數位經濟隨著網際網路蓬勃的發展,結合通訊及各式穿戴式裝置、物聯網、雲端計算等新興科技,架構出的應用模式日益龐大,不斷地突破人們想像,而消費者的個人資料也更廣泛地於使用過程中被紀錄。近年更藉由創新及新科技的發展,從個人資料中開創出數據價值(例如,data mining),帶來更大的經濟和社會效益,但與此同時也提高了隱私風險。對於個人資料涉及隱私權與公益或商業發展的衝突議題,合理的個人資料使用成為平衡下的共識,各國也以修定個人資料保護專法或相關管制措施加以規範。
對此,我國的「個人資料保護法」(下稱「個資法」),因應資料使用發展,劃出了公務機關及企業遵循的規範,而企業更不論規模大小(非公務機關)皆有適用。為更完善保護民眾的個人資料,對於企業與他企業間的合作關係(協力廠商),如涉及委託蒐集處理利用個人資料,亦屬於管制範疇。管制方式也授權中央目的事業主管機關得指定特定業別,訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,做為強化個資安全維護的管理措施。同時也因政府及公眾媒體的重視,民眾也逐漸意識到人格權益的保護,也開始見有民眾使用個資法捍衛其權利。對於企業來說可能是鋒利的武器和工具,稍有不慎,除了見報使企業商譽受損,更可能面臨行政、民事、刑事責任。因此,企業為能順利乘著數據浪潮,從中創造商機、或內化為被投資的亮點,將個資法做為內部遵法項目,實存有效益價值。本篇我們將簡介個資法,並期能提供創業家們於個資法遵循之參考。
一、什麼是「個人資料」
首先,要釐清的是「個人資料」的定義。很多人會誤認「企業」關聯的資訊(像是統一編號、公司地址)也是個資,但個資之標的其實只限於「自然人」,且是限生存自然人,至於外國人在我國使用之個資,也同受保護。接著,很多人會認為只有和「姓名」組合成的資料,才是個資。但個資法的規定,只要是能「直接或間接方式識別該個人之資料」都是個資,並不是用「姓名」來判斷,甚至,個資法也例示了像出生年月日、ID(身分證字號、護照號碼)、個人生理資訊(特徵、指紋)、個人背景資訊(婚姻、家庭、教育、職業、聯絡方式、財務情況、社會活動),及俗稱「特種個資」的「病歷、醫療、基因、性生活、健康檢查、犯罪前科」都是直接識別的個資。至於,前面提到「間接方式」識別的個資,講的是可透過與其他資料對照、組合、連結後,可識別特定的個資,常見像是公司的員工編號、客戶編號,可透過內部系統連結而取得當事人的資料主檔,就屬於間接識別的個資,也同受保護。
這裡我們還要提醒,上面所提到的「特種個資」,因為非常敏感而有侵害當事人隱私的疑慮,原則上是「不得使用」的,只有例外在符合個資法第6條的法定要件時,才能使用,而違反則有嚴重的刑事等責任。因此,像過往公司喜歡要求應徵者提供警察刑事紀錄證明書(俗稱「良民證」),除非是特定行業,否則這樣的行為即存有風險,而另外像是生技類、醫療產業的新創公司,會涉及到很多關於受試者的個資(病歷、醫療、基因),也建議特別確認是否具有合法事由。基本上,我們建議如果真的有必要使用此類個資,應取得當事人「書面同意」為妥。
二、個資法的基本原則
整部個資法環繞在「特定目的」的討論。簡單可分兩點介紹:1.首先是個資的整體使用行為,應依誠實及信用方法為之。像是透過法定告知程序,讓當事人能掌握完整資訊進而決定是否提供個資,即屬之。2.接著,「特定目的」拘束原則,強調個資的蒐集和目的應具有「正當合理」的關聯。白話的理解就是,不必要的個資不應蒐集,這也是個資最小化的概念。所以,像上述提到的應徵者提交良民證,或是要求其提交如正式員工的身分證字號、銀行帳戶,其實都沒有必要。而企業對外的「意見調查表」,如果要求填寫者提供身分證字號等個資,也同樣會有必要性的疑問。這樣的概念,其實希望創業家從各個業務流程,重行思考個資使用的必要性,相信會有截然不同的想法。
三、個資法的核心:蒐集、處理、利用階段,及其依序對應的義務
個資法除強調保護當事人的人格權外,亦希望促進個資的「合理利用」,而並非完全禁止。但合理利用的前提是在於遵循個資法的各個設定要件。詳言之,個資法依個資的生命週期,從開頭的蒐集,到後續處理、利用階段,皆有不同的規範及要件,只要企業能夠完整掌握這些要件,自然就能在個資風暴中安身立命,這也是後續企業在競爭力上脫穎而出的決勝點。我們接著就來介紹這些要件。
