在先前的文章中,我們介紹了如何「合法地蒐集」個人資料。然而,這只是第一步。許多企業的法律風險,往往發生在蒐集資料後的「利用」階段。
「我為了寄送商品而蒐集客戶地址,可以順便寄送新品型錄給他嗎?」
「我為了辦 A 活動蒐集了名單,可以拿來邀請他們參加 B 活動嗎?」
這些問題的核心都指向個人資料保護法(個資法)中關於「利用」的核心規範,本篇文章則將聚焦在「目的內利用」的比例原則,以及「目的外利用」的嚴格限制,為企業的個資應用方式與策略,提出清晰的合規建議。
一、特定目的內利用
個資法第 5 條與第 20 條,為個資的利用設下了最根本的原則:個人資料的處理與利用,應與蒐集時的「特定目的」具有正當合理的關聯,且不得逾越該目的之「必要範圍」。
(一)特定目的:這是在【合規篇】中,企業在蒐集資料前就必須向當事人清楚告知的事項。例如,當初告知的目的是「會員管理與服務」,那麼後續的利用就必須與此目的相關。詳細目的和編號可以參考個人資料保護法之特定目的及個人資料之類別。
(二)必要範圍(比例原則):法院在判斷是否「必要」時,會採用「比例原則」來檢驗,包含三個子原則:
- 適當性(合適性):利用該資料的方法,確實有助於達成當初的蒐集目的。
- 必要性:在所有能達成目的的方法中,應選擇對當事人權益侵害最小的方式。
- 衡平性:利用資料所帶來的利益,不能與因此對當事人造成的損害不成比例。
舉例來說,將含有妨害家庭案件的當事人姓名、地址的民事判決書發送到土地公廟或當事人鄰居家。法院認為,雖然判決書是公開資訊,但其原始目的是用於行使訴訟權利,未隱蔽當事人個人資料而直接公開,顯然已逾越特定目的之必要範圍,侵害了該當事人的隱私權,因此構成違法。
二、特定目的外利用
有原則就有例外。個資法也理解到,商業實務上可能會有在原始目的之外利用個資的需求。因此,個資法第 20 條第 1 項但書也列出了幾種可以合法進行「目的外利用」的例外情況。
(一)常見特定目的外利用事由
商業實務上,企業較可能涉及的例外事由可能包括:
- 法律明文規定:企業在引用此款時應特別注意,部分實務見解對「法律明文規定」採嚴格解釋。並非任何法規課予企業的一般性義務(例如,《團體協約法》要求勞資雙方應提供協商必要資料),就能直接等同於個資法上允許「目的外利用」的明文規定。
- 經當事人同意:這是企業進行目的外利用時(例如:交叉行銷、合作夥伴推廣),最重要也最穩妥的法律基礎。但必須注意,此處的同意,必須是當事人經明確告知新的利用目的後,「單獨所為」的意思表示,其要求比一般蒐集時的同意更為嚴格。若此項同意是與其他事項在同一份書面文件上取得,企業必須在適當位置,讓當事人知悉其內容並另外進行確認。
- 有利於當事人權益:這是一個較有彈性的條款,但企業必須能夠證明該目的外利用,最終是對當事人有利的。法院在實務上曾有案例,其中汽車業務員為了替客戶找到指定顏色、型號的車輛,在自家車廠缺貨的情況下,將客戶的個資用於向另一家同業調車並完成訂單。法院認為,此舉雖然逾越了客戶最初授權的蒐集目的(僅限於在原車廠購車),但最終是為了滿足客戶的需求,故認定未違法。
(二)拒絕商業行銷的權利
如果依前述規定在特定目的外利用個人資料進行行銷,需要讓當事人可以拒絕接受。對此,個資法第 20 條以及「拒絕商業行銷指引」有特別的強化規範,企業必須注意以下幾點:
- 行銷時應表明身分:在進行行銷時,必須主動表明你的公司或品牌名稱。
- 首次行銷的義務:當企業「第一次」利用客戶個資進行行銷時,必須免費提供讓客戶能輕易表示拒絕的方式。例如在 Email 中提供「取消訂閱」的連結、提供免付費的客服電話或簡訊、或是在 APP 內建取消推播的選項。
- 當事人可隨時、任意拒絕:客戶有權不附理由、隨時、任意表示不想再收到行銷訊息。而且,當事人不一定要透過你提供的「官方管道」來表示拒絕,即使只是口頭告知、或回覆 Email 表示拒絕,也都算數。
- 立即停止行銷:一旦收到客戶的拒絕表示,就必須立即停止利用其個資進行行銷,並應建立內部流程(例如更新客戶標籤、將其加入排除名單),確保不會再對其發送行銷訊息。而且之後如果沒有經過當事人再為通知或更改其意願前,不得再為行銷。
三、結論:從源頭規劃,取得有效同意
總結來說,合法利用個資的關鍵在於「特定目的」的界定。最能降低風險的做法,就是在蒐集個資的當下,於隱私權條款或告知事項中,盡可能清晰、廣泛地說明未來所有可能的利用目的與方式,並取得當事人概括的同意。
若未來有超出原始特定目的範圍的新用途,最保險的方式永遠是重新與當事人溝通,並再次取得明確的同意。這不僅是法律的要求,更是建立長久客戶信任關係的基石。