企业要怎样去取得个资才算是合法的?首先,搜集数据得先做到告知,且须有至少一个特定目的,以网络商城来说,例如有买卖、服务、会员、运送及订阅等这些目的,再者,数据搜集得符合诚信原则与比例原则,最后还得符合个资法所规定7种法定情形中的至少一种:
公务机关或学术研究机构基于公共利益为统计而有必要,且数据经过后或依其揭露方式无从识别特定当事人。
有利于当事人权益。
经当事人书面同意。
且法定情形必须得和特定目的画上等号,如果等号无法成立,那么就没有正当合理关联(可能就不算是合法搜集)。
业者在处理、利用他人个资时,如果该个资是业者直接向当事人搜集而来的,不需要另行告知。但如果是间接搜集的个资,必须告知以下事项:
个人数据来源。
此外,业者将他人个资作为特定目的外的利用,则必须告知当事人其利用目的、利用之范围及同意与否对其权益之影响。
不过,对于个人自行公开的个资,或是其他合法公开的个人数据,企业就可以自行运用,不需要取得书面同意,也不用与当事人建立契约关系。但是,若是第三方公开的个人数据,企业必须确认这些公开数据的合法性后才能利用,企业搜集了个人数据后,如果是利用这些数据对新顾客进行第一次营销时,还得提供顾客有拒绝营销的方式,即使已取得当事人同意,首次营销时要提供拒绝营销的机会,这是企业应尽的义务,不是向顾客搜集的个资,没告知前无法使用。
大家都会认为消费者自行公开的数据,当然可以随便使用,其实并不然,他们同意公开Email让人连络他,不代表同意让你寄营销广告给他。所以,『与当事人有契约或类似契约关系』与『当事人书面同意』,其实现阶段有个资法观念的多数企业也都是采这种做法,例如买保险之前会签很多书面数据,里面其实就包含个资搜集部分。
利用则分为『特定目的内』与『特定目的外』之利用。搜集数据的时候有个特定目的,而使用它的时候也和这个特定目的相同,那么就是特定目的内之利用,基本上就属合法(只是仍须注意诚信原则、比例原则与正当合理关联)。当初为了与消费者进行买卖而搜集特定个资,那么在买卖的范围内就可以合法的使用(为了把商品寄给消费者而取得地址,也确实使用了地址送货给他),但若把它用在其他目的(如营销),那么搜集目的与使用目的不相同,则为特定目的外之利用。
如果是特定目的外之利用,那么得符合个资法所规定7种法定情形中的至少一种才属合法。这7种中,我特别建议使用『当事人书面同意』的方式,但走『当事人书面同意』这条路存在许多困难,例如有规定这个书面必须是“单独书面(要另外独自一张)”与“具区别性(若在同一张内但得有明显区别),另外,对于网络商城而言,要取得网络另一端之消费者的数据是多么难的事。所以,根本之道就是不要特定目的外之利用,尽量确保搜集与使用目的相符。
业者对于持有他人个资,应尽以下各项义务:
此外,业者保有个人数据档案者,应实行适当之安全措施,防止个人数据被窃取、窜改、毁损、灭失或泄漏,而且主管机关得指定业者订定个人数据档案安全维护计划或业务终止后个人数据处理方法。
所谓适当之安全措施,应包括下列事项:
结论:
其实并毋需因担心违反个资法,导致过度地「避免或回避」必要数据之搜集与使用。要知道个人数据保护的重点在于「保持个人数据的正确性,并且告知当事人所搜集数据的特定目的,以及安全处理与使用方式与范围,只要能作好适当的删除与销毁工作」便能防患于未然,并将风险降至最低。
※本网站文章系出自郑永津先生之创作,原著作权之智慧财产权仍归属微信征信有限公司所有。未经本公司同意及授权下,不得擅自以重制之方法转载其原创作文章。涉及侵权,依智慧财产权之著作权法91条第1项,本公司将偕同创作人依法追诉。