會員是網路行銷最珍貴的資源,在網路使用者提供個人資料加入網站成為會員之後,業者是否就可以任意使用會員的個人資料呢?答案不但是「不行」,而且依照歐洲議會去年(2015)年底通過的新版資料保護規範(General Data Protection Regulation,簡稱GDPR)中甚至將近年來熱門的「被遺忘權」明文化,亦即業者不但不能任意使用個人資料,當事人還可以在一定的條件下要求業者將自己的資料刪除。本文將先以歐盟最新的立法活動為例,介紹網路世界中關於個人資料的保護,並參以我國相關法律的規定,來討論全球個人資料保護規範的發展趨勢,以供網路行銷業者參考。
歐盟最新資料保護規範
歐洲議會在2015年12月通過修訂GDPR的法案,明文要求業者在蒐集個資時應經過當事人明確的同意,且授與人們在特定條件下,有權利要求個人資料的持有者移除自己的個人身分資訊等。歐盟本次修法有幾項重要的特徵:
- 進行個資處理前,必須先取得當事人明確而肯定的同意(clear and affirmative consent),以使當事人對其隱私資料獲得更多的控制權,因此網站必須給予當事人藉由點選同意或類似方式,積極的表示同意,至於單純的保持沈默、預設選項為同意(pre-ticked boxes)等情形將不構成前述所稱同意。
- 正式將被遺忘的權利明文化,如果個資依當初蒐集目的已不再必要,或個資當事人撤回(withdraw)過去的同意,且業者沒有其他合法的保留基礎(legal ground)時,業者都有義務將個資刪除。
- 當嚴重的資料侵害事件發生時,業者須盡快將該情形通知主管機關,以利當事人採取適當的措施。
- 隱私權政策或類似的文件應以簡明的文字(plain language)呈現。
- 違反本規定的罰鍰最高可處該公司「全球」總營業額的4%或2,000萬歐元,取其高者為準。
- 前述規範適用於在歐盟市場從事業務而持有歐盟人民資料的外國公司。
新的規定將取代歐盟現行制訂於1995年-網際網路初生的年代的規定,歐洲議會認為新的規定在這個智慧型手機、社群媒體當道的年代,將更能使個資當事人對自己的隱私資訊取得控制權,同時也能夠藉由法規的明確化,加速數位市場的創新與進一步發展。
我國個人資料保護法
瞭解顧客需求、正確分析、行銷適當產品,是網路時代業者共同的期望,而精準行銷有賴蒐集客戶長期、完整的資料,比如性別、年齡、學歷、收入、過去消費偏好,甚至已婚未婚等等,這些資料的取得,過去尚可仰賴數據資料庫的購買,但在我國個資法於2012年10月正式上路以後,個人資料的買賣基本上都有很高的違法風險,因此必須由商家或業者自行逐步建立、蒐集自己的顧客資料庫,此時面臨的問題即是究竟哪些資料可以蒐集、可以如何利用、可以用來行銷哪些產品,而也由於資料蒐集成本的提高,因此許多業者自然一方面希望可以將已經蒐集完成的資料長期保存,另一方面也希望可以將這些資料利用在不同的商城、關係企業或事業部門。
個資法於去年(2015)年底再次修正並經總統公布,重大修正內容包括修正第6條,明確規定病歷亦為特種個資的一種,並增訂在取得當事人書面同意,以及公務機關執行法定職務與非公務機關履行法定義務時,都可以蒐集、利用這些敏感個資。且為因應現今網路、電子商務的蓬勃發展,除了上述敏感個資蒐集、處理及利用仍以「書面同意」作為要件外,新法中也將原第7條規定蒐集、處理及利用一般個人資料的「書面同意」要件修正為「同意」,不再限定以書面的方式為之,以但相對的則要求業者必須負起舉證當事人曾經表示同意的義務。應該要特別說明的是,此處的書面同意或同意,所指的是業者與個資當事人完全沒有任何契約的情形下,單純以當事人同意作為基礎,使業者取得蒐集、利用個資的權利。
此次修法應不會影響前述利用會員制度蒐集個資的策略,理由在於,使用者加入會員時,就與業者存在某種契約或類似契約關係(亦即會員關係),因此業者本來就可以依照個資法第19條第1項第2款的「與當事人有契約或類似契約之關係」蒐集個人資料,而無須再另行透過修法的「當事人同意」,作為取得蒐集與利用的基礎,然而,如果蒐集個資時以「單一網站」為蒐集主體,則恐怕就不適合將資料用於公司內部的不同網路事業,當然,更不能基於關係企業等原因,就將消費者的個人資料在不同公司之間流通。
更要提醒網路行銷業者無論如何應特別注意的事,就是不要去買個人資料。網路上有一些出售個人資料(特定或非特定群體均有)的業者,千萬要記得,個人資料的蒐集必須與當事人間有一定的法律基礎,使用也不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯,因此將自己或別人蒐集來的個人資料打包出售,屬於違法的行為,向別人買現成的個人資料,也已觸法。
個資保護不分國界
在網路發達的現代,資訊流通幾乎是沒有國界可言。但是,讀者一定要注意,各國政府仍然透過國內法律或國際協議,努力地在保護各法領域內的個人資料。以我國個資法第21條為例,即規定「非公務機關為國際傳輸個人資料,而有下列情形之一者,中央目的事業主管機關得限制之:一、涉及國家重大利益。二、國際條約或協定有特別規定。三、接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞。四、以迂迴方法向第三國(地區)傳輸個人資料規避本法。」許多外商在我國進行個人資料的蒐集時,也會向法務部尋求解釋,以便合法地將在我國蒐集的資料輸出到其母國。
在歐洲,對於個人隱私權保護可以說是世界上最先進的。例如歐盟與美國2000年敲定、允許雙方企業與個人流通數位資料的數據傳輸協定「安全港」(Safe Harbour),在2015年10月被歐洲法院認定,該協議未能充分保障歐盟公民隱私,而宣告無效,且本次GDPR的制訂更明確規定蒐集歐盟人民資料、在歐洲進行業務的業者均須遵守該法規。因此以我國為基地的網路行銷業者,千萬不要認為歐盟或任何其他外國的法律離自己很遠,只要遵守台灣的法律即可。在這個網路行銷無國界的時代,只要將行銷資訊傳上網路,在世界各角落甚至是外太空,只要能上網的地方就能看到你在網路上的行為。如果不注意遵守國際上認可的規範,可能發生的風險有二,一是網友以國際標準來要求業者,不重視隱私的形象一旦傳開,對業者也是一種莫大的傷害;其次是如果業者有國際化的營運規模,在觸犯國外營運地點或資產所在地國家的法律時,被制裁的代價也會相當高昂。