個(gè)人資料保護(hù)法-二部曲_行為篇

文：蔡宜蓁 2021-05-10

個(gè)人資料保護(hù)法 個(gè)資法

過去企業(yè)為了充分運(yùn)用客戶資料，往往不會(huì)輕易將客戶的資料刪除，大部份會(huì)盡可能保存下來。《個(gè)資法》擴(kuò)大範(fàn)圍內(nèi)容後，我們應(yīng)該注意什麼才不會(huì)違法呢?

《個(gè)資法》從蒐集、處理和利用三大面向來要求個(gè)人資料的合理使用範(fàn)圍，以下先針對(duì)個(gè)人資料的「蒐集」、「處理」、「利用」等這三種行為做清楚的說明。

《延伸閱讀：個(gè)人資料保護(hù)法-首部曲_定義篇》

個(gè)資蒐集、處理及利用行為的定義

個(gè)人資料的使用一定會(huì)先從資料蒐集開始，所謂的「蒐集」就是指以任何方式取得個(gè)人資料，比如：客戶購買商品或服務(wù)時(shí)所填寫的個(gè)人資料，或是辦研討會(huì)時(shí)在出入口放置「惠賜名片」的箱子，只要牽涉到個(gè)人資料的蒐集方式都算。

當(dāng)資料被蒐集了，接下來就是資料處理的部分，這裡的「處理」指的是「為了建立個(gè)人資料檔案作為資料的記錄，輸入、儲(chǔ)存、編輯、更正、複製、檢索、刪除、輸出、連結(jié)或內(nèi)部傳送等行為」。

比方說將客戶所留的個(gè)人資料輸入到電腦系統(tǒng)當(dāng)中，或者是電腦系統(tǒng)中可檢索到客戶聯(lián)絡(luò)人的個(gè)人資料，或是行銷人員針對(duì)已存在的客戶資料庫進(jìn)行編輯、更正、刪除等行為，都稱之為個(gè)人資料的「處理」。

當(dāng)個(gè)人資料被蒐集與處理了，最後就是如何「利用」個(gè)人資料，只要將蒐集來的個(gè)人資料做處理以外的使用都算是「利用」。比如：將客戶所留下來的電子郵件地址寄送EDM、將蒐集得來的個(gè)人資料再供客戶使用，或是將客戶惠賜的名片再傳給別的單位使用。

《個(gè)資法》實(shí)施前後的差異

《個(gè)資法》實(shí)施前，許多企業(yè)針對(duì)蒐集得來的個(gè)人資料都會(huì)加以處理，例如：建置資料庫然後反覆使用。但《個(gè)資法》實(shí)施後，企業(yè)對(duì)於個(gè)人資料的蒐集和處理必須要有特定目的，並且還必須符合以下的各種情形：

第一種狀況是法律明文規(guī)定的，例如：勞基法有規(guī)定雇主應(yīng)該備置勞工名卡，登記姓名、身份證、傷病等資料。

第二種情形是因?yàn)楦?dāng)事人有契約關(guān)係，例如：為了購買商品簽訂合約而留下的姓名、電話。

第三種情況是當(dāng)事人已經(jīng)自行公開，或其他已經(jīng)合法公開的個(gè)人資料，企業(yè)可以在該特定目的內(nèi)運(yùn)用。

第四種狀況是經(jīng)得當(dāng)事人書面同意所取得的個(gè)人資料，所謂「書面同意」不限於紙本，另外以電子文件、傳真或其他適當(dāng)方式，只要日後可以完整呈現(xiàn)，並可取出以供查驗(yàn)，都是屬於「書面同意」的範(fàn)圍內(nèi)。

第五種是取自於一般可得知來源的個(gè)人資料，像是企業(yè)從搜尋引擎蒐集得來的個(gè)人資料，因?yàn)闊o法查證資料是否合法，所以，《個(gè)資法》同樣將這類型視為合法蒐集，但是如果企業(yè)後來發(fā)現(xiàn)這些資料不合法，或者使用者要求企業(yè)禁用時(shí)，企業(yè)就必須刪除或停止使用了。

