民眾對於個資保護的權利意識逐漸抬頭,目前已出現個人以一己之力,成功向利用個資進行商業行銷的大企業求償。這些案例中,小蝦米對抗大鯨魚的法寶即為「個資自主決定權」,萬一民眾發動個資法團體訴訟,恐產生不容忽視的成本,企業須特別注意。
新版個資法自2012年10月1日生效施行迄今已超過2年,民眾對於個資保護的權利意識逐漸抬頭。實務上已有個人以一己之力,對抗利用個資進行商業行銷與創新應用的大企業,可說是另類的公民不服從。鑒於個資保護與商業利用常處於緊張關係,企業從事商業活動也應注意民眾的「個資自主決定權」。
小蝦米對抗大鯨魚的個資訴訟案例
據今年(2014年)10月報載,某郭姓會計師曾於前年寫E-mail向經營大賣場的特力屋表明退出會員,並要求刪除會員資料,特力屋雖有回函表示不會再寄發型錄及優惠訊息,郭員卻仍持續收到特力屋寄的E-mail廣告信而不堪其擾,乃以特力屋違反個資法為由求償10萬元,經士林地院判決特力屋須賠償2萬6千元。
無獨有偶,10月底又傳出曾擔任台灣隱私權顧問協會秘書長的某劉姓人士,控訴台灣大哥大及其關係企業酷樂公司共同不法蒐集、利用關於其手機號碼所屬業者別(即遠傳電信)的個資,應連帶賠償5百元。劉員主張台灣大哥大利用各電信業者共同建置的「號碼可攜集中式資料庫」開發M+Messenger的APP通訊軟體並交由酷樂公司出名推廣,下載M+APP的行動電話用戶可藉由手機聯絡簿上顯示的聯絡人電話號碼所屬之電信業者,判斷該聯絡人是否亦為網內用戶(即得享有網內互打免費的優惠)。案經台北地院判決台灣大哥大與酷樂公司應連帶賠償劉員5百元。
前述個案求償的金額雖屬小額,對於大企業來說可謂不痛不癢,但如果其他類似情形的民眾群起效尤,甚至發動個資法的團體訴訟機制,將衍生更多民事訴訟,對於企業進行促銷與創新的商業活動勢必產生不容忽視的成本,尤須注意。
對抗商業行銷的個資自主決定權
在上開案例中,小蝦米對抗大鯨魚的法寶為「個資自主決定權」。司法院大法官會議釋字第603號解釋明揭:「就個人自主控制個人資料之資訊隱私權而言,乃保障人民決定是否揭露其個人資料、及在何種範圍內、於何時、以何種方式、向何人揭露之決定權,並保障人民對其個人資料之使用有知悉與控制權及資料記載錯誤之更正權。」此項見解確立了憲法所保障的隱私權亦包括積極地自主控制個資的權利。
為落實隱私保護,新版個資法賦予當事人諸多「個資自主決定權」,原則上他人蒐集、處理及利用個資,皆應取得當事人事先的同意,亦受到當事人事後的控制。
對於企業利用個資進行商業行銷的手法,當事人得依個資法第3條規定請求企業停止蒐集、處理或利用,並得請求刪除個資。此外,依個資法第20條規定,非公務機關利用個資行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支付所需費用。基上,民眾與企業往來時,除得於一開始填寫個資時表明不得作為行銷目的,或不願收到廣告信之外,即使未事先表明以致後續收到廣告信,亦得事後拒絕企業利用個資行銷,要求停止蒐集、處理或利用,並得請求刪除個資。
在前述特力屋廣告信案,郭員即係依個資法行使其「個資自主決定權」,而特力屋忽視該權利之行使,即構成不法侵害當事人權利,應負損害償責任。如當事人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件5百元以上2萬元以下計算(請參個資法第28條及29條)。
個資資料庫超越原特定目的之再利用
資料庫具有一種特性,當蒐集的資料越多且越多人使用,其經濟價值就越高,商機更是無可限量,這就是所謂的「網路外部性」(Network Externality),而電信網路也有這種現象,業者甚至提供網內互打免費及攜碼跳槽優惠的誘因來拉客。
在前述台灣大哥大M+APP案中,法院判決認為:電話號碼所屬之電信業者別,乃個人電話號碼之附屬資料,其係得與其他個資如姓名、國民身分證統一編號等資料,相互比對、組合、連結及勾稽後,據以作為間接識別特定個人之社會活動資料之一,自亦屬個資法所保護之聯絡方式之個資。
至於財團法人電信技術中心管理的「號碼可攜集中式資料庫」,乃係各電信業者共同依「號碼可攜服務管理辦法」規定,為通報、查詢、更新、交換,因轉換至其他電信事業(如原先在遠傳電信申請的手機門號可跳槽到台灣大哥大繼續使用),仍保留原使用電話號碼之用戶個資正確性之相互通報、協調、測試及查核、管理必要之特定目的而蒐集(見該辦法第31條規定)。
台灣大哥大開發並由酷樂公司推出之M+APP,將該「號碼可攜集中式資料庫」中原告個資檔案有關電話號碼之電信業者別傳輸予其他第三人,雖辯稱係提供其他第三人判別網內或網外,以節省其電話費用等情事,但已逾越上開蒐集特定目的之必要範圍,亦與公共利益無關,且難謂係有合理關連之利用,自屬不法利用原告之個資(請參台北地院103年北小字第1360號小額民事判決)。
除前述號碼可攜集中式資料庫之外,實務上還有許多形形色色的個資資料庫,如中央健保署的健保醫療資料庫、財團法人金融聯合徵信中心的信用財務資料庫、台灣集中保管結算所股份有限公司的股票證券資料庫、以及許多企業建制的客戶資料庫等,皆有可能發生超越原特定目的再利用的疑慮,例如利用個資大數據(Big Data)分析採礦(Data Mining)而提供超越原特定目的之各種雲端服務、商業行銷及創新應用等。惟該等利用仍須注意應受到個資法關於目的明確原則之約制。
因此,特定目的可作為個資的保護傘,他人蒐集、處理或利用個資均應受到該特定目的之限制,此亦屬「個資自主決定權」的體現,企業進行商業行銷與創新應用皆須特別注意。
<本文作者:陳佑寰,目前為執業律師。國立台灣大學法學碩士,美國賓夕法尼亞大學法學碩士。專攻領域為智慧財產權法、高科技產業議題及資訊法等。>