在「蒐集」階段,指的是個資「取得」的行為,這是個資使用的源頭。蒐集有三個法定要件:
1.首先,蒐集要有「特定目的」,不可空泛的蒐集,否則也不具「正當合理」關聯,這是我們前面提過的。畢竟,如果蒐集者(企業)沒有特定目的,當事人就無法知悉及判斷為什麼、是否要提供,自然無法保障其權益。「特定目的」乍聽抽象,但其實不會,創業家可從公司各項內外部的業務流程實質檢視之,像是外部的市場調查、研究分析、契約履行、會員管理,內部的應徵、人事管理等,都可作為特定目的,這依公司的實質需求設計。順帶補充,法務部「個人資料保護法之特定目的及個人資料之類別」也列出了很多參考特定目的,企業可自行予以活用。最後,我們叮嚀創業家,務必在向當事人蒐集個資前,就想清楚現在及未來的特定目的,以避免後續行為被「特定目的」綁死,而動輒需要重行告知及同意,這會相當耗費資源。
2.接著,第二個要件是「告知義務」。承前,特定目的是企業自己內心所想,因此要進一步向當事人說明,當事人才能完整決定是否提供個資,這就是告知義務的履行。有無告知是當事人在提交個資時可以直接掌握的,換言之,「告知義務」是企業最容易被挑到個資法遵法瑕疵之一,具有高度外顯性的曝險。很多新創公司會直接於網路上尋找「隱私權政策」使用,但要注意的是,此與「告知聲明」內容未必完全重疊,建議創業家務必確認「隱私權政策」是否有涵蓋完整的個資法第8條告知事項。此外,這裡的告知方式並沒有限制,不論是言詞、書面、電話、簡訊、電子郵件、傳真等皆可,只要能使當事人知悉或可得知悉,公司可依個別情況予以活用。但重點是在於紀錄的留存,畢竟在發生爭議時,告知的履行還是要由公司負舉證責任。
3.而第三個要件,是蒐集的「法定事由」。此原因在於,企業雖設定了特定目的,並向當事人告知,也不表示當事人就有「義務」提供個資,因此需有合法事由(參個資法第19條),最常見、容易使用,也相較穩定的事由為「與當事人有契約或類似契約之關係,且已採取適當之安全措施。」、「經當事人同意」(不要求書面,但要注意記錄留存)。其他事由(像是為了「增進公共利益」)因為解釋抽象,容易產生爭議,使用上應務必謹慎。
接著,第二個階段是「處理」行為。直白的理解,處理是個資建檔所進行的記錄、輸入、儲存,及相關的編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送等行為,所以這基本和公司內部作業有關。處理要注意的是,關於當事人的個資完整性、正確性的維護,及進行這些內部行為時,所涉及的個資保管、保護議題。實際上,很多公司其實並不清楚自己所保有的個資,如此根本無從進行個資管理,因此,我們也建議公司可以先行盤點目前所保有的個資狀態(包括類型、數量及使用態樣等),以利後續處理維護及保管。
接下來,是個資的「利用」行為。這裡最重要的是,務必留意在原蒐集「特定目的」範圍內利用。因為「目的外利用」,基本為個資法所禁止,而違反的法律責任相當重;即使,個資法第20條有「法定目的外利用」的事由,但不論是「法律明文規定」、「為增進公共利益所必要」範圍皆相當侷限且容易產生爭議。從而,如果在利用上,真的超出當時蒐集之特定目的,建議至少應再行取得「當事人同意」。此外,利用行為最常討論的就是「行銷」;在首次行銷時,個資法要求企業應提供當事人表示拒絕接受行銷的方式,並支付所需費用。舉例來說,網路電子報就是一種常見的行銷方式,而現在網路電子報常見的「取消訂閱」機制,這就是為了符合個資法「拒絕行銷管道」所生的產物。
我們實際舉個例子。很多新創公司喜歡在產品開發階段透過網路問卷,收取TA (Target Audience)意見,作為產品開發的方向,順便匯聚網路聲量。這基本是「市場調查分析」特定目的,則與此特定目的具有必要性及關聯性的個資,可能就只有簡單的年齡、職業類型、收入資訊、該產品的喜好即可,甚至連姓名、聯繫方式都欠缺必要性(因為調查分析還是做的成)。則:1.此時若想蒐集姓名、電話、身分證字號因欠缺必要性,而需增加其他特定目的(像是,後續聯繫用途、寄送折扣碼)。2.承上,如果只說了「市場調查分析」特定目的,而蒐集了這些個資,後續再用於「行銷」行為,就會構成「違法的目的外利用」,此將有相關刑事責任風險,不可不慎。
