【網路隱私權政策4大重點】商業品牌在網路蒐集個資重點全公開

在數位時代下,網際網路是商業品牌從事各類商業活動時無法忽視的傳播媒介。企業無論是有償或無償透過網路對外提供服務,通常會同步蒐集或使用服務者所提供的個人資料。若要針對這些個人資料進行蒐集、處理、利用,都會受到個人資料保護法的限制。當代的消費者對於個人資料與隱私權已愈來愈重視,品牌方在此稍有不慎就可能觸法而不自知,導致還沒開展業務,就惹了一身麻煩。

本篇【剖析網路隱私權政策的4大重點】即是為了讓品牌一次了解,在撰寫隱私權政策(或條款)及運用使用者個資時,應注意哪些法規?盡到哪些義務?以及有疏失時,將可能產生哪些法律責任?

文章目錄

品牌運用網路使用者個資時所應知道的法律義務
哪些資料受到個資法保護?
🌟品牌該如何合法地蒐集個資?
品牌在網路上蒐集到個人資料後,有哪些義務?
🌟品牌該如何合法地使用個資?
個資法上使用個資的基本原則
例外情形:如何在蒐集目的範圍外合法使用個資?
🌟品牌不當利用個資可能產生的3大法律風險
刑事責任
行政裁罰
民事求償

品牌運用網路使用者個資時所應知道的法律義務

由於國際間有關Facebook或其他科技公司層出不窮的資安醜聞,民眾對於資訊隱私的重視程度相較於網路商業模式蓬勃發展前高出許多;也更會主動了解個人資料保護的相關法律,並在個人資料遭濫用時對業者提出申訴、行政檢舉或是司法救濟。

面對民眾對於個資使用的質疑,除了產生法律上的風險外,對於商業品牌的營運也是種內耗。不僅不利公司的業務推展,在公共關係上也會有不良的影響。因此,商業品牌在蒐集、處理和利用(「處理和利用」,以下統稱「使用」)民眾個資時,事先瞭解我國法律對於個資保護有哪些要求與規範至關重要。

有哪些法律保障網路使用者的個人資料?

我國法上有許多法律關係到對於民眾個人資料或是隱私權的保護,比較常見的是民法、消費者保護法(以下簡稱消保法)和個人資料保護法(以下簡稱個資法)。

此部分羅列與個人資料與隱私權保護有關的常見法律,後續再集中針對個資法進行說明。

民法

首先,民法第184條第1項和第2項侵權行為分別規定:「I因故意或過失,不法侵害他人之權利者,負損害賠償責任。故意以背於善良風俗之方法,加損害於他人者亦同。II違反保護他人之法律,致生損害於他人者,負賠償責任。但能證明其行為無過失者,不在此限。」

同時,民法第195條第1項規定:「不法侵害他人之身體、健康、名譽、自由、信用、隱私、貞操,或不法侵害其他人格法益而情節重大者,被害人雖非財產上之損害,亦得請求賠償相當之金額。其名譽被侵害者,並得請求回復名譽之適當處分。」也明文點出了隱私權是受民法人格權保障的範圍。

隱私權的保障範圍某程度包含了對於個人資料的保護,因此,民法可以作為民眾個資遭濫用時之求償依據。

消費者保護法

此外,網路服務提供者提供服務時,與民眾之間的約定通常是「定型化契約」,此時就會受到消保法所規範。

消保法第17條第1項規定:「中央主管機關為預防消費糾紛,保護消費者權益,促進定型化契約之公平化,得選擇特定行業,擬訂其定型化契約應記載或不得記載事項,報請行政院核定後公告之。」同條第4項和第5項分別規定:「違反第一項公告之定型化契約,其定型化契約條款無效。該定型化契約之效力,依前條規定定之」、「中央主管機關公告應記載之事項,雖未記載於定型化契約,仍構成契約之內容」。

內政部針對商業品牌有公告許多不同業態的「應記載及不得記載事項」,其中針對個人資料的蒐集也有所規範,品牌也必須遵守,否則也會有面臨行政裁罰或是民事求償的風險。

個人資料保護法

然而,對於網路服務提供者而言,在蒐集民眾的個人資料時,最需要關注的法律還是個資法(民國104年12月30日修正)以及〈個人資料保護法施行細則〉(以下簡稱個資法施行細則)(民國105年03月02日修正)。

個資法第1條開宗明義表示:「為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。」並在個資法內羅列了網路服務提供者,蒐集與利用民眾個人資料時所應遵守的要求。

因此,如商業品牌設計出會牽涉到蒐集個人資料的商業模式時,都必須要審慎面對個資法上所規範的法律義務。

哪些資料受到個資法保護?

