在上一篇文章中,我們建立了一個關鍵認知:只要企業有在營運,幾乎就無法避免處理個人資料。既然避不開,那麼下一個問題自然是——如何讓這一切「合法化」?
許多企業誤以為,只要拿到客戶的姓名電話,就可以任意使用。然而,個人資料保護法(個資法)對如何蒐集、處理、利用個資,設下了嚴格的規範。其中在蒐集資料部分有兩條黃金法則,是所有合規工作的基礎,那就是「履行告知義務」與「取得當事人同意」。
一、履行「告知義務」
告知義務是個資保護的起點,確保了當事人的「知情權」。依據資料來源的不同,告知的方式與時機也有所差異。
(一) 直接蒐集時的告知義務(個資法第 8 條)
在向客戶直接索取任何個人資料之前,必須先清楚地告訴他「要拿這些資料做什麼」。這就是個資法第8條規定的「告知義務」。這不只是一個禮貌性的提醒,而是法定的強制要求。
根據法律,蒐集資料時必須明確告知當事人以下事項,這通常會以網站的《隱私權政策》或會員申請書上的《個資告知事項》等形式呈現。
- 蒐集機關名稱:清楚告知是「哪家公司」在蒐集資料。
- 蒐集之目的:說明蒐集這些資料是為了做什麼(例如:040 行銷、090 消費者、客戶管理與服務、148 網路購物及其他電子商務服務)。詳細目的和編號可以參考法務部訂定之個人資料保護法之特定目的及個人資料之類別。
- 個人資料之類別:告知將會蒐集哪些類型的資料(例如:姓名、聯絡方式、地址等)。
- 個人資料利用之期間、地區、對象及方式:
- 期間:資料會保存多久?(例如:會員關係存續期間、活動結束後三個月)。
- 地區:資料會在哪些地理範圍內被使用?例如:「本公司營運地區」。
- 對象:資料可能會提供給誰?(例如:僅本公司內部、關係企業、合作的物流廠商)。
- 方式:資料會被如何使用?(例如:用於寄送活動通知、新品EDM)。
- 當事人得行使之權利及方式:必須告知當事人,他們有權利查詢、閱覽、複製、補充、更正、停止蒐集處理利用及刪除其個資,並提供行使權利的聯絡方式(例如:可透過客服信箱 service@company.com 提出申請)。
- 當事人不提供個資時,將對其權益之影響:如果當事人不提供這些資料,會發生什麼事?(例如:將無法完成報名、無法接收訂單狀態通知、無法收到贈品)。
雖然事前告知是原則,但個資法第8條第2項也規定了幾種可以「免為告知」的例外情況,對企業而言,較可能適用的是以下幾種情形:
- 履行法定義務所必要: 例如公司為員工投保勞保而蒐集相關資料時(勞工保險條例第 10 條第 1 項)。
- 當事人明知應告知之內容: 例如當事人主動提供名片尋求合作,或是先前曾就同等事項進行告知,便可能會該當已明知其提供個資的目的。
- 非基於營利目的,且對當事人無不利影響: 例如舉辦非營利性質的公益活動,蒐集參與者聯絡資料時。
企業應注意,這些屬於例外情況,若無法確定是否適用,最穩妥的作法仍是履行完整的告知義務。
(二) 間接蒐集時的告知義務(個資法第 9 條)
當個人資料並非由當事人本人提供,而是來自於第三方時(例如:從合作夥伴處取得客戶名單),法律同樣要求必須履行告知義務。
告知的時機應在對資料進行處理或利用之前,實務上常見的做法是在首次利用該資料時一併告知,例如在第一次寄發的行銷郵件中,清楚說明資料來源及法定告知事項。告知內容除了上述第 8 條的法定事項外,還必須額外說明個人資料的來源。然而,在某些特定情況下可以免除告知義務,例如第 8 條的例外事項,或是該資料為當事人自行公開或其他已合法公開的個人資料。
二、取得「當事人同意」
在履行完告知義務後,處理個資最主要、也最穩妥的法律基礎,就是取得當事人的「同意」。
個資法依據個資的利用情境,對「同意的表示方式與層級」設下了不同的要求:
(一) 一般蒐集與處理的同意
指當事人經蒐集者告知法定事項後,所為允許之意思表示。在此情境下,法律承認「推定同意」,當企業已明確告知法定事項後,若當事人沒有表示拒絕,並且仍然主動提供了他們的個人資料,則可推定當事人已經同意。然而,實務上對於「推定同意」的成立有其嚴格要件,須在當事人有正面選擇同意與否的模式下進行,不能是企業「預設勾選同意」而當事人僅是未取消該同意勾選,且必須是當事人方面有自行輸入、上傳等積極提供資料的行為,若是系統預設自動上傳,縱使當事人未表示拒絕,仍不符合推定同意的要件。
