首頁 > 知識分享 > 個人資料保護法Q&A-蒐集個資時告知當事人的「目的」,是不是多多益善?

個人資料保護法Q&A-蒐集個資時告知當事人的「目的」,是不是多多益善?

2013/06/21

隨著個人資料保護法施行腳步的接近,企業著手進行相關因應措施的問題也愈來愈密集出現。筆者最近被詢問相當多的問題,即是蒐集個人資料時,應告知當事人的「目的」,要如何決定?許多企業都希望儘可能的在一開始向會員、交易相對人蒐集個人資料時,一次將企業所可能利用個人資料的「目的」,全部都跟當事人「告知」,一次取得當事人的同意,以避免後續的利用要再次取得同意?這樣的想法固然沒錯,但實際的執行卻未必真正能發揮效果,以下我們就來看看新修正個人資料保護法對於這個問題的處理。

個人資料保護法第19條規定,非公務機關必須要有特定目的,才可以蒐集、處理個人資料,亦僅得於特定目的之範圍內利用所蒐集來的個人資料(同法第20條規定)。第8條有關企業於蒐集時應向當事人告知蒐集與利用的「目的」,雖然用語不同,但基本上二者具有高度的關聯性,若採告知後同意的原則,自然企業僅能於告知的「目的」範圍內為個人資料的利用行為。企業為了降低個人資料為不同「目的」而須重覆蒐集的高成本,希望在首次蒐集個人資料時,一次就列出企業未來可能的利用目的,讓當事人一次同意,這樣的考量完全可以理解。然而,考量到個人資料的保護,個人資料保護法並不完全允許這樣的處理方式。

若單純由第8條、第19條、第20條的規定來看,個人資料保護法並未明文限制蒐集個人資料時之特定目的,但同法第5條規定則要求蒐集、利用時之「特定目的」,應與進行蒐集之「目的」具有正當合理之關聯,即比例原則上的限制。如果不是與蒐集的目的間具有正當合理關連,即使企業告知了當事人許多的特定目的,依然會因為違反比例原則,而被認為不符合個人資料保護法的規定。因此,企業如何決定向當事人告知之「蒐集目的」,與第19條第1項的蒐集個人資料之原因及方式,必須要綜合觀察。

舉例來說,通常企業蒐集個人資料最主要的用途,除了提供商品或服務所需之外,就是希望供作未來基於行銷之用。若是企業因「與當事人間有契約或類似契約之關係」,而得合法蒐集個人資料,在蒐集個人資料時,亦告知告事人未來會作為該企業其他商品或服務「行銷」目的使用(即告知蒐集目的包括行銷),則因考量到取得個人資料之原因為「與當事人間有契約或類似契約之關係」,企業亦僅得將此次蒐集所得之個人資料,用於行銷「與該契約或類似契約有關之商品資訊」,而不得將其用於行銷其他與當事人契約或類似契約內容無涉之商品或服務資訊。若是企業將其用於行銷與蒐集時之契約或類似契約內容無涉之商品或服務資訊,解釋上將可能被認定屬特定目的外的利用,須要符合新修正個人資料保護法第20條第1項第6款規定,經當事人書面同意後始得為之。

過去法務部對於銀行基於與其客戶之金融契約關係,而擬利用所蒐集個人資料行銷「保險商品」時,即曾經做成函釋認為,此種利用方法屬於目的外利用,需要另外取得當事人的書面同意(法務部96年2月5日法律決字第0960700061號函:「非公務機關利用個人資料之前提,原則上僅限於蒐集之特定目的必要範圍內;而上開所稱之「蒐集之特定目的必要範圍內」,如係依據本法第18 條第2 款規定,縱使基於「行銷」特定目的,尚需符合「與當事人契約或類似契約之關係」目的範圍內而無侵害當事人權益之虞者,始能利用。換言之,非公務機關依本法第18 條第2 款規定「與當事人有契約或類似契約之關係」所蒐集之個人資料使用於行銷之目的,應屬該契約或類似契約有關之商品資訊,始符合本法第23 條本文規定意旨。如行銷與當事人契約或類似契約內容無涉之商品或服務資訊,則應符合本法第23
條第4 款規定經當事人書面同意者,始得為之。查本件非公務機關之金融業,縱使取得主管機關許可與保險公司合作推廣保險商品,如僅基於與其客戶之「金融契約」關係,而擬利用所蒐集個人資料行銷「保險商品」者,依上開說明,未經當事人書面同意,似與本法規定有所不合。」)。