個資法的立法目的,是為了避免民眾個人資料遭到公務機關或非公務機關(就是私人企業或其他法人)的侵害。而保護的前提在於可以透過這些資料識別出特定人。

如果從資料本身根本無從或難以識別這些資料的擁有者是誰,或縱使依據客觀方式進行推測,也無法確定究竟是何人的個人資料。針對這些資料的蒐集,就不受到個資法限制。

反之,若就資料本身進行觀察,足以辨識、特定具體個人的資料,此時就必須符合個資法的規範。

直接識別與間接識別

法院在決定蒐集的資料是否屬於「個人資料」,是用「直接識別性」與「識別重要性」這兩個標準判斷。

「直接識別性」是指資料可以直接與個人連結;而「識別重要性」是指資料本身能間接識別出資料擁有者的程度。如果蒐集的資料經過比對、連結、勾稽,可以達到直接識別出資料擁有者的效果,此份資料就具有受個資法保護的價值和意義。

個資法第2條第1款規定:「個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。」但法院一般認為,只有姓名、國民身分證統一編號、護照號碼、指紋等資料具有直接特定個人識別性。

至於其他資料都必須要與具有直接識別性的的資料結合,或有複數的資料一起呈現,才能識別出特定個人。非具有直接識別性的資料,若單獨提出不足以表現或特定個人,識別重要性就較低,此時不管如何利用,都不會有違反個資法的問題(臺灣高等法院105年度金上訴字第5號刑事判決)。

舉例而言:只說明有一個人「具有竊盜前科、心臟病病史」並不足以認定究竟這個資料所說的人是誰。又如果統計消費者「慣於使用何種品牌之手機」此資訊與特別人身分沒有最低程度的「可識別性」,蒐集此資料也不會受到個資法的限制(臺灣高等法院104年度上訴字第1393號刑事判決)。

敏感性個資以及一般性個資

一旦特定資料被認定為個人資料,個資法就將其區分為「敏感性個資」和「一般性個資」。

敏感性個資所指的是個資法第6條所提到的:「病歷、醫療、基因、性生活、健康檢查及犯罪前科」等資料;至於非個資法第6條所提到的個人資料,都是屬於一般性個資。

這兩種不同類型的個人資料,法律給予的保護程度不一樣,商業品牌在蒐集時也會有不同的要求。

品牌該如何合法地蒐集個資?

蒐集敏感性個資的條件

依據個資法第6條規定,敏感性個資原則上不得蒐集,只有在例外的情況下才能允許蒐集。個資法第6條第1項明文規定以下六款事由:

  1. 法律明文規定

如:律師法第23條規定,律師受當事人委任訴訟案件應探究案情,搜求證據辦案。法院認為此規範賦予律師在辦案過程取得當事人前科紀錄之權利(桃園地方法院 105 年度聲判字第 82 號刑事裁定)。

  1. 公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施
  1. 當事人自行公開或其他已合法公開之個人資料

如:在臉書上的自我介紹欄公開姓名、電話、照片等資訊(臺灣高等法院臺中分院110年度上字第330號)

  1. 公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人
  1. 為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施
  1. 經當事人書面同意

但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限

如果商業品牌打算在網路上蒐集服務使用者的敏感性個資,較有可能適用的法定事由為:

  1. 當事人自行公開或其他已合法公開之個人資料;
  2. 經當事人書面同意的資料。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用的資料不在此限。

蒐集一般性個資的條件

如果商業品牌想要蒐集服務使用者的一般性個資,則必須要在蒐集時具備特定目的,並符合個資法第19條第1項所羅列的八款事由之一。

  1. 法律明文規定

如:道路交通管理處罰條例第7條之1,規定民眾可以檢舉違反交通規則的車輛,此時就可以照相方式照下違規者車牌(新竹地方法院109年度交字第25號判決)。

  1. 與當事人有契約或類似契約之關係,且已採取適當之安全措施

如:業者因為消費者報名講堂活動,蒐集足以辨識報名者身分的個人資料(如:姓名、聯絡方式等),但若是跟契約履行無關之個人資料或並非為履行契約所必需者要有另外的蒐集事由(法務部106.06.15.法律字第10603503880號函釋)。

  1. 當事人自行公開或其他已合法公開之個人資料

如:補習班業者為了招生的需求將負責人的照片公開在廣告手冊(臺灣臺中地方法院101年度 訴字第3077號民事判決)。

  1. 學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人
  1. 經當事人同意

如:法院認為名片上所提供的資訊是名片提供者同意提供給他人的資訊(臺灣高雄地方法院109年度訴字第773號刑事判決)。

  1. 為增進公共利益所必要

如:為了犯罪蒐證而錄影(臺灣高等法院臺南分院108年度上易字第380號民事判決)。

  1. 個人資料取自於一般可得之來源

但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。

如:自學校網站上所取得的資料(臺灣臺北地方法院108年度審原易字第41號刑事判決)。

  1. 對當事人權益無侵害

如果商業品牌想要在網路上取得一般性的個人資料,較可能適用的法定事由為:

  1. 與當事人有契約或類似契約之關係,且已採取適當之安全措施;
  2. 當事人自行公開或其他已合法公開之個人資料;
  3. 經當事人同意;
  4. 個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限;
  5. 對當事人權益無侵害。

注意事項:如何取得使用者有效的「同意」

無論是要蒐集敏感性個資或是一般性個資,都有「當事人同意」的選擇。但必須要注意,蒐集敏感性個資需要「書面」同意;而蒐集一般性個資則不一定要書面。

此外,在取得使用者的同意前,必須要告知被蒐集者個資法上所要求的告知事項,才能取得有效的同意(個資法第7條第1項)。

至於是否已經確實取得了使用者的同意,需要由蒐集者舉證(個資法第7條第4項)。因此不管是哪一種情況都是以透過書面取得同意比較安全。

個資法所要求蒐集個資者在蒐集個資前,應告知被蒐集者的事項為(個資法第8條第1項):

