「告知後同意」的個資保護機制

當蒐集的客體是他人享有著作權的資料時，實務上已引發智慧財產權保護與言論自由及合理使用空間的爭論；而當個人資料為蒐集的客體時，就牽動了個人隱私與公眾知的權利之間的緊張關係。

法律的界限

私領域與公領域的界限到底要如何劃分，隨著社會變遷與科技進步，實在是見仁見智。Facebook執行長馬克佐伯格曾表示：「人們越來越習慣在網路上和更多人公開分享各種資訊，社群規範是會隨著時間進化的。」

而Facebook最近才與美國聯邦交易委員會（FTC）就其涉嫌侵害用戶隱私違反FTC法令之行為（如片面更改隱私條款、把使用者以為是私密的資訊公開等）達成和解協議。

無論如何，我們不能忽略99年4月27日立法通過而可能於今年實施的「個人資料保護法」，其施行細則草案亦於100年10月27日公佈。

新版個資法規範的對象與客體均比舊法更加廣泛，跟著作權法一樣幾乎涉及到政府、企業及個人每天都在進行的行為，影響至為深遠。

為調和各種利益與價值，個資法設了許多例外規定，例如第51條排除一般社交活動蒐集、處理或利用個資的適用，但其模糊性並未在個資法施行細則獲得釐清。

另一方面，企業為符合個資法避免遭致民刑事責任及行政處罰，除有必要建置個資安全措施（請參見網管人第71期「個資安全措施的里程碑」一文）以防範個資外洩之外，亦須善盡告知義務以取得當事人同意而蒐集個資。

告知後同意的機制

「告知後同意（Informed Consent）」是為確保個人在充分資訊下做出適當決定的機制，已廣泛運用在醫療服務與金融商品的銷售且由法律所明定（請參醫療法第63條及金融消費者保護法第10條）。

由於個資屬於個人重要的隱私，如遭有心人士惡用可能造成個人隱私、名譽及財產的嚴重損害。個資法亦以「告知後同意」的機制作為個資保護的法律界限，符合國際立法趨勢以及OECD於1980年提出的個資保護八大項原則中第1項之限制蒐集原則（Collection Limitation Principle）。

告知

個資法第8條規定除特定例外情事之外，向當事人蒐集個人資料時，應明確告知當事人下列事項：

1.公務機關或非公務機關名稱。
2.蒐集之目的。
3.個資之類別。
4.個資利用之期間、地區、對象及方式。
5.當事人依第3條規定（即請求查詢、更正、刪除個資等）得行使之權利及方式。
6.當事人得自由選擇提供個人資料時，不提供將對其權益之影響。

關於告知的方式，個資法施行細則第13條規定得以書面、電話、傳真、電子文件或其他適當方式為之。須特別注意，告知雖不以書面為必要，但應以個別通知之方式（如電子郵件）使當事人知悉，不能僅以網站公告為之。

同意

個資法第15條與第19條均有規定「經當事人書面同意」得作為公務或非公務機關蒐集或處理個資之要件。

而依同法第7條，所謂書面同意，係指當事人經蒐集者告知個資法所定應告知事項後，所為允許之書面意思表示，此即「告知後同意」的機制。

個資法第8條規定告知事項中的「蒐集之目的」則界定了個資蒐集及後續處理與利用的界線，如超過特定目的，原則上應再取得當事人之書面同意。

關於同意之書面是否限於紙本？將影響電子商務的發展以及企業因應的成本。個資法施行細則第11條參考電子簽章法的規定表示：如其內容可完整呈現，並可於日後取出供查驗者，經蒐集者及當事人同意，得以電子文件為之。

因此，企業為合法蒐集使用者個資，於網頁設計可採「兩次同意鍵」方式，第一次同意是使用者同意以電子文件來為意思表示，第二次同意則是使用者表示同意企業蒐集個資。

由於違反個資保護規定將招致民刑事責任以及行政處罰，企業從事商業活動進行成本效益分析時，應綜合考量透過蒐集個資而強化行銷力道所賺取之利潤，以及違法之代價與遵守法律所支出之個資保護成本。

就「告知後同意」的機制，企業除須合理控制成本之外，亦應保留個別告知以及取得書面同意的相關證據，以備將來遭控違法時，得證明無故意或過失而免責。

（本文作者現為執業律師）