Change-Chinese Change-simpleChinese change-english

如何才能合法利用他人个资?

合法取得个资原则:

企业要怎样去取得个资才算是合法的?首先,搜集数据得先做到告知,且须有至少一个特定目的,以网络商城来说,例如有买卖、服务、会员、运送及订阅等这些目的,再者,数据搜集得符合诚信原则与比例原则,最后还得符合个资法所规定7种法定情形中的至少一种:

  • 法律明文规定。
  • 为维护国家安全或增进公共利益。
  • 为免除当事人之生命、身体、自由或财产上之危险。
  • 为防止他人权益之重大危害。

公务机关或学术研究机构基于公共利益为统计而有必要,且数据经过后或依其揭露方式无从识别特定当事人。

有利于当事人权益。

经当事人书面同意。

且法定情形必须得和特定目的画上等号,如果等号无法成立,那么就没有正当合理关联(可能就不算是合法搜集)。

业者在处理、利用他人个资时,如果该个资是业者直接向当事人搜集而来的,不需要另行告知。但如果是间接搜集的个资,必须告知以下事项:

个人数据来源。

  • 公司名称。
  • 搜集之目的。
  • 个人数据之类别。
  • 个人数据利用之期间、地区、对象及方式。
  • 当事人得行使之权利及方式。

此外,业者将他人个资作为特定目的外的利用,则必须告知当事人其利用目的、利用之范围及同意与否对其权益之影响。

不过,对于个人自行公开的个资,或是其他合法公开的个人数据,企业就可以自行运用,不需要取得书面同意,也不用与当事人建立契约关系。但是,若是第三方公开的个人数据,企业必须确认这些公开数据的合法性后才能利用,企业搜集了个人数据后,如果是利用这些数据对新顾客进行第一次营销时,还得提供顾客有拒绝营销的方式,即使已取得当事人同意,首次营销时要提供拒绝营销的机会,这是企业应尽的义务,不是向顾客搜集的个资,没告知前无法使用。

大家都会认为消费者自行公开的数据,当然可以随便使用,其实并不然,他们同意公开Email让人连络他,不代表同意让你寄营销广告给他。所以,『与当事人有契约或类似契约关系』与『当事人书面同意』,其实现阶段有个资法观念的多数企业也都是采这种做法,例如买保险之前会签很多书面数据,里面其实就包含个资搜集部分。

利用则分为『特定目的内』与『特定目的外』之利用。搜集数据的时候有个特定目的,而使用它的时候也和这个特定目的相同,那么就是特定目的内之利用,基本上就属合法(只是仍须注意诚信原则、比例原则与正当合理关联)。当初为了与消费者进行买卖而搜集特定个资,那么在买卖的范围内就可以合法的使用(为了把商品寄给消费者而取得地址,也确实使用了地址送货给他),但若把它用在其他目的(如营销),那么搜集目的与使用目的不相同,则为特定目的外之利用。

如果是特定目的外之利用,那么得符合个资法所规定7种法定情形中的至少一种才属合法。这7种中,我特别建议使用『当事人书面同意』的方式,但走『当事人书面同意』这条路存在许多困难,例如有规定这个书面必须是“单独书面(要另外独自一张)”与“具区别性(若在同一张内但得有明显区别),另外,对于网络商城而言,要取得网络另一端之消费者的数据是多么难的事。所以,根本之道就是不要特定目的外之利用,尽量确保搜集与使用目的相符。

业者对个人数据有什么义务?

