專欄文章

10.18.2022 網路隱私權條款分析:企業蒐集、使用個人資料時的三大重點事項

文 / 林煜騰律師

由於網際網路已經變成人民生活的一部分,民眾對於資訊隱私的重視程度相較於網路商業模式蓬勃發展前高出許多;也更會主動了解個人資料保護的相關法律,以及注意企業所制定的網路隱私條款或是網路隱私政策。並在個人資料遭濫用時對業者提出申訴、行政檢舉或是司法救濟。

面對民眾對於個資使用的質疑,除了產生法律上的風險外,對於企業的營運也是種內耗。不僅不利公司的業務推展,在公共關係上也會有不良的影響。因此,企業在蒐集、處理和利用(「處理和利用」,以下統稱「使用」)民眾個資,和制定網路隱私條款或政策時,事先瞭解我國法律對於個資保護有哪些要求與規範至關重要。

 

網路隱私條款注意事項一:哪些資料受到個資法保護?

個資法的立法目的,是為了避免民眾個人資料遭到公務機關或非公務機關(就是私人企業或其他法人)的侵害。而保護的前提在於可以透過這些資料識別出特定人。

如果從資料本身根本無從或難以識別這些資料的擁有者是誰,或縱使依據客觀方式進行推測,也無法確定究竟是何人的個人資料。針對這些資料的蒐集,就不受到個資法限制。

 

如果身份可以被識別,就需要符合個資法規範

反之,若就資料本身進行觀察,足以辨識、特定具體個人的資料,此時就必須符合個資法的規範。

法院在決定蒐集的資料是否屬於「個人資料」,是用「直接識別性」與「識別重要性」這兩個標準判斷。

 

直接識別性如何區分呢?

法院一般認為,只有姓名、國民身分證統一編號、護照號碼、指紋等資料具有直接特定個人識別性。至於其他資料都必須要與具有直接識別性的的資料結合,或有複數的資料一起呈現,才能識別出特定個人。非具有直接識別性的資料,若單獨提出不足以表現或特定個人,識別重要性就較低,此時不管如何利用,都不會有違反個資法的問題(臺灣高等法院105年度金上訴字第5號刑事判決)。

 

個人資歷認定後,將會區分為「敏感性個資」和「一般性個資」

一旦特定資料被認定為個人資料,個資法就將其區分為「敏感性個資」和「一般性個資」。

敏感性個資所指的是個資法第6條所提到的:「病歷、醫療、基因、性生活、健康檢查及犯罪前科」等資料;至於非個資法第6條所提到的個人資料,都是屬於一般性個資。

這兩種不同類型的個人資料,法律給予的保護程度不一樣,企業在蒐集時也會有不同的要求。

 

網路隱私條款注意事項二:該如何合法地蒐集個人資料?

(一)蒐集敏感性個資的條件有以下6點

依據個資法第6條規定,敏感性個資原則上不得蒐集,只有在例外的情況下才能允許蒐集。個資法第6條第1項明文規定以下六款事由:

  1. 法律明文規定

如:律師法第23條規定,律師受當事人委任訴訟案件應探究案情,搜求證據辦案。法院認為此規範賦予律師在辦案過程取得當事人前科紀錄之權利(桃園地方法院 105 年度聲判字第 82 號刑事裁定)。

  1. 公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施
  1. 當事人自行公開或其他已合法公開之個人資料

如:在臉書上的自我介紹欄公開姓名、電話、照片等資訊(臺灣高等法院臺中分院110年度上字第330號)

  1. 公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人
  1. 為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施
  1. 經當事人書面同意

但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限

 

(二)蒐集一般性個資的條件

如果企業想要蒐集服務使用者的一般性個資,則必須要在蒐集時具備特定目的,並符合個資法第19條第1項所羅列的八款事由之一。

  1. 法律明文規定

如:道路交通管理處罰條例第7條之1,規定民眾可以檢舉違反交通規則的車輛,此時就可以照相方式照下違規者車牌(新竹地方法院109年度交字第25號判決)。

  1. 與當事人有契約或類似契約之關係,且已採取適當之安全措施

如:業者因為消費者報名講堂活動,蒐集足以辨識報名者身分的個人資料(如:姓名、聯絡方式等),但若是跟契約履行無關之個人資料或並非為履行契約所必需者要有另外的蒐集事由(法務部106.06.15.法律字第10603503880號函釋)。

  1. 當事人自行公開或其他已合法公開之個人資料

如:補習班業者為了招生的需求將負責人的照片公開在廣告手冊(臺灣臺中地方法院101年度 訴字第3077號民事判決)。

  1. 學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人
  1. 經當事人同意

如:法院認為名片上所提供的資訊是名片提供者同意提供給他人的資訊(臺灣高雄地方法院109年度訴字第773號刑事判決)。

  1. 為增進公共利益所必要

如:為了犯罪蒐證而錄影(臺灣高等法院臺南分院108年度上易字第380號民事判決)。

  1. 個人資料取自於一般可得之來源

但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。

如:自學校網站上所取得的資料(臺灣臺北地方法院108年度審原易字第41號刑事判決)。

  1. 對當事人權益無侵害

 

(三)企業在網路上蒐集到個人資料後,有哪些義務?