  1. 蒐集者的名稱;
  2. 蒐集的目的;
  3. 蒐集個人資料之類別;
  4. 蒐集個人資料所要利用之期間、地區、對象及方式;
  5. 被蒐集資料者依個資法第三條規定得行使之權利及方式(包含:查詢或請求閱覽權、請求製給複製本權、請求補充或更正權、請求停止蒐集、處理或利用權、請求刪除權);
  6. 被蒐集者得自由選擇是否提供個人資料時,不提供將對其權益之影響。

個資法並規定,例外可以不用告知的情形(個資法第8條第2項):

  1. 依法律規定得免告知;
  2. 個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務所必要;
  3. 告知將妨害公務機關執行法定職務;
  4. 告知將妨害公共利益;
  5. 當事人明知應告知之內容;
  6. 個人資料之蒐集非基於營利之目的,且對當事人顯無不利之影響。

對於商業品牌而言,比較有機會適用的免告知情境應該是「當事人明知應告知之內容」或是「個人資料之蒐集非基於營利之目的,且對當事人顯無不利之影響」這兩款事由。

品牌在網路上蒐集到個人資料後,有哪些義務?

商業品牌在網路上蒐集到使用者個人資料後,個資法賦予被蒐集者一定的權利。品牌不得要求服務使用者預先拋棄或以特約限制這些權利。

使用者所擁有權利,相對而言就是商業品牌的義務。品牌在蒐集個資後必須遵守的義務包含下列事項(個資法第10、11條):

  1. 協助被蒐集資料的服務使用者「查詢或請求閱覽」被蒐集的個人資料;
  2. 提供「複製本」;
  3. 補充或更正蒐集的資料;
  4. 停止蒐集、處理或利用個資;
  5. 刪除被蒐集的個資。

此外,商業品牌在網路上蒐集到個資後,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏(個資法第27條第1項)。如果因為違反個資法的規定導致使用者個人資料被竊取、洩漏、竄改或其他侵害,並應查明後以適當方式通知當事人(個資法第12條)。

必須注意,品牌在蒐集個資的目的達成後,原則上有義務主動刪除個人資料,但因執行職務或業務所必須或經當事人書面同意者,則不在此限(個資法第11條第3項)。

品牌該如何合法地使用個資?

無論是網路購物平台、網路影音網站、或是讓使用者可透過網際網路直接連結至雲端使用的應用程式(所謂的SaaS, Software as a Service)服務,多半都會要求使用者填寫會員資料,並記錄會員在平台上的活動狀況(如:交易紀錄、點閱紀錄、閱覽紀錄等)。

就算不是專營網路服務的商業品牌,為了行銷、廣告或是優化服務的需求,也會製作心理測驗或是問卷來蒐集使用者個人資料。如果品牌要針對這些個人資料的進行後續處理、利用,都必須要符合個資法的要求。

個資法上使用個資的基本原則

個資法將個人資料區分為「敏感性個資」和「一般性個資」,這兩種不同類型的個人資料,法律給予的保護程度不一樣,商業品牌在處理、利用個資時也會有不同的要求。

處理與利用的差異

而所謂「處理」,是指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送;「利用」,則是指處理以外之其他使用(個資法第2條第4款、第5款)。

品牌使用個資的四大原則

無論是「敏感性個資」或「一般性個資」,個資法的大原則是要求商業品牌在網路上蒐集服務使用者個資時,必須要具備特定目的(個資法第6條以及同法第19條)。

不管是個人資料之蒐集、處理或利用,當要尊重當事人之權益,依誠實及信用方法為之。而針對蒐集到的資料的處理、利用,「不得逾越特定目的之必要範圍」,並應與「蒐集之目的具有正當合理之關聯」(個資法第5條、第20條)。

個資法第5條的立法理由明確點出:「為避免資料蒐集者巧立名目或理由,任意的蒐集、處理或利用個人資料,爰明定個人資料之蒐集、處理或利用,應與蒐集之目的有正當合理之關聯,不得與其他目的作不當之聯結。」因此,個資的使用,原則上必須要跟符合蒐集的目的,才屬合法。

應於蒐集目的範圍內使用,並符合比例原則

法院認為所謂特定目的「必要」範圍,其內涵實就是比例性原則。

因此,使用個人資料時,必須同時審視使用個人資料的情形,是否符合合適性原則、必要性原則及狹義比例原則。

  • 合適性原則:指資料利用人使用個人資料的方法,可以達成當初取得該資料的目的
  • 必要性原則:指必須要在所有可能達成目的方法中,選擇對當事人(即個人資料之本人)最少侵害的手段
  • 狹義比例原則(衡平性原則):指資料利用人所欲完成的目的及使用手段,不能與因此造成當事人的損害或負擔不成比例(臺灣高等法院臺中分院刑事判決104年度上易字第885號)。

舉例而言,民事判決書上的個人資料,是為了向法院聲請民事執行或行使訴訟上權利使用。若資料利用人未隱蔽判決上所載相關人士姓名、地址等個人資料,就逕自複印發送給各住戶以及公眾,會逾越此份資料可以使用的目的,違反個人資料保護法第41條第1項(臺灣高等法院臺中分院刑事判決104年度上易字第885號)。

因此,業者在蒐集使用者個人資料時,必須在隱私條款內將蒐集的目的說明清楚,使用上才會比較彈性以及避免觸法。

若業者所蒐集的資料並非事由資料提供者本人所提供,而是來自於第三方,則應在處理或利用前,向當事人告知個人資料來源以及法定告知事項(個資法第9條第1項)。

但依個資法第9條第2項規定,屬於「當事人自行公開或其他已合法公開之個人資料」、「不能向當事人或其法定代理人為告知」、「基於公共利益為統計或學術研究之目的而有必要,且該資料須經提供者處理後或蒐集者依其揭露方式,無從識別特定當事人者為限」、「大眾傳播業者基於新聞報導之公益目的而蒐集個人資料」或是符合本文先前所提到個資法第8條第2項之情形,就可以例外不告知。

例外情形:如何在蒐集目的範圍外合法使用個資?

