定事項。該間接蒐集個資之第三者蒐集、處理及利用個資亦須依個資法規定,以取得當事人書面同意為原則。然依金融控股公司法第43條規定,金控集團之子公司間就客戶之個人基本資料可共同使用,不需事先取得客戶同意。
實務上業者為免除其關係企業及合作廠商適用個資法的麻煩,乃藉由個資告知同意書明訂上開第三者利用個資的規定而一舉數得:(1)業者就其直接蒐集的個資提供予第三者的利用個資行為藉此獲得當事人同意;(2)第三者間接蒐集個資以及後續的處理及利用等行為亦因此獲得當事人同意;(3)上開行為均已藉此事先合法告知當事人。
當事人簽署個資告知同意書通常是基於對交易對象的信賴,也因此不去細究其內容文字。但是對於交易對象的關係企業、合作廠商及其他第三人,當事人卻未必有所認識,更遑論信賴。類似的道理就好像即使你把隱私告知朋友,並不代表就同意朋友的朋友可以一起分享你的隱私。
為落實個資保護,主管機關可透過行政指導或解釋方式採取以下作法:
- (1) 就個資告知同意書不利益或不公平條款,可仿效定型化契約管制方式,要求業者以明顯粗體字表示,以提醒注意。
- (2) 要求業者於個資告知同意書中須列舉第三者的確實身份,以合理限制其範圍。
- (3) 對於第三者蒐集或處理個資之目的,應以履行業者與客戶原先預定之契約義務為原則(例如協力廠商為業者運送商品)。惟就行銷目的應給予適當限制,原則上須客戶以積極方式勾選,以確保客戶有意願接受第三者後續之行銷。
持平而論,個資告知同意書是當事人的權利保護書而非賣身契,業者將客戶個資透露予第三者的範圍應有合理限制。