业者对于持有他人个资,应尽以下各项义务:

  • 应维护数据之正确,并应更正或补充之。
  • 个人数据正确性有争议者,应停止处理或利用。
  • 个人数据搜集之特定目的消失或期限届满时,应删除、停止处理或利用该个人数据。
  • 违法搜集、处理或利用个人数据者,应删除、停止搜集、处理或利用该个人数据。
  • 因可归责于业者之事由未为更正或补充之个人数据,应于更正或补充后,通知曾提供利用之对象。
  • 个人数据被窃取、泄漏、窜改或其他侵害者,应查明后通知当事人。
  • 业者受理当事人以上各项请求,应于十五日内处理完毕。

此外,业者保有个人数据档案者,应实行适当之安全措施,防止个人数据被窃取、窜改、毁损、灭失或泄漏,而且主管机关得指定业者订定个人数据档案安全维护计划或业务终止后个人数据处理方法。

所谓适当之安全措施,应包括下列事项:

  • 配置管理之人员即相当资源。
  • 界定个人数据之范围。
  • 个人数据之风险评估及管理机制。
  • 事故之预防、通报及应变机制。
  • 个人数据搜集、处理及利用之内部管理程序。
  • 数据安全管理及人员管理。
  • 认知倡导及教育训练。
  • 设备安全管理。
  • 数据安全稽核机制。
  • 使用纪录、轨迹数据及证据保存。
  • 个人数据安全维护之整体持续改善。

何种情形才能够合法使用特种数据?(个资法第6条)

  1. 法律明文规定。
  2. 公务机关执行法定职务或非公务机关履行法定义务所必要,且有适当安全维护措施。
  3. 当事人自行公开或其他已合法公开之个人数据。
  4. 公务机关或学术研究机构基于医疗、卫生或犯罪预防之目的,为统计或学术研究而有必要,且经一定程序所为搜集、处理或利用之个人数据。

若当事人尚未成年,个人数据搜集需要取得当事人或监护人同意吗?

  • 民法规定,满20岁为成年。未成年人包括:
    1. 未满7岁者,为无行为能力人:应由法定代理人代为意思表示,并代受意思表示。
    2. 满7岁以上者,为限制行为能力人:其为意思表示及受意思表示,原则上应得法定代理人之允许。依民法规定,未成年人为书面同意,应由法定代理人代为书面同意,或得到法定代理人之允许。
  • 民法规定,已经结婚之未成年人,有行为能力。换言之,已经结婚之未成年人,可以自行为书面同意,并无法定代理人代为书面同意或允许之问题。

哪些个人数据不受个资法保护?(个资法第51条)

  • 下述情况于搜集个资前免告知当事人:
    1. 依法律规定得免告知。
    2. 个人数据之搜集系公务机关执行法定职务所必要。
    3. 告知将妨害公务机关执行法定职务。
    4. 告知将妨害第三人之重大利益。
    5. 当事人明知应告知之内容。
    6. 当事人自行公开或其他已合法公开之个人数据
    7. 不能向当事人或其法定代理人为告知。
    8. 基于公共利益为统计或学术研究之目的而有必要,且该数据须经提供者处理后或搜集者依其揭露方式,无从识别特定当事人者为限。
    9. 大众传播业者基于新闻报导之公益目的而搜集个人数据。
  • 个资不完全者若与其它个人数据媒合后可辨识,属其他可直接或间接识别该个人之数据,则适用个资法。若无法轻易辨识之个资则形同无识别力,不适用个资法。

结论:

其实并毋需因担心违反个资法,导致过度地「避免或回避」必要数据之搜集与使用。要知道个人数据保护的重点在于「保持个人数据的正确性,并且告知当事人所搜集数据的特定目的,以及安全处理与使用方式与范围,只要能作好适当的删除与销毁工作」便能防患于未然,并将风险降至最低。

服务区域列表
微信私家侦探社

Line / Wechat / Skype IDwishdetect
wishdetect@gmail.com
  • 微信私家侦探社 mail
  • 微信私家侦探社 line
  • 微信私家侦探社 skype
  • 微信私家侦探社 wechat
  • 微信私家侦探社 whatsapp

※本网站文章系出自郑永津先生之创作,原著作权之智慧财产权仍归属微信征信有限公司所有。未经本公司同意及授权下,不得擅自以重制之方法转载其原创作文章。涉及侵权,依智慧财产权之著作权法91条第1项,本公司将偕同创作人依法追诉。

返回私家侦探社頁首