有原則就會有例外,品牌在蒐集個資後,可能基於各種因素會需要在蒐集目的範圍外使用個人資料。個資法明文規定了一些例外的情境,並針對「敏感性個資」和「一般性個資」各有不同的要求。

敏感性個資的目的外使用

針對敏感性個資,原則上是不能蒐集、處理和利用。只有在符合以下6種例外情形才可以(個資法第6條第1項):

  1. 法律明文規定;
  2. 公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施;
  3. 當事人自行公開或其他已合法公開之個人資料;
  4. 公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人;
  5. 為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內且事前或事後有適當安全維護措施;
  6. 經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。

依據條文文義,只有「當事人書面同意」這款需要在特定目的之必要範圍內處理、利用敏感性個資,其他事由並不用有同樣的限制。

不過法院認為就算符合個資法第6條第1項而合法取得這些資料,如果要利用也必須要在蒐集此資料的「目的範圍內」使用。若超出使用範圍而未符合同法第20條第1項條例外規定,也是違法(臺灣高等法院刑事判決104年度上易字第2289號)。

一般性個資的目的外使用

針對一般性個資,個資法羅列了可以例外在目的外使用的事由(個資法第20條第1項):

  1. 法律明文規定

如:公寓大廈管委會為了履行公寓大廈管理條例第36條第3款、第5款、第10款及第39條的義務,公告住戶的姓名和樓層(臺灣基隆地方法院103年度基小字第1333號民事判決)。

  1. 為增進公共利益所必要

如:前款所舉的例子法院也認為是為了增進公共利益所必要可以例外使用(臺灣基隆地方法院103年度基小字第1333號民事判決)。

  1. 為免除當事人之生命、身體、自由或財產上之危險

如:取得病人資料協助掛號(臺灣桃園地方法院 106 年度聲判字第 92 號刑事裁定)。

  1. 為防止他人權益之重大危害

如:為了維護名譽,而公開特定資料(臺灣高等法院臺南分院110年度上更一字第44號刑事判決)。

  1. 公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人
  1. 經當事人同意
  1. 有利於當事人權益

小結:取得消費者同意是最保險的做法

從上面的事由可以看出,除了「經當事人同意」這款事由外,其他的事由都不是業者可以一望即知是否符合規定。因此,若要在蒐集個人資料的目的範圍外,使用他人的個人資料,最保險的作法,還是只有經過當事人同意一途。否則即需要與律師商議,評估風險。

不過必須注意,個資法規定在取得使用者的同意前要告知被蒐集者個資法上所要求的告知事項,才能取得有效的同意(個資法第7條第1項)。至於是否已經確實取得了使用者的同意,需要由蒐集者舉證(個資法第7條第4項)。此部分可參前面「注意事項:如何取得使用者有效的同意」一節的說明。

此外,個資法有特別規定如果是在蒐集個資目的外,將個人資料用於「行銷」,業者必須要在首次行銷時,提供行銷對象拒絕行銷的方式,並在被行銷對象拒絕行銷時,就停止利用其個人資料行銷(個資法第20條第2、3項)。如果有意使用個資進行銷使用的業者,都必須注意這個特殊要求。

消費者到底在不在意隱私權條款?

從前述說明可見,隱私權條款其實反映出品牌對於消費者隱私保護態度的重視程度。

然而,現在有許多品牌提供給消費者的隱私權條款常見以下情況:

  • 相當隱密:如不會用醒目的方式告知消費者隱私條款的位置或者字體很小
  • 冗長:如隱私條款的內容頁數很多
  • 雜亂:如不清楚條款的重點是什麼
  • 違法:如根本不符合法律的需求此時都會影響到消費者的權益,會有前述的情形,很大比例是因為品牌經營者認為「消費者不會仔細看」,因此沒有認真寫的必要。

 然而「消費者會不會看?」和「消費者重不重視條款的內容?」其實是兩件事。不仔細看,並不代表消費者不重視。

消費者對於隱私權條款的重視,可以從兩個面向觀察:

  1. 消費者是否會看仔細看隱私權條款?
  2. 消費者是否會在意隱私條款的內容?

