在前兩篇文章中,我們聚焦於企業的「義務」,談論了什麼是個資、以及如何合法地蒐集與利用。現在,我們要轉換視角,從「當事人」(也就是企業的客戶、會員)的角度出發,看看個資法賦予了他們哪些「權利」。
當消費者前來主張權利時,企業的回應方式其實已經不僅是法遵議題,更是會直接影響客戶的信任與品牌形象。一套順暢、透明的處理流程,在確保合法合規的前提下,更能將潛在的客訴轉化為贏得信賴的契機。
本篇文章將介紹當事人在個資法上享有的五大核心權利,並為企業提供一套標準作業程序(SOP),以應對這些權利請求。
一、當事人依法享有的五項權利
根據個資法第 3 條,當事人就其個人資料,可以向企業主張以下五種核心權利:
- 查詢或請求閱覽:當事人有權詢問企業是否持有自己的個資,以及持有哪些個資,並可請求親自閱覽。
- 請求製給複製本:當事人可以請求企業提供一份自己個資的副本。
- 請求補充或更正:當事人發現企業保有的個資不正確或不完整時,有權要求企業補充或更正。
- 請求停止蒐集、處理或利用:在特定目的消失或期限屆滿時,當事人有權要求企業停止繼續蒐集、處理或利用其個資。
- 請求刪除:當事人可以要求企業將其個人資料完全刪除。
此外,企業可能在蒐集的特定目的外利用個人資料進行行銷,針對這種行銷行為,需要提供讓當事人可以拒絕的管道。對此,個資法第 20 條以及「拒絕商業行銷指引」有特別的強化規範,對此可以參考【利用篇】中的說明。
二、企業應對的 SOP:一套標準作業流程
面對當事人的權利請求,採取正向觀點將其視為客戶服務的一環。建立一套標準作業程序(SOP),是確保合法應對以及有效管理的第一步。
(一)建立明確的受理窗口
在隱私權政策或官網上,明確指定一個統一的受理窗口,例如:客服信箱(service@company.com)、線上表單,或是客服電話。這能避免當事人的請求在公司內部四處流轉,造成延誤。
(二)核實當事人身分
在處理請求之前,確認「提出請求的人,就是個資的本人」,防止他人冒用身分竊取資料,無端增加個資外洩風險。
核實身分的方式必須符合「比例原則」,不能為了核實身分而蒐集更多不必要的個資。常見的作法是:
- 線上:請對方提供註冊時的 Email、手機號碼,並透過回信或回電的方式進行驗證,或最近一筆訂單編號等既有資料進行比對,通常已足夠。
- 線下:請對方出示身分證件核對。
(三)遵守法定的處理時限
個資法對於企業處理權利請求,設下了明確的時間限制:
- 查詢、閱覽、複製本:應於收到請求後的 15 日內決定是否同意;必要時可再延長 15 日,並應以書面通知當事人。
- 補充、更正、停止蒐集/處理/利用、刪除:應於收到請求後的 30 日內處理完畢;必要時可再延長 30 日,並應以書面通知當事人。
(四)了解可以「依法拒絕」的例外情況
雖然保障當事人權利是原則,但是不是客戶的所有要求都必須照單全收?不一定。在特定情況下,法律允許企業有正當理由拒絕當事人的請求。
針對「查詢、閱覽、複製本」的請求,可能適用的情況是妨害該蒐集機關或第三人之重大利益時,例如若提供資料會洩漏企業的營業秘密。
針對「停止蒐集/處理/利用或刪除」的部分,除另外取得當事人書面同意,則可能適用的情況是因執行職務或業務所必須時。例如依據商業會計法,相關的交易憑證有法定保存年限,即使客戶要求刪除,在年限屆滿前可依法拒絕。
三、結論:將權利應對,視為客戶服務的一環
將處理當事人權利請求的流程,從被動的法遵義務,提升為主動的客戶服務,是現代企業建立信任感的關鍵。一套順暢、透明且有效率的 SOP,不僅能確保企業在法律的保護傘下運作,更能向客戶展現企業對其個資權利的尊重,在個資意識日益高漲的今天,這種信任感,將是企業最寶貴的無形資產。