告知後同意 GDPR 個資法

檢視「告知後同意」 研擬優化機制適用新法

2018-03-27
今年(2018)5月25日將施行的歐盟新版個資法(GDPR)亦循前例採用告知後同意的機制,更強調「告知」必須讓人容易理解且以清楚淺白的語言為之,「同意」則必須確實且係基於自由決定,並容許當事人撤回同意,值得注意。
關於個資之蒐集、處理及利用,原則上須先告知當事人關於個資法所定事項並獲其同意始可進行,此即「告知後同意」(Informed Consent),乃國際上個資保護之通則且為我國個資法所採納。今年(2018)5月25日將施行的歐盟新版個資法(GDPR)亦循前例採用告知後同意的機制,更強調「告知」必須讓人容易理解且以清楚淺白的語言為之,「同意」則必須確實且係基於自由決定,並容許當事人撤回同意,值得注意。

告知後同意的好意與扭曲

「告知後同意」是為了確保當事人在充分資訊下做出適當決定,除了個資保護之外,這也廣泛運用在醫療服務與金融商品的銷售且由法律所明定(參見醫療法第63條及金融消費者保護法第10條)。告知後同意的機制顯然是基於好意,但在具體實踐上卻可能遭到扭曲,例如:

1.很多人收到密密麻麻的告知文件,其實根本就沒有讀。

2.即使有人想要逐字逐句好好閱讀告知文件,卻常常是有看沒有懂,因為裡面有許多專業用語與不容易了解的語法。

3.常見業務人員嘴巴講得天花亂墜,吸引人們去購買商品或服務,但那些話術卻沒有寫在白紙黑字的告知文件中。

4.人們不管有沒有看懂告知文件,最後都被要求簽名(或按鍵)表示同意。

5.如果表示同意,就不能進行下一個步驟,無法進行交易或是享用免費的服務。

6.一旦表示同意,出狀況時,就推說使用者已同意而讓業者免責。

上述這些扭曲的現象,不只發生在個資實務,也會發生民眾日常生活上經常面對的醫療、財務及勞資關係等事務上。例如病人因痔瘡去看醫生,躺在病床上就診時竟隨即進行結紮切除手術,然後被遞上一張手術同意書,當場簽名畫押。雖然痔瘡手術是風險低的簡易小手術,但如果發生危險,事後檢視該手術同意書卻會發現醫生「看來」有聲明手術危險,病人「看來」已瞭解風險且已同意進行手術。在這張文件上,該有的資訊告知都有,也有勾選、簽名,鐵證如山。

個資實務上亦有類似的情形,人們只是想要上網買東西或進行社交活動,根本沒有仔細閱讀資訊告知文,等到收到許多推銷廣告甚至遭到電話詐欺,才發現不要錢的最貴,原來平常已經默默地同意別人廣泛地利用自己的個資。

現行法規六大主要規定

我國個資法及施行細則歷經數次修正後,現行法規關於告知後同意的主要規定為:

1.公務機關或非公務機關向當事人搜集個資,應明確告知蒐集機關名稱、搜集目的、個資類別、利用方式、當事人得查詢或請求刪除等個人自主權之特定事項,並訂有幾種免為告知之例外情事,這是有關「直接搜集個資」的規定。

2.任何機關蒐集非由當事人提供之個資,應於處理或利用前,應向當事人告知個資來源(即從何處取得個資)以及法定應告知事項,此屬「間接搜集個資」的規定。

3.告知之方式,得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。

4.現行一般個資之蒐集、處理及利用之「書面同意」已修正為「同意」,不再限定以書面方式為之。蒐集者就個資法所稱經當事人同意之事實,應負舉證責任。任何機關明確告知當事人應告知事項時,當事人如未表示拒絕,並已提供其個資者,推定當事人已表示同意。

5.關於病歷、醫療、基因、性生活、健康檢查、犯罪前科等特種個資之蒐集、處理或利用,原來是採嚴格控管的原則,後來則增列經當事人「書面同意」的例外。該書面同意方式,依電子簽章法規定,得以電子文件為之。

6.當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之同意,如係與其他意思表示於同一書面為之者,蒐集者應於適當位置使當事人得以知悉其內容並確認同意。

因應GDPR研擬優化作法

值得注意的是歐洲議會於2016年4月27日通過歐盟新版個資法,更強化個資保護,以因應科技不斷進步及資訊過度氾濫對個資隱私的衝擊。GDPR歷經約二年的緩衝期,將於今年5月25日施行,其受到全世界重視的原因除了更周延的個資保護外,主要有二:1.不論在歐盟是否設有據點,只要有蒐集、處理及利用歐盟居民個資,就會受到規範;2.違反者將可能受到鉅額罰鍰,最高可處以2千萬歐元或企業全球營業額的4%。

GDPR增加個資當事人的權益如被遺忘權(要求業者刪除個資)、個資可攜權(要求將個資由原服務業者轉移至其他業者)等,亦要求在一定條件下應設置資料保護長,固然值得重視,而其就個資保護的告知後同意機制更加以強化。GDPR規定關於個資相關事項的告知必須:以簡潔、透明、易懂且容易接近的形式;使用清楚淺白的語言;以書面或其他方式如電子形式提供;如依當事人請求亦得以口頭提供。

至於告知後的同意,須由處理者證明已獲得當事人同意。如當事人是在眾多事項中表示同意,則個資相關的部分必須能清楚地與其他事項區分,並以易懂且容易接近的形式,使用清楚淺白的語言而表示。同意亦須本於當事人自由決定,此需考量關於契約的履行或服務的提供是否以個資利用同意為必要。此外,當事人也有權撤回同意,且要能像同意一樣簡單。

我國企業(特別是被強烈要求遵法及內控內稽的金融機構)即使不在歐盟設有據點,如有蒐集、處理及利用歐盟居民個資,也會適用歐盟新版個資法,這是國際個資規範標準化的趨勢。業者應特別注意GDPR的影響,並研議優化告知後同意的作法,而市場上也可能出現AI的APP協助民眾有效管理個資,不會再像過去一樣閉著眼睛同意了。

<本文作者:陳佑寰,目前為執業律師。國立台灣大學法學碩士,美國賓夕法尼亞大學法學碩士。專攻領域為智慧財產權法、高科技產業議題及資訊法等。>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!