排列組合之下,可以有這四種可能性:

 會仔細看不仔細看
在意隱私條款的內容AB
不在意隱私條款的內容CD

會仔細看條款的內容,不一定會在意條款的內容;反之,不仔細看也不代表不在意。

消費者的隱私條款閱讀習慣

早在 2019 年 11 月 15 日美國皮爾研究中心(Pew Research Center)即曾經做過研究調查美國人對於隱私權政策和法律的態度

根據當時的統計結果,有 36% 的消費者在同意隱私權條款之前,其實並沒有看過(never)隱私權條款的內容;有 38% 的消費者,偶而(somtimes)會看;13% 的消費者經常(often)會看;只有 9% 的消費者總是(always)會看。

當問到是否會看完全部的條款內容時,有 43% 的消費者表示僅是瀏覽(glance over it)並不會仔細看完;有 35% 的消費者表示會看部份的條款;只有 22% 的消費者表示會看完全部。

本文參考皮爾研究中心之研究,製作問卷(RE:LAB 僅提供問卷工具,不參與分析)進行調查顯示(填答人數145人,調查截至 113 年 2 月 29 日),有 70.34% 臺灣的消費者表示在網路上購買產品或是使用網路服務前,不會閱讀品牌的隱私權條款(或隱私政策);會看的只有 29.66% 。

而有 79.99% 的人,花不到 5 分鐘去閱覽隱私權條款;有 64.82% 的人花不到 3 分鐘。

從閱讀的時間可以判斷:臺灣大部分的消費者確實是不太會在購買網路服務前,仔細閱讀品牌的隱私權條款。此數據大致也與美國皮爾研究中心調查中所顯現美國消費者閱讀習慣相當。

因此,整體而言,台灣的消費者確實是不太會在購買網路服務前,仔細閱讀隱私條款。

消費者對於隱私條款內容的重視程度

然而,就算不閱讀,臺灣的消費者事實上還是很重視隱私權條款的內容。

有 79.31% 的消費者認為,一個網站「沒有提供隱私權條款」,對於個人資料侵害風險較高。

有 90.35% 的消費者認為,品牌的隱私權條款如果未符合我國個人資料保護法的規定,對於個人資料侵害風險較高。

消費者認同品牌隱私權條款不周延,對於個人隱私侵害風險較高

如果將個資法所要求品牌所盡到義務,拆解成個別的問題詢問消費者,也可以看出消費者對於品牌應盡此義務的高度認同。

消費者普遍認為,如果品牌無法盡到法律要求的義務,對於消費者隱私侵害的風險較高。

編號題目同意(超過0分比例)不同意(低於0分比例)中立(0分比例)
1您是否認為一個網站,「沒有提供隱私條款」,對於您的個人資料侵害風險較高?(1-10分)92.41%4.83%2.76%
2您是否認為一個網站,「沒有告訴您是哪家公司在蒐集您的個人資料」,對於您的個人資料侵害風險較高?(1-10分)95.17%3.45%1.38% 
3您是否認為一個網站,是由「非設立在臺灣的公司,蒐集您的個人資料」,對於您的個人資料侵害風險較高?(1-10分)77.24%17.25%5.52% 
4您是否認為「企業的隱私條款,未符合我國個人資料保護法的規定」,對於您的個人資料侵害風險較高?(1-10分)92.42%6.9%0.69%
5您是否認為,「企業未明確告知將蒐集您的哪些個人資料」,對於您的個人資料侵害風險較高?(1-10分)95.85%3.45%0.69%
6您是否認為,「企業未明確告知將如何使用您的個人資料」,對於您的個人資料侵害風險較高?(1-10分)95.17%4.47%0.69%
7您是否認為,「企業沒有告訴您會不會把您的個人資料分享給第三方」,對於您的個人資料侵害風險較高?(1-10分)93.11%3.45%3.45%
8您是否認為,「企業未告訴您結束服務後將如何處置您所提供的個人資料」,對於您的個人資料侵害風險較高?(1-10分)93.1%5.52%1.38%
9您是否認為,「企業未告訴您將如何保障您的個人資料安全性」,對於您的個人資料侵害風險較高?(1-10分)88.96%6.9%4.14%
10您是否認為企業應該要告知您「要如何讓您查詢或請求閱覽您的個人資料」?(1-10分)95.86%4.14%0.00%
11您是否認為企業應該要告知您「要如何讓您請求補充或更正不正確之個人資料」?(1-10分)91.72% 3.45%4.83%
12您是否認為企業應該要告知您「要如何讓您刪除您已提供的個人資料」?(1-10分)95.56%3.45%0.00%
13您是否認為企業應該要告知您「要如何停止寄發廣告信給您?」?(1-10分)95.88%2.76%1.38%

隱私權條款是否合法,影響到消費者的購買意願

上述消費者對於品牌隱私保護的態度,可以看出臺灣的消費者是屬於「不會仔細看隱私條款,但是會重視隱私條款內容」(類型 B)的類型。

此也直接反應在消費者的選擇上。有 86.9% 的消費者明確表示,如果對於一個網站的隱私保護方式有疑慮,會選擇不使用這個網站購買產品或服務。

國際或第三方單位看待品牌隱私權條款的態度

面對消費者在閱讀隱私權條款時的弱勢(無論是基於什麼樣的原因而不閱讀完畢),國內外也開始用非政府組織協助針對品牌的數位人權保護狀況進行評分,以便消費者評估企業的數位人權保護程度而做出消費選擇。

企業數位人權評比

美國公共政策智庫新美國基金會資助運作的獨立計畫 ⸺「數位人權排名(Ranking Digital Rights, RDR)」中,即針對隱私部分羅列許多問題。這些題目共分為 18 個題組,共 126 題,詳細的針對品牌的隱私權保護程度給予評價。

而根據前面提到本文與 RE:LAB 合作的問卷調查統計結果顯示,有 92.41% 的消費者確實也認為如果有組織可以給予品牌隱私權條款評比的分數,將有助於消費者去了解隱權私條款的內容。

