如何才能合法利用他人個資？

合法取得個資原則：

企業要怎樣去取得個資才算是合法的？首先，蒐集資料得先做到告知，且須有至少一個特定目的，以網路商城來說，例如有買賣、服務、會員、運送及訂閱等這些目的，再者，資料蒐集得符合誠信原則與比例原則，最後還得符合個資法所規定7種法定情形中的至少一種：

• 法律明文規定。
• 為維護國家安全或增進公共利益。
• 為免除當事人之生命、身體、自由或財產上之危險。
• 為防止他人權益之重大危害。

公務機關或學術研究機構基於公共利益為統計而有必要，且資料經過後或依其揭露方式無從識別特定當事人。

有利於當事人權益。

經當事人書面同意。

且法定情形必須得和特定目的畫上等號，如果等號無法成立，那麼就沒有正當合理關聯（可能就不算是合法蒐集）。

業者在處理、利用他人個資時，如果該個資是業者直接向當事人蒐集而來的，不需要另行告知。但如果是間接蒐集的個資，必須告知以下事項：

個人資料來源。

• 公司名稱。
• 蒐集之目的。
• 個人資料之類別。
• 個人資料利用之期間、地區、對象及方式。
• 當事人得行使之權利及方式。

此外，業者將他人個資作為特定目的外的利用，則必須告知當事人其利用目的、利用之範圍及同意與否對其權益之影響。

不過，對於個人自行公開的個資，或是其他合法公開的個人資料，企業就可以自行運用，不需要取得書面同意，也不用與當事人建立契約關係。但是，若是第三方公開的個人資料，企業必須確認這些公開資料的合法性後才能利用，企業蒐集了個人資料後，如果是利用這些資料對新顧客進行第一次行銷時，還得提供顧客有拒絕行銷的方式，即使已取得當事人同意，首次行銷時要提供拒絕行銷的機會，這是企業應盡的義務，不是向顧客蒐集的個資，沒告知前無法使用。

大家都會認為消費者自行公開的資料，當然可以隨便使用，其實並不然，他們同意公開Email讓人連絡他，不代表同意讓你寄行銷廣告給他。所以，『與當事人有契約或類似契約關係』與『當事人書面同意』，其實現階段有個資法觀念的多數企業也都是採這種做法，例如買保險之前會簽很多書面資料，裡面其實就包含個資蒐集部分。

利用則分為『特定目的內』與『特定目的外』之利用。蒐集資料的時候有個特定目的，而使用它的時候也和這個特定目的相同，那麼就是特定目的內之利用，基本上就屬合法（只是仍須注意誠信原則、比例原則與正當合理關聯）。當初為了與消費者進行買賣而蒐集特定個資，那麼在買賣的範圍內就可以合法的使用（為了把商品寄給消費者而取得地址，也確實使用了地址送貨給他），但若把它用在其他目的（如行銷），那麼蒐集目的與使用目的不相同，則為特定目的外之利用。

如果是特定目的外之利用，那麼得符合個資法所規定7種法定情形中的至少一種才屬合法。這7種中，我特別建議使用『當事人書面同意』的方式，但走『當事人書面同意』這條路存在許多困難，例如有規定這個書面必須是“單獨書面（要另外獨自一張）”與“具區別性（若在同一張內但得有明顯區別），另外，對於網路商城而言，要取得網路另一端之消費者的資料是多麼難的事。所以，根本之道就是不要特定目的外之利用，盡量確保蒐集與使用目的相符。

業者對個人資料有什麼義務？

業者對於持有他人個資，應盡以下各項義務：

• 應維護資料之正確，並應更正或補充之。
• 個人資料正確性有爭議者，應停止處理或利用。
• 個人資料蒐集之特定目的消失或期限屆滿時，應刪除、停止處理或利用該個人資料。
• 違法蒐集、處理或利用個人資料者，應刪除、停止蒐集、處理或利用該個人資料。
• 因可歸責於業者之事由未為更正或補充之個人資料，應於更正或補充後，通知曾提供利用之對象。
• 個人資料被竊取、洩漏、竄改或其他侵害者，應查明後通知當事人。
• 業者受理當事人以上各項請求，應於十五日內處理完畢。

此外，業者保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏，而且主管機關得指定業者訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。

所謂適當之安全措施，應包括下列事項：

• 配置管理之人員即相當資源。
• 界定個人資料之範圍。
• 個人資料之風險評估及管理機制。
• 事故之預防、通報及應變機制。
• 個人資料蒐集、處理及利用之內部管理程序。
• 資料安全管理及人員管理。
• 認知宣導及教育訓練。
• 設備安全管理。
• 資料安全稽核機制。
• 使用紀錄、軌跡資料及證據保存。
• 個人資料安全維護之整體持續改善。

何種情形才能夠合法使用特種資料？（個資法第6條）

1. 法律明文規定。
2. 公務機關執行法定職務或非公務機關履行法定義務所必要，且有適當安全維護措施。
3. 當事人自行公開或其他已合法公開之個人資料。
4. 公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且經一定程序所為蒐集、處理或利用之個人資料。

若當事人尚未成年，個人資料蒐集需要取得當事人或監護人同意嗎？

• 民法規定，滿20歲為成年。未成年人包括：
  1. 未滿7歲者，為無行為能力人：應由法定代理人代為意思表示，並代受意思表示。
  2. 滿7歲以上者，為限制行為能力人：其為意思表示及受意思表示，原則上應得法定代理人之允許。依民法規定，未成年人為書面同意，應由法定代理人代為書面同意，或得到法定代理人之允許。
• 民法規定，已經結婚之未成年人，有行為能力。換言之，已經結婚之未成年人，可以自行為書面同意，並無法定代理人代為書面同意或允許之問題。

哪些個人資料不受個資法保護?（個資法第51條）

• 下述情況於蒐集個資前免告知當事人：
  1. 依法律規定得免告知。
  2. 個人資料之蒐集係公務機關執行法定職務所必要。
  3. 告知將妨害公務機關執行法定職務。
  4. 告知將妨害第三人之重大利益。
  5. 當事人明知應告知之內容。
  6. 當事人自行公開或其他已合法公開之個人資料
  7. 不能向當事人或其法定代理人為告知。
  8. 基於公共利益為統計或學術研究之目的而有必要，且該資料須經提供者處理後或蒐集者依其揭露方式，無從識別特定當事人者為限。
  9. 大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。
• 個資不完全者若與其它個人資料媒合後可辨識，屬其他可直接或間接識別該個人之資料，則適用個資法。若無法輕易辨識之個資則形同無識別力，不適用個資法。

結論：

其實並毋需因擔心違反個資法，導致過度地「避免或迴避」必要資料之蒐集與使用。要知道個人資料保護的重點在於「保持個人資料的正確性，並且告知當事人所蒐集資料的特定目的，以及安全處理與使用方式與範圍，只要能作好適當的刪除與銷毀工作」便能防患於未然，並將風險降至最低。