四、給予當事人的當事人權利
接著,是給予當事人行使的「當事人權利」。這包括了應提供給當事人對於個資:1.查詢或請求閱覽。2.請求製給複製本。3.請求補充或更正。4.請求停止蒐集、處理或利用。5.請求刪除等權利。對於新創公司來說,較簡便的作法,是和前述提到的「隱私權政策」中一併規範設計。這裡要提醒的是,給予當事人行使權利的機會,並且要在法定的時限內回覆(基本上為15日或30日),但不代表企業一定要同意當事人的要求;如果是有妨害重大利益等事由時,依法是可以拒絕的。此外,企業利用個資行銷是常見作法,但當事人表示拒絕行銷時,企業就應即停止行銷。這裡的重點在於,一旦當事人已經要求停止行銷了,表示很在意資料使用,很可能成為潛在的爭議當事人,企業務必要有相關確認機制,絕對不要再次行銷。
五、刪除個資
特別要說明的是個資的刪除。企業多半仍有「資料永久保存」的觀念。詢問其目的,基本回答是慮及有朝一日會派上用場、備而不用。然而,使用及保存期限的思考,還是脫不了「特定目的」。簡單來說,當特定目的消失或完成時,原則是要主動或依當事人之請求,刪除、停止處理或利用該個資的,除非有另外經當事人書面同意者等事由。舉例來說,很多公司人資對於面試者的履歷,在面試結束後,喜歡保存到「人才資料庫」,想說「也許未來會用到」。然而,這些個資其實在面試結束後,由於「應徵」特定目的已完成,其實就沒有保存的合理性。因此,如果沒有一開始和當事人言明「作為日後媒合及介紹」(特定目的),則光是這保存行為就有違法風險,更不要說後續的利用對於當事人的干擾。我們也建議企業定期檢視所保存資料是否有使用的必要性,這也是資料保存「最小化原則」的展現。
六、資料保護管理責任
過往大家對「個資義務」的直覺聯想就是「避免個資外洩」,這其實是個資法第27條所規定的「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」而我們發現,2015年修法後的個資法,又諸多強調此義務的重要性,並且和其他義務連結,例如:「與當事人有契約或類似契約之關係,且已採取適當之安全措施。」(參個資法第19條)。至於,安全保護措施的內容,基本上可從組織制度面(配置管理之人員及相當資源、界定個人資料之範圍、個人資料之風險評估及管理機制、事故之預防通報及應變機制)、管理面(資料安全管理及人員管理、設備安全管理等),及技術面(使用紀錄、軌跡資料及證據保存),再輔以教育訓練及稽核等機制,讓個資安全維護的整體環境可以持續改善及優化。同時,也補充提醒,如果企業有相關個資業務,是委託第三人代為執行,則個資法也要求對於該等第三人(常見協力廠商)進行適當的監督管理,這都是個資保護管理制度的重要環節。
我們也應該了解的是,這裡並不是強調企業應無上限地投入成本在個資的管理保護,畢竟這也沒有期待可能性,而是依公司規模配置適當資源,採取必要技術上及組織上之措施,以盡到「善良管理人的注意義務」。最直白的論點,可參考同業同規模的公司目前的狀態作為執行的依據。同時,要強調的是這些「符合當時科技或專業水準可合理期待之安全性的措施」必須是在個資事故發生前「已建置且真正運行」,方得做為企業有效舉證履行資料保護管理責任,這也是很多個資外洩的訴訟案件中,最後企業被認定具有責任的主要原因。所以,建議企業及早進行個資的保護管理。
七、個資法的法律責任
個資法之所以引起諸多議論,主因就在它嚴格的法律責任;一旦違反了個資法,除了基本的民事賠償責任,還可能面臨刑事及行政責任,對於公司及創業家而言,遵法的成本相當高。為了讓各位創業家能夠快速地掌握法律責任架構,我們也在此分類介紹。
1.首先,我們上面談到的各項責任及義務,違反時都可能引致法律責任,但對於公司而言,其中有幾個項目是特別嚴格的,它們分別是:「特種個資」的違法使用(參個資法第6條)、個資的違法蒐集處理(參個資法第19條),個資的違法目的外利用(參個資法第20條第1項)。