個資法下的評比標準

本文將品牌在個資法上的義務,應用在品牌的隱私權條款評等標準。

初步挑選出 10 個個資法上企業常見的法律義務(需注意,此僅是為了初步的篩選,並非將所有企業隱私條款應盡的義務窮盡列出),去計算企業所撰寫隱私條款的得分。每符合一個要求即得 10 分。80 分至 100 分間為 A 級;而 79 分至 60 分期間為 B 級;60 分以下為 C 級。若無隱私條款,則直接評定為 C 級(因為 0 分)。

 A級B級C級
是否有隱私條款?
符合題目100分至80分79分至60分未滿60分

照理而言,個資法上的要求應該是要全數遵守,否則即為違法。然而,法律並非科學,因此總是會有人為判斷或是解釋上的誤差,無法 100% 的精準。A 級所代表的意義,即是幾乎都符合我國個資法上的要求;B 級則為有很大的改善空間,相對的也就是企業違法的風險相當高;至於 C 級所代表的就是,幾乎可以確定違法。

本文所挑選 10 個常見的義務分別為:

  1. 企業是否告知消費者,是哪家公司在蒐集消費者的個人資料(個資法第8條第1項第1款)?
  2. 企業是否告知消費者將如何使用消費者的個人資料(個資法第8條第1項第2款)?
  3. 企業是否告知消費者將蒐集消費者的哪些個人資料(個資法第8條第1項第3款)?
  4. 企業是否告知消費者會不會把個人資料分享給第三方(個資法第8條第1項第3款、個資法第20條第1項前段)?
  5. 企業是否告知消費者結束服務後將如何處置消費者所提供的個人資料(個資法第11條第3項)?
  6. 企業是否告知訴消費者將如何保障您的個人資料安全性(個資法第27條第1項)?
  7. 企業是否告知消費者如何查詢或請求閱覽消費者的個人資料(個資法第8條第1項第5款)?
  8. 企業是否告知消費者如何讓請求補充或更正不正確之個人資料(個資法第8條第1項第5款)?
  9. 企業是否告知消費者如何刪除已提供的個人資料」(個資法第8條第1項第5款)?
  10. 企業是否告知消費者要如何停止寄發廣告信給消費者(個資法第20條第3項)?

50 個品牌網站的評比結果

由於網際網路的跨國性標準,各個國家的企業都可能在臺灣提供線上服務,受到臺灣的個資法所拘束(不過臺灣的主管機關是否可以實際上管制到國外的企業是另外一回事);而且世界各國的企業也都也都可能侵害到臺灣消費者的權利。因此,在考量企業的隱私條款評比時,並不限於在臺灣設立的公司。

本文由林煜騰律師在研究過程中,隨機挑選 50 個網站做測試。

編號品牌分數評等
1Amazon80/100A
2Walmart90/100A
3eBay90/100A
4Etsy90/100A
5Shopee蝦皮10/100A
6來贊達 (Lazada)90/100A
7樂天市場90/100A
8SHOPLINE90/100A
9Carousell旋轉拍賣80/100A
10friDay 購物80/100A
11momo 購物90/100A
12Pinkoi90/100A
13PChome80/100A
14比個夠 BigGo90/100A
15博客來90/100A
16Pubu80/100A
17淘寶90/100A
18阿里巴巴80/100A
19天貓商城80/100A
20拼多多90/100A
21JD 京东90/100A
22苏宁易购10/100A
23唯品會10/100A
24dangdang 當當90/100A
25大众点评80/100A
26111180/100A
27Belitor 翻譯80/100A
28善耕 365 公益媒合平台80/100A
29ACE 電商平台90/100A
30WACA80/100A
31文化內容策進院80/100A
32iplusdeal90/100A
33小紅書80/100A
34Joom60/100B
35露天拍賣70/100B
36yourator60/100B
3723.5°N70/100B
38w2solution60/100B
39Tiktok Shop50/100C
40yahoo 購物中心40/100C
4110450/100C
42智慧長照媒合平台20/100C
43長期照顧產學(實習)媒合平臺20/100C
44台灣 KOL 自媒體媒合中心0/100C
45italk50/100C
46新創 10140/100C
47就是廣告科技股份有限公司40/100C
48SHOPLINE 電商成長學苑40/100C
49gogoshop50/100C
50meepshop40/100C
*資料閱覽日:113/4/4。此日以後之隱私條款內容可能會有變動。

在隨機挑選的 50 個品牌網站中,可以發現有 33 家(66%)網站符合 A 級的標準,而有 5 家(10%)網站是 B 級的水準,有 12 家(24%)的網站是 C 級的標準(即不及格)。由此可以知道,還是有很多市面上的品牌網站並沒有認真地看到隱私權條款的內容,這對於品牌的形象其實是會帶來傷害。

品牌不當利用個資可能產生的3大法律風險

除了形象上的影響,這些被評等為B級和C級的企業,都會直接面臨到違反個資法的高度法律風險。

不論國內外,都不乏因為違法使用個資而遭裁罰或因使用不當而遭非難的案例。如2018年,英國政府曾因劍橋分析(Cambridge Analytica)洩露8,700萬臉書用戶個資事件,裁處當時的臉書50萬英鎊的罰鍰。

而我國在2021年11月時,也有民眾針對臺北市政府所舉辦的「2021台北購起來」活動中提供民眾選擇是否要使用「串聯雲端發票綁定機制」的設計投訴,認為其隱私條款針對「蒐集資料」的用途說明不清違反個資法的規定。

