客戶要求刪除或停止利用個人資料,如果不予理會,究竟會有什麼責任,公司內部統一的個人資料管理流程究竟有何意義,企業究竟是否須要花費時間、成本調整內部程序呢?據報載,日前某大賣場因為不理會客戶「停止寄發廣告電子郵件」的要求,遭法院以違反個資法為由判決賠償,此一判決有何足以作為企業調整內部管理政策的參考呢?
不想再收廣告信會員怒告大賣場勝訴
東森新聞 – 2014年10月15日
台北市一名郭姓會計師因為買東西參加大賣場的會員,後來不想再接到廣告信,要求大賣場刪除會員資料,大賣場也答應了,沒想到事後,還是持續接到電子廣告信52封,郭姓會計師怒告大賣場,法官依據個資法,判大賣場賠2萬6千元。
個資法第3條規定,當事人得隨時請求持有個資之人「請求停止蒐集、處理或利用」其個人資料,此外,如果個資的利用目的是「行銷」,個資法第20條第2項甚至特別規定「當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷」,也就是客戶「原則上」隨時可以請求企業將自己的資料從資料庫移除,或是不得再加以利用,而如果企業的利用目的是「行銷」,則「無論如何」,客戶都可以「隨時」要求企業停止行銷行為。
在個資法正式施行、全民對隱私權的意識提升的現在,我們應該可以相信,任何企業都不會忽視客戶對於刪除、停止利用或請求停止利用個資行銷的請求,但是對於個資法施行前就已經大量蒐集並保存個資的企業而言,如果沒有經過適當的盤點與內部管理流程調整,確實很可能於回應客戶請求時,無法確認究竟是否已經「完整」刪除所有客戶個資,或是面臨客服單位答應刪除個資,不知情的業務行銷單位或是個別業務人員,仍繼續與客戶聯繫、發送各種行銷資訊的情況。
於企業收到當事人的前開請求,卻未能完整達成客戶刪除或停止利用的要求時,依照個資法規定,除了主管機關或地方政府得限期改善,並按次處以新台幣2至20萬的罰鍰外,同時也構成個資法第29條所稱「違反本法規定,致個人資料遭不法蒐集、處理、利用」的情形,因此當事人除了可以自己名義提起訴訟請求賠償外,在受害人數眾多的場合,甚至可以循團體訴訟途徑,由個資保護團體代替眾多的當事人起訴,當事人只須要完成授權,就無須耗費自己的勞力費用時間,可以靜待司法判決出爐並於勝訴後獲得賠償。
至於賠償的金額究竟如何計算,依照個資法第28條第3項規定,原則上依照當事人的舉證,但如果當事人舉證有困難,法院可以自行在「每人每一事件新臺幣五百元以上二萬元以下」的範圍內作成決定,而所謂「每人每一事件」是一個當事人算一個事件,或是每次對同一個當事人的個資利用,都算是一個獨立的侵害?
新聞事實中的法官採取「每一封郵件都是一個事件」的見解,判決特力屋於個資法施行後寄送的16封郵件每封應賠償1千元;個資法施行前就已經寄送的36封郵件則共須賠償1萬元,總共2萬6千元。單就本件判決的總金額而言,或許對企業而言無足輕重,但如果考量集體訴訟的情形,當上百、上千位客戶同時對企業以「請求停止後卻繼續行銷」為由請求賠償時,再加上寄一封行銷電子郵件算是一個事件的計算基礎,成千上萬倍的賠償金額,恐怕任何一家企業都無法忽視,也將遠大於事前內部的管理流程調整。
綜而言之,個資法施行至今兩年,民眾對於隱私權的意識已經由施行前的不痛不癢、甫施行的無所適從,到目前積極於法庭中主張各項權利,由「預防法學」的觀點看來,與其日後面臨可能的損害賠償訴訟,在現代多數企業個資通常分別由不同部門保管、利用,甚至委外發送行銷資訊的情形,事前就完整盤點公司保留的個資、銷毀早已不具利用價值的各種資料、建立跨部門的個資管理流程與連動機制,絕對是所有企業應該進行的法規遵循投資項目。