將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2012/3/28

及早規劃以免受罰

間接搜集個資的告知義務

陳佑寰
「間接搜集個資」也就是從持有個資的第三人輾轉取得當事人個資的情形,未來必須告知當事人法定事項,勢必增加企業的營運成本,應未雨綢繆。
許多企業正積極準備以因應新版個資法的生效施行,因其規範對象不再侷限於公務機關與特定行業,更及於任何自然人、法人或團體,而規範客體則擴及到得以直接、間接識別特定個人的資料。企業為遵守個資法的規定以免遭受處罰或求償,必須建置個資安全措施以及履行法定的告知義務。

直接與間接搜集個資

個資法第8條規定公務機關或非公務機關向當事人搜集個資,應明確告知特定事項,這是有關「直接搜集個資」的規定。

影響層面更大的則是個資法第9條關於「間接搜集個資」的規定,亦即任何機關蒐集非由當事人提供之個資,應於處理或利用前,向當事人告知個資來源(即從何處取得個資)以及機關名稱、搜集目的、個資類別、利用方式、當事人得查詢或請求刪除等個人自主權之法定事項。

常見間接蒐集個資類型是購物商場(如實體百貨商場或線上購物網站)將消費者的個資提供給合作廠商。商場固然應依個資法規定直接搜集消費者個資,而其提供個資予合作廠商的行為因屬於個資的利用,亦需取得消費者同意。

至於該合作廠商(如負責運送、維修或提供其他服務的廠商)自商場取得消費者個資,即屬間接蒐集個資的類型,應主動告知消費者,才能進一步處理或利用。

此外,我們到銀行開戶或辦信用卡時,會在銀行的制式文件中看到「個資使用同意條款」,詢問客戶是否同意將本人帳務、信用、投資、保險等資料提供給金融控股公司之子公司間進行共同行銷。

然而就個人基本資料而言,銀行並不會特別詢問客戶,因為依照金融控股公司法第43條規定,金控集團之子公司間就客戶之個人基本資料可共同使用,不需事先取得客戶同意。

因此我們才會常常接到推銷各種金融商品或服務的電話。然而,依照個資法第9條的新規定,金控子公司自其他子公司間接蒐集客戶之個資,亦須先行告知,才能進一步處理或利用。

告知方式與時機

關於告知的方式,個資法施行細則草案第13條規定得以書面、電話、傳真、電子文件或其他適當方式為之。須特別注意,該告知雖不以書面為必要,但應以個別通知之方式(如電子郵件)使當事人知悉,不能僅以網站公告為之。

此外,關於告知的時機,應於處理或利用個資之前告知,亦得於首次對當事人為利用時併同為之(例如對消費者行銷商品時),以提高效率減低成本。

緩衝機制

由於間接蒐集個資的告知義務將增加企業龐大的資訊處理成本,個資法設有二道緩衝機制:

一、就個資法修正施行前非由當事人提供之個資(即間接搜集個資類型),個資法第54條提供1年的緩衝期,搜集者應自個資法修正施行之日起1年內完成告知,逾期未告知而處理或利用者,以違反個資法第9條規定論處。

二、個資法第9條第2項規定如下之例外情事,得免為告知:
1.有個資法第8條第2項關於直接搜集個資所列免為告知情形之一。
2.當事人自行公開或其他已合法公開之個資。
3.不能向當事人或其法定代理人為告知。
4.基於公共利益為統計或學術研究之目的而有必要,且該資料須經提供者處理後或蒐集者依其揭露方式,無從識別特定當事人者為限。
5.大眾傳播業者基於新聞報導之公益目的而蒐集個資。

值得一提的是,如果新聞媒體間接搜集個資需告知當事人其取得個資之來源,可能因此限制新聞自由,乃有上開第5款之例外規定,這在個資法草案於立法院審議時曾引起激烈討論。

此外,亦有其他法律之例外規定以降低個資法對特定業者的衝擊,例如依保險法新修正第177條之1,保險業為執行核保或理賠作業需要,處理、利用依法搜集保險契約受益人之姓名、出生年月日、國民身分證統一編號及聯絡方式等個資,得免為個資法第9條之告知。

由上可知,個資法生效施行後,企業不論直接或間接搜集個資,原則上皆需向當事人告知,更應保留告知的證據,將來遇到紛爭時才能證明其已遵守個資法的規定以免遭受處罰或求償。但另一方面,企業也將因此增加相關人力與設備的成本,應及早規劃,不可掉以輕心。

(本文作者現為執業律師)
這篇文章讓你覺得滿意不滿意
送出
相關文章
臉書映出企業個資危機 現況不改必遭GDPR重罰
檢視「告知後同意」 研擬優化機制適用新法
做好資安就是保護個資? 法規遵循這樣誤會大了
網購心驚驚 資策會分享個資管理與資安防護撇步
個資規範各行業大不同 13機關/31部法令懶人包
留言
顯示暱稱:
留言內容:
送出
熱門點閱文章