保護民眾的個人資料是全球的趨勢,若違反相關規定都會有相對應的處罰。我國個資法上所規定的法律效果,可以區分為刑事責任、行政裁罰和民事賠償三種。

刑事責任

個資法第41條

對於商業品牌而言,最關心的應非個資法所涉及的刑事責任莫屬。畢竟蒐集個人資料所追求的很多時候是尚未實現的商業利益,如果品牌因為未實現的利益而惹上刑事責任,不管最後是否被定罪,光經歷司法程序消耗勞力、時間、費用,就已經得不償失。

個資法針對意圖為自己或第三人不法之利益或損害他人之利益,而違法利用個資行為,可以處以五年以下有期徒刑,以及同時科處新臺幣一百萬元以下罰金(個資法第41條)。而且本罪是屬於非告訴乃論罪(個資法第45條),因此沒有6個月的告訴期間限制。如有觸法,觸法者在很長的一段時間內都有受到刑事追訴的風險。

具體個案

法院目前針對侵害個資的態樣也已經累積不少的案例。

舉例而言,在一則感情糾紛中,一名男子對於其女友的前男友心生不滿,在Facebook「動態時報」上,將其女友的前男友,車牌號碼後4碼、車款、顏色、活動區域、姓名、照片等資料,張貼在上開動態時報上,就被認為違法散佈個人資料,違反個人資料保護法第41條,應予處罰(臺灣高雄地方法院刑事簡易判決105年度簡字第2432號)。

在另外一則商業競爭的案例,被告從事機場接送服務業,不滿另外一名司機以低於行情價提供機場載送服務,在行動電話LINE群組內,張貼載有該名司機姓名、行動電話門號、車牌號碼等文字,法院認為是違法散佈個人資料,違反個人資料保護法第41條,應予處罰(臺灣新北地方法院刑事簡易判決105年度審簡字第1650號)。

於另一則公寓大廈糾紛裡,被告雖然只公布住戶居住樓層和車位,也被認為可以識別出特定個人,而被認定有罪。案件中,被告辯稱在Facebook上貼出肇事車主是「H1-2F、第254車位」的住戶。法院認為,雖然被告沒有特定指明某一樓某一樓層內之某一住戶也沒有公布車牌號碼,但被告是在社區的臉書上公布此資訊。社區住戶可以很輕易的透過此資訊得知「H1-2F、第254車位」是表示住在該社區H1棟2F、地下停車位第254車位的人。則此資訊,不論由直接或間接的方式均可以特定出告訴人個人,當然屬個人資料保護法所保護的範圍。此並非在公路上或其他公開場合所見特定車牌號碼的單一資訊,在未有其他資訊輔助下並不足以指向特定某個人所能比擬(臺灣桃園地方法院刑事判決104年度易字第653號)。

由上可見,無論是車牌號碼、住址、姓名、照片、電話號碼等資訊,如果違法利用都可能面臨刑事處罰。如果品牌沒有在蒐集個資時規劃好未來的使用目的,往後要是在目的外使用個資都會面臨到潛在的刑事責任風險。

行政裁罰

除了刑事責任外,行政機關也可能會介入處罰。相比刑事責任需要經過司法程序,行政機關的裁處對於品牌的影響會更即時。

裁罰處分

以下情形,主管機關可以直接處新臺幣5萬元以上50萬元以下罰鍰(個資法47條):

  1. 違法蒐集、處理、利用敏感性個資(個資法第6條第1項);
  2. 違法蒐集一般性個資(個資法第19條);
  3. 違法處理、利用一般性個資(個資法第20條第1項)。

以下情形,如果主管機關命業者限期改正,屆期未改正者,可以按次處新臺幣2萬元以上20萬元以下罰鍰(個資法48條):

  1. 如果業者違反所規定的告知義務(個資法第8條、第9條);
  2. 未依據資料主體的請求提供蒐集之個人資料,答覆查詢、提供閱覽或製給複製本(個資法第10條);
  3. 沒有協助資料主體更正或補充個人資料(個資法第11條);
  4. 沒有在違反個資法導致個人資料被竊取、洩漏、竄改或其他侵害時,查明後以適當方式通知資料主體(個資法第12條);
  5. 在蒐集個資目的外將個人資料用於「行銷」時,未於首次行銷時,提供行銷對象拒絕行銷的方式,並在被行銷對象拒絕行銷時,就停止利用其個人資料行銷(個資法第20條第2、3項);
  6. 沒有採取應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏(個資法第27條第1項)。

至於若企業沒有沒有採取應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏(個資法第27條第1項)。或未訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法者(個資法第27條第1項),由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣2萬元以上200萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處新臺幣15萬元以上1500萬元以下罰鍰(個資法48條第2項)。如果情節重大,主管機關可以直接開罰15萬元以上1500萬元以下罰鍰,並令其限期改正,屆期未改正者,按次連續處罰(個資法48條第3項)。

非裁罰處分

除了罰鍰之外,如果品牌違反個資法的規定,主管機關也可以命令業者從事以下行為(個資法25條):

  1. 禁止蒐集、處理或利用個人資料;
  2. 刪除經處理之個人資料檔案;
  3. 沒入或命銷燬違法蒐集之個人資料;
  4. 公布非公務機關之違法情形,及其姓名或名稱與負責人。