企業(yè)在蒐集個(gè)人資料時(shí)應(yīng)同時(shí)告知對(duì)方收集的目的，不能逾越所選定的目的範(fàn)圍，原則上一定要將每一個(gè)目的明確和清楚的告知當(dāng)事人，才能算是合法蒐集。企業(yè)應(yīng)該要向當(dāng)事人主動(dòng)告知企業(yè)的名稱、蒐集的目的、資料的類別、當(dāng)事人的權(quán)利、資料被利用的時(shí)間、地區(qū)、對(duì)象跟方式。

如果現(xiàn)有的客戶資料不是直接跟當(dāng)事人取得，必須要在處理或利用之前進(jìn)行必要的告知，也可以在首次利用時(shí)同時(shí)執(zhí)行告知。萬一發(fā)生個(gè)資外洩，例如：企業(yè)的網(wǎng)路遭駭客攻擊，導(dǎo)致個(gè)人資料被竊取，也必須主動(dòng)告知當(dāng)事人。

《個(gè)資法》保障個(gè)人權(quán)利

企業(yè)可以根據(jù)《個(gè)資法》的規(guī)定，蒐集、處理及使用個(gè)人資料，但是個(gè)資法也保障了個(gè)人的個(gè)資權(quán)利。每個(gè)人對(duì)於他的個(gè)人資料都可以請(qǐng)求閱覽或查詢，請(qǐng)求提供複製本，請(qǐng)求更正或補(bǔ)充、請(qǐng)求停止蒐集、停止處理或利用；甚至企業(yè)還必須回應(yīng)客戶的請(qǐng)求，刪除資料庫中的客戶記錄，因?yàn)槠髽I(yè)必須滿足個(gè)人提出的請(qǐng)求，勢(shì)必得改變現(xiàn)有的個(gè)人資料作業(yè)流程。

例如：企業(yè)為了日後可以舉證確實(shí)執(zhí)行了客戶的請(qǐng)求，除了要記錄客戶提出的個(gè)資權(quán)利請(qǐng)求之外，還得記錄執(zhí)行請(qǐng)求的過程，各種跟個(gè)資相關(guān)的作業(yè)流程都會(huì)受到影響，必須重新調(diào)整作法，因此這對(duì)企業(yè)營運(yùn)而言，是個(gè)非常艱巨的挑戰(zhàn)。

《個(gè)資法》的案例解析

以上是個(gè)資法的行為規(guī)範(fàn)，讓我們?cè)賮砜纯匆韵逻@兩則案例。

案例一：A公司可不可以將客戶的訂購資料，例如：帳戶號(hào)碼跟姓名在未取得客戶同意前就轉(zhuǎn)寄給同集團(tuán)的B公司使用嗎?

答案是不可以的。因?yàn)楫?dāng)初A公司取得客戶的資料，是因?yàn)楦蛻粲衅跫s的關(guān)係，但是同集團(tuán)的B公司跟當(dāng)事人並沒有契約的關(guān)係，如果要轉(zhuǎn)寄給B公司使用的話，必須要經(jīng)過當(dāng)事人的書面同意。

案例二：公司可不可以將電子報(bào)訂閱戶的電子郵件做問卷調(diào)查呢? 可不可以將資料用來進(jìn)行行銷活動(dòng)?

答案是公司可以做問卷調(diào)查，但是目的應(yīng)該要跟當(dāng)初蒐集訂閱戶個(gè)資的目的相同，但是不可以將蒐集到的資料作為行銷之用，建議在申請(qǐng)成為訂貨的資料上提供勾選是否願(yuàn)意收到行銷郵件的項(xiàng)目。

【下集預(yù)告】個(gè)人資料保護(hù)法-三部曲_責(zé)任篇

更多精彩課程請(qǐng)上知識(shí)學(xué)院網(wǎng)校觀看：https://reurl.cc/0DMgVY

相關(guān)資訊