(二) 特定目的外利用的同意
若要將資料用於蒐集時「特定目的以外」的用途(例如:將會員資料用於合作夥伴的行銷),則要求更高。法律規定,這必須是當事人經蒐集者明確告知新的利用目的、範圍及影響後,單獨所為的意思表示。若此項同意是與其他事項在同一份書面文件上取得,企業必須在適當位置,讓當事人知悉其內容並另外進行確認。
此外,蒐集者需負舉證責任。如果未來發生爭議,企業必須能夠證明自己確實取得了當事人的同意。因此,保留網站的勾選紀錄、紙本的同意書等證據至關重要。
重要提醒:當蒐集對象是未成年人時,企業必須採取更為審慎的作法。根據主管機關的見解,未成年人個資的蒐集與同意,應回歸適用民法關於行為能力的規定。此外,企業履行告知義務時,所使用的語言或文字必須符合學童之年齡、生活經驗及理解能力,且留意以贈品等方式進行是否有不當利誘之情形,以免違反個資法第 5 條的誠實信用原則。
三、例外情況:何時可以「不用同意」?
雖然「取得同意」是最穩妥的方式,但個資法也理解在某些商業情境下,逐一取得同意並不實際,因此規定了數種不需要取得同意也能合法蒐集個資的法定事由。了解這些事由,能讓企業在規劃業務流程時更有彈性。
(一) 蒐集「一般性個資」的例外條件(個資法第 19 條)
除了「經當事人同意」外,商業實務上較常用到的法定事由包括:
- 與當事人有契約或類似契約之關係:為了履行與客戶之間的合約所必要的資料蒐集,但須已採取適當之安全措施。例如電商平台為了配送商品,必須蒐集消費者的姓名、地址與電話。此舉是履行買賣契約所必須,不需再額外取得同意。
- 當事人自行公開或其他已合法公開之個人資料:例如從政府公開的商工登記網站上,取得公司負責人的姓名並與之聯繫;或是在社群媒體上,當事人已設為「公開」的個人資訊。
- 個人資料取自於一般可得之來源:透過大眾傳播、網際網路、新聞、雜誌、政府公報及其他一般人可得知悉或接觸而取得個人資料之管道。但須注意,若當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,即應停止使用。
- 對當事人權益無侵害:例如就職經歷、在訴訟中正當取得或提出之內容。
(二) 蒐集「敏感性個資」的條件(個資法第 6 條)
敏感性個資(病歷、醫療、基因、性生活、健康檢查及犯罪前科)原則上不得蒐集。除了極少數例外,商業實務上較可能遇到的合法蒐集情況為:
- 法律明文規定:例如雇主招募或僱用員工時,經員工書面同意,且符合比例原則下,得要求員工提供前科資料
- 當事人自行公開或其他已合法公開之個人資料:例如某位公眾人物在自己的社群媒體上,主動公開自己的健康檢查報告。
- 經當事人書面同意:這是最重要的條件。請注意,法律在此特別要求必須是「書面」同意,比一般個資的同意更為嚴格。並且須留意是否有逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或者當事人同意是否違反其意願。
重要提醒:即使符合上述免經同意的法定事由,企業在蒐集時原則上仍須履行「告知義務」(可參考前述關於告知義務部分之說明)。
四、結論:將「告知」與「同意」內化為標準流程
「先告知,再同意」是企業個資合規的兩大支柱。這不應該只是法務人員的工作,而應該內化為所有第一線接觸客戶資料的員工(如行銷、業務、客服)的標準作業流程(SOP)。在設計任何一個會接觸到個資的商業活動前,都先問自己兩個問題:
- 我是否已經準備好一份清晰的「告知事項」?
- 我是否有設計一個明確的機制來取得客戶的「同意」(又或是有明確的法律基礎,具備其他法定事由)?
確保這兩點,就能為你的個資合規之路,打下最穩固的基礎。
建立一份清晰完整的隱私權政策,並在蒐集資料的每個接觸點,都落實取得同意的機制,不僅是為了符合法律,更是為了贏得客戶的信任。若企業正在草擬個資聲明或隱私權政策,需要一份專業範本,或希望有專業人士協助檢視現有文件的合規性,歡迎隨時與我們聯繫,讓我們的專業法律服務成為事業的助力。