民事求償

最後,被違法利用個資的服務使用者,也可以向品牌求償。

被害人雖非財產上之損害,也可以以請求賠償相當之金額;其名譽被侵害者,並可以請求為回復名譽之適當處分(個資法第28條第2項)。如果被害人不易或不能證明其實際損害額時,可以請求法院依侵害情節,以每人每一事件新臺幣500元以上至20,000元以下計算之賠償金(個資法第28條第3項)。此損害賠償請求權,自被害人知道有損害及賠償義務人時起,2年內都可以請求;但最長不超過損害發生時起5年(個資法第30條)。

雖然損害賠償金額500元以上至20,000元看似不多,但對於商業品牌而言,個資侵害事件通常都會是集體事件,如沒有事先規劃好合法的個資蒐集、處理、利用方式,一旦產生糾紛,變成集體訴訟,影響都是相當深遠,且賠償數字也會相當可觀。

總結:品牌自我檢視蒐集個資的4大要點

個人資料的蒐集,可以說是商業品牌所從事的商業模式中不可或缺的一環。無論是想要蒐集消費者的 e-mail 寄發行銷資訊、蒐集消費者的消費紀錄,推播廣告或是促銷資訊,或是進行問卷調查與心理測驗等以優化所提供的產品,都會或多或少使用到個人資料。如果商業品牌在網路上所蒐資的資訊被認定為個人資料,在蒐集前都必須要遵守個資法的規範,而須承擔一定的法律義務。

因此,品牌在蒐集使用者資料可以針對以下事項做個自我檢視,並在隱私政策(條款)上做相對應的調整,以免觸犯個資法,承擔不必要的法律以及公關風險:

  1. 確認自己的商業模式是否真的需要可辨別個人身分的資料(如:姓名、身分證字號)?
  2. 如果需要,蒐集的資料是敏感性個資?或是一般性個資?
  3. 蒐集時是否有明確告知使用者蒐集目的?
  4. 蒐集時是否有告知使用者個資法第8條所要求之事項?

由於每個品牌經營的項目不同,所欲蒐集、處理、利用的個資事項也會不同,能夠承擔法律風險的能力高低也不一樣,很難有一個可以一體適用的隱私條款可供參照。

但個資的利用絕大部分是環繞在「蒐集的目的」之上。因此,如果品牌想要低風險的合法利用個資,在隱私條款內,最重要也最簡便的方式,就是將個資蒐集的「目的」、「使用方式」清楚列出,以便免爭議。除此之外,個資法也有羅列法定的告知事項,必須要在隱私條款告知消費者,才能避免觸法。

而對於消費者而言,在使用網路服務時也不妨仔細看看其所提供的隱私條款是否完善?若沒有載明最基本的「蒐集目的」和「利用方式」,甚至是該服務完全沒有制定隱私條款,則您在交出自己的個資前,可以再仔細想想這家公司是不是可以值得託付的對象。


作者簡介

本文由RE:LAB發起,

林煜騰律師為主要內容和資料提供者,提供隱私權與個人資料保護上面的專業知識,
RE:LAB結合SEO知識以及資訊設計能力,從使用者的角度出發,規劃文章架構和設計資訊圖文,
共同打造隱私權條款文章,希望企業更了解蒐集個資的權利義務後,在實際應用中降低潛在的法律風險。

圓矩法律事務所

圓矩法律事務專業律師團隊均畢業於國內外頂尖法學院,累積豐富且扎實的訴訟及企業法制規劃經驗,同時結合美國洛杉磯分所的服務,串連全球法務資源。

我們深信:理想的法律服務,在於第一線理解客戶之需求。經由律師與客戶間緊密的合作與互動,以提供客戶細膩、精準、人性化、全方位的專業法律服務,追求客戶的最佳利益

林煜騰律師(圓矩法律事務所)

林煜騰律師擁有美國哥倫比亞法學院及國立台灣大學法律系雙碩士學位,專長於資訊科技、隱私權、言論自由、著作權等領域。致力於協助新創業者章程、股權規劃、網路新興商業模式設計;以及提供新媒體業者、創作者智慧財產規劃服務。除此之外,林煜騰律師並嫻熟各類訴訟案件,特別是行政訴訟案件([email protected])。

RE:LAB 

我們喜歡研究數據,更喜歡將數據轉譯成有趣的故事與體驗,致力於創造好的溝通體驗與品牌溝通策略。
如果你拿著顯微鏡看我們的作品,會發現貪玩的個性;透過望遠鏡看我們的軌跡,會看見成長的階梯。
在一次次的實驗裡,我們透過不斷地修正與優化來發展當代品牌的溝通模型、開發更靈活的品牌溝通工具。
歡迎各式有趣、有料的資訊,和我們一起探索溝通的世界!

資料來源

  • 臺灣高等法院105年度金上訴字第5號刑事判決
  • 臺灣高等法院104年度上訴字第1393號刑事判決
  • 臺灣高等法院臺中分院刑事判決104年度上易字第885號 
  • 臺灣高等法院臺中分院刑事判決104年度上易字第885號 
  • 臺灣高雄地方法院刑事簡易判決105年度簡字第2432號 
  • 臺灣新北地方法院刑事簡易判決105年度審簡字第1650號 
  • 臺灣桃園地方法院刑事判決104年度易字第653號
  • Meta遭控告濫用4,400萬英國用戶個資,應賠償23億英鎊(https://www.ithome.com.tw/news/148906)。
  • 北市振興活動「雲端發票串聯」爆資安疑慮 遭投訴隱私條款不清(https://www.mirrormedia.mg/story/20211104edi016/)。