企業在網路上蒐集到使用者個人資料後,個資法賦予被蒐集者一定的權利。企業不得要求服務使用者預先拋棄或以特約限制這些權利。

使用者所擁有權利,相對而言就是企業的義務。企業在蒐集個資後必須遵守的義務包含下列事項(個資法第10、11條):

  1. 協助被蒐集資料的服務使用者「查詢或請求閱覽」被蒐集的個人資料;
  2. 提供「複製本」;
  3. 補充或更正蒐集的資料;
  4. 停止蒐集、處理或利用個資;
  5. 刪除被蒐集的個資。

此外,企業在網路上蒐集到個資後,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏(個資法第27條第1項)。如果因為違反個資法的規定導致使用者個人資料被竊取、洩漏、竄改或其他侵害,並應查明後以適當方式通知當事人(個資法第12條)。

必須注意,企業在蒐集個資的目的達成後,原則上有義務主動刪除個人資料,但因執行職務或業務所必須或經當事人書面同意者,則不在此限(個資法第11條第3項)。

 

網路隱私條款注意事項三:企業該如何合法地使用個人資料?

無論是網路購物平台、網路影音網站、或是讓使用者可透過網際網路直接連結至雲端使用的應用程式(所謂的SaaS, Software as a Service)服務,多半都會要求使用者填寫會員資料,並記錄會員在平台上的活動狀況(如:交易紀錄、點閱紀錄、閱覽紀錄等)。

就算不是專營網路服務的企業,為了行銷、廣告或是優化服務的需求,也會製作心理測驗或是問卷來蒐集使用者個人資料。如果企業要針對這些個人資料的進行後續處理、利用,都必須要符合個資法的要求。

 

(一)個資法上使用個資的基本原則

個資法將個人資料區分為「敏感性個資」和「一般性個資」,這兩種不同類型的個人資料,法律給予的保護程度不一樣,企業在處理、利用個資時也會有不同的要求。

 

1. 處理與利用的差異

而所謂「處理」,是指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送;「利用」,則是指處理以外之其他使用(個資法第2條第4款、第5款)。

 

2. 企業使用個資的四大原則

無論是「敏感性個資」或「一般性個資」,個資法的大原則是要求企業在網路上蒐集服務使用者個資時,必須要具備特定目的(個資法第6條以及同法第19條)。

不管是個人資料之蒐集、處理或利用,當要尊重當事人之權益,依誠實及信用方法為之。而針對蒐集到的資料的處理、利用,「不得逾越特定目的之必要範圍」,並應與「蒐集之目的具有正當合理之關聯」(個資法第5條、第20條)。

個資法第5條的立法理由明確點出:「為避免資料蒐集者巧立名目或理由,任意的蒐集、處理或利用個人資料,爰明定個人資料之蒐集、處理或利用,應與蒐集之目的有正當合理之關聯,不得與其他目的作不當之聯結。」因此,個資的使用,原則上必須要跟符合蒐集的目的,才屬合法。

 

(二)應於蒐集目的範圍內使用,並符合比例原則

法院認為所謂特定目的「必要」範圍,其內涵實就是比例性原則。

因此,使用個人資料時,必須同時審視使用個人資料的情形,是否符合合適性原則、必要性原則及狹義比例原則。

因此,業者在蒐集使用者個人資料時,必須在隱私條款內將蒐集的目的說明清楚,使用上才會比較彈性以及避免觸法。

若業者所蒐集的資料並非事由資料提供者本人所提供,而是來自於第三方,則應在處理或利用前,向當事人告知個人資料來源以及法定告知事項(個資法第9條第1項)。

但依個資法第9條第2項規定,屬於「當事人自行公開或其他已合法公開之個人資料」、「不能向當事人或其法定代理人為告知」、「基於公共利益為統計或學術研究之目的而有必要,且該資料須經提供者處理後或蒐集者依其揭露方式,無從識別特定當事人者為限」、「大眾傳播業者基於新聞報導之公益目的而蒐集個人資料」或是符合本文先前所提到個資法第8條第2項之情形,就可以例外不告知。

 

(三)例外情形:如何在蒐集目的範圍外合法使用個資?

有原則就會有例外,企業在蒐集個資後,可能基於各種因素會需要在蒐集目的範圍外使用個人資料。個資法明文規定了一些例外的情境,並針對「敏感性個資」和「一般性個資」各有不同的要求。

針對敏感性個資,原則上是不能蒐集、處理和利用。只有在符合以下6種例外情形才可以(個資法第6條第1項):

  1. 法律明文規定;
  2. 公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施;
  3. 當事人自行公開或其他已合法公開之個人資料;
  4. 公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人;
  5. 為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內且事前或事後有適當安全維護措施;
  6. 經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。

 

依據條文文義,只有「當事人書面同意」這款需要在特定目的之必要範圍內處理、利用敏感性個資,其他事由並不用有同樣的限制。

不過法院認為就算符合個資法第6條第1項而合法取得這些資料,如果要利用也必須要在蒐集此資料的「目的範圍內」使用。若超出使用範圍而未符合同法第20條第1項條例外規定,也是違法(臺灣高等法院刑事判決104年度上易字第2289號)。

 

網路隱私條款注意事項總結:重視個資使用方式,以避免觸法

由於每個企業經營的項目不同,所欲蒐集、處理、利用的個資事項也會不同,能夠承擔法律風險的能力高低也不一樣,很難有一個可以一體適用的網路隱私條款可供參照。

但個資的利用絕大部分是環繞在「蒐集的目的」之上。因此,如果企業想要低風險的合法利用個資,在隱私條款內,最重要也最簡便的方式,就是將個資蒐集的「目的」、「使用方式」清楚列出,以便免爭議。除此之外,個資法也有羅列法定的告知事項,必須要在網路隱私條款告知消費者,才能避免觸法。

如果你已經要開始透過網路平台推廣服務或商品,針對網路隱私條款有一定的想法和需求,歡迎和本所聯繫info@ozgoodwin.com,更深入的了解。

如想要了解更詳盡的內容,可以參考:
【網路隱私權政策4大重點】商業品牌在網路蒐集個資重點全公開一文。