然而,企業並非均透過「與當事人間有契約或類似契約之關係」而蒐集個人資料,第19條第1項第5款,「經當事人書面同意」,也是企業經常用以合法蒐集個人資料之原因。前開書面同意,依個資法規定,指「當事人經蒐集者告知本法所定應告知事項後,所為允許之書面意思表示」。若是企業以書面敘明蒐集之目的包括後續行銷該企業之所有商品或服務,而獲當事人同意蒐集其個人資料,則因非僅透過「與當事人間有契約或類似契約之關係」蒐集個人資料,而係以較廣泛的「書面同意」,應可避免落入前開法務部對於特定目的範圍採取較嚴格解釋之困境,而擁有較大的彈性。

由前述說明我們可以了解,企業單純於蒐集個人資料時告知消費者廣泛的蒐集目的,若未與個人資料保護法第19條之蒐集原因及方式結合觀察,因第5條有關「比例原則」要求二者間須具有正當合理關聯的抽象規定存在,實際上並沒有太大的意義,將無法產生企業所期待「一次完整解決」的效果,反而容易讓企業員工產生可以廣泛運用個人資料的誤解,而致生違反個人資料保護法的事件。當然,企業前開「一次完整解決」的需求並非沒有解決的方式,透過適法性的規劃,仍可在法律許可的範圍內進行蒐集與利用,例如:前開的書面同意或是擴大契約或類似契約關係的範圍等,相信企業應可在降低蒐集成本與促進個人資料保護間尋求平衡點。


同系列文章

黃曉薇律師,個人資料保護法Q&A-書面同意是否一定要以紙本為之?

賴文智律師,個人資料保護法Q&A-敏感性個人資料禁止蒐集的效力?

賴文智律師,個人資料保護法Q&A-網友「人肉搜索」的合法性?

賴文智律師、蕭家捷律師,個人資料保護法Q&A-僱主臉書(Facebook)洩個資,當然不行!

賴文智律師、蕭家捷律師,個人資料保護法Q&A-可否要求網路業者刪除網友張貼之個人資料?

賴文智律師、蕭家捷律師,從南韓控蘋果集體訴訟案看我國個資法團體訴訟制度

賴文智律師,個人資料保護法Q&A-從NFC手機談個人資料的管制

賴文智律師,個人資料保護法Q&A-企業上雲端,個資保護責任誰負?

賴文智律師,個人資料保護法Q&A-依法股東名冊絕不能外流

賴文智律師,個人資料保護法Q&A-拒絕電話行銷後,仍然不斷收到相同業者的電話?

賴文智律師,個人資料保護法Q&A-與當事人約定永久保留、使用其個人資料,是否有違反法律?

蕭家捷律師,個人資料保護法Q&A-蒐集個資時告知當事人的「目的」,是不是多多益善?

蕭家捷律師,個人資料保護法Q&A-聯名信用卡終止發行與個資利用問題

蕭家捷律師,個人資料保護法Q&A-只要消費者曾進行購物,就可以後續進行其他商品或服務的行銷?

蕭家捷律師、賴文智律師,個人資料保護法Q&A-取得政府機關或第三公證單位的認證,是否就能免於個資賠償責任?

蕭家捷律師,個人資料保護法Q&A-網站或App以線上勾選方式取得個資蒐集、利用之同意是否合法?

蕭家捷律師,個人資料保護法Q&A-機關或企業可否利用公司人事資料提供內部通訊錄給全體同仁?

蕭家捷律師,個人資料保護法Q&A-員工的個人資料可以保留多久呢?

賴文智律師,個人資料保護法Q&A-是否應該要求員工一律簽署個人資料同意書?

蕭家捷律師,個人資料保護法Q&A-學校可以公告成績單、獎懲或榜單等事項嗎?

賴文智律師,個人資料保護法Q&A-使用者因個資外洩遭詐騙,可以向業者把遭詐騙的損失全部要回來嗎?

蕭家捷律師,個人資料保護法Q&A-父母向學校索取學生成績或其他校內表現記錄,學校該怎麼辦呢?

蕭家捷律師,個人資料保護法Q&A-朋友在Facebook的照片、打卡未經同意標記我,是否有違反個資法? 

賴文智律師,個人資料保護法Q&A-一般商務往來交換名片或參加活動時提供個人名片,蒐集者可以做怎麼樣的利用? 

請輸入關鍵字