2.刑事責任:當意圖為自己或第三人不法之利益或損害他人之利益(利益範圍實務上有很多討論,是否限於財產上利益,近期透過大法庭裁定下已有共識 ),而有上述違法行為,足生損害於他人者,是可以處到5年以下有期徒刑,得併科100萬元以下罰金(參個資法第41條),這刑度和侵占罪是差不多的,務必要注意。另外,對於個人資料檔案不法變更、刪除等行為也一樣會有刑事責任,我們看過有合夥人糾紛而將公司客戶及員工資料主檔惡意刪除的案例,除了刑法的妨害電腦使用罪以外,也會涉及到這裡的犯罪(參個資法第42條)。最後,要補充的是,個資法的刑事犯罪,在現今社會非常容易和妨害名譽一起出現,加上其已經不再只是告訴乃論之罪,也就是說成案後檢察官還是必須依法處理。因此時常耳聞當事人以個資法挾為激進主張的情況,例如:鄰居或好友反目互告,或股東間的糾紛,以此作為武器。
3.民事責任:這裡有三個重點:首先,公司只要違反個資法的規定,而有當事人個資遭不法蒐集、處理、利用,或其他侵害當事人權利者,就須負損害賠償責任。這打擊範圍非常大,除非公司能證明行為無故意或過失者(例無,強調是公司員工個人行為),不在此限(參個資法第29條第1項)。此可發現,絕不是只有個資外洩事件才有民事賠償問題,目前我們也看到相當的案例是關於違法行銷、垃圾信件而求償成功的案例(違反第20條),此請務必注意。同時,對於企業體而言,個資法為了衡平當事人保護,對於這裡的違法行為,定有由企業證明其無故意或過失者,得不負損害賠償責任條件(參個資法第29條第1項)下,實務有以應由企業提出證據說明盡善良管理人注意義務的見解 。最後,在賠償金額部分,即使當事人無法證明受損害範圍,個資法也有「法定賠償額」的設計,目的都是在於便於當事人行使權利(如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。),則反過來說,增加了企業的壓力。
4.行政責任,對於上述三項嚴重的違法行為,政府、主管機關可按次開罰處5萬元至50萬元的罰鍰。而較輕的其他違法行為,如未於限期改正,也同樣將受罰鍰之風險(2萬元至20萬元)。重點是,這裡還有雙罰的規定,當企業因此而受罰時,其代表人等除能證明已盡防止義務者外,應並受同一額度罰鍰之處罰,也是相當嚴格的架構。
5.數據價值本附隨著個資與隱私保護的命題,隨著科技的發展,同樣的命題也會滾動檢視,保障民眾權利並迄與經濟發展間取得平衡。就以個資的範圍為例,國外陸續承認cookie也屬於個資範疇,近日更多被討論的第三方Cookie退場,及後續cookie此類工具如何使用,也為個資法規因應實務發展的動態討論。因此,企業及早檢視因應,除遵法外,也可強化消費者信任。
檢視台灣許多的企業進入實體通路串接線上通路階段、或數位轉型階段,當進入開發或轉型過程,個資與隱私保護實難以避免。同時,個資法有著在地化的法規特色,很多新創企業是以網路或軟體服務為核心,具有輕資產的特色,而此類服務沒有地區疆界的限制,當企業開始於歐盟境內設立據點、或即使未在歐盟設立據點,但對歐盟境內人民提供產品、服務或監測歐盟境內人民網路行為的境外企業,更有同時遵循近兩三年來的GDPR的議題,雖然目前裁罰第一線主要在於歐美跨國大型企業,但未來執法結果仍不可輕忽,甚至,最近中國的「個人信息保護法」也即將上路,我們更可發現,個資規範已然成為國家之間競爭的有力工具。如何在這波持續的個資保護浪潮中,站穩腳步,將數據作為企業永續發展的能量,有賴創業家們及早正面迎戰,架構出更妥適順應新經濟與新科技的經營策略。
作者與其團隊介紹:
1眾勤法律事務所於西元2008年成立。至今提供企業商務、科技、法律與智慧財產權全方位專業服務,發展以知識經濟為導向的知識服務業,及企業商業策略緊密結合的法律模式,以滿足我國各類產業發展的法律服務需求。
2.本文作者陳全正律師為眾勤法律事務所副所長,現任律師全聯會智財委員會、資訊委員會委員、經濟部中小企業榮譽律師。致力於商務、智慧財產權、個人資料隱私保護等領域,並針對我國不同類型及規模之事業提供自創立至營運管理間之法律諮詢,累積相當實務經驗。
3.本文共同作者張媛筑律師,畢業於國立政治大學法律科際整合研究所及國立成功大學企業管理學系。承辦商務相關非訟及訴訟案件,並持續研析新興商務模式。