網購留下的Email,店家可以用來寄送促銷訊息嗎?個人資料保護法中的「比例原則」要怎麼落實?

文:黃蓮瑛(認證法律人)
黃子容(認證法律人) 4   0
刊登:2021-08-13 ‧ 最後更新:2021-08-13

案例

A到雪拼網路平臺上訂購商品,於結帳時留下email來取得購物明細,並在「是否願意收到本平臺促銷活動訊息」選了「否」。但沒想到,雪拼網路平臺仍然每個月固定寄送促銷活動訊息到A的email。請問,雪拼網路平臺寄送促銷活動訊息的行為,是否違反個人資料保護法中的「比例原則」?

本文
什麼是個人資料?
個人資料保護法(下稱「個資法」)將個人資料分成「一般性資訊」與「敏感性資訊」(也稱為「特種資料」)。依照個資法的規定[1],病歷、醫療、基因、性生活、健康檢查及犯罪前科會被歸類在「敏感性資訊」的範圍。而「一般性資訊」則是任何可以直接或間接辨識個人的資料,包含:姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、聯絡方式、財務情況、社會活動等[2]
因為敏感性資訊具有高度的私密性與敏感性,如果被不當利用,很可能會對被蒐集的人造成難以彌補的傷害[3]。所以個資法特別規定,原則上任何人不可以蒐集、處理或利用敏感性資訊[4]
如何合法使用他人的資料?
「使用個人資料」的概念,包括對個人資料的蒐集、處理及利用三方面[5]。Email等聯絡方式屬於一般性資訊,並不是原則上不能蒐集、處理或利用的敏感性資訊,但私人使用他人的一般性個人資料,除了必須符合當事人同意等法定條件[6],還必須符合使用目的範圍,並且與目的有正當合理關聯[7]
在與目的有正當合理關聯的情形下,個資法才會例外允許個人資料的使用。換句話說,在符合「比例原則」的情況下,可以例外地使用他人的個人資料。
「比例原則」是什麼?
個人資料的使用及目的,怎麼樣才算是符合「比例原則」?比例原則又可以再細分為三個小原則[8],以下加以說明:
合適性原則
指使用個人資料的方法,可以達到當初取得資料的目的。
例如:為了方便送貨人員聯絡,而取得收件人的電話號碼、打電話請收件人收貨,可以達到使用個資的目的。相反的,與他人有債務糾紛時,公布他人個資要求還錢,有法院認為公布個資無助於債務糾紛,所以不符合適性原則[9]
必要性原則
指在所有使用個人資料的方法中,選擇對被取得個人資料的當事人侵害最小的手段。
例如:餐廳調查顧客滿意度時,為了區別顧客身分,可以請顧客提供姓名與電話等,但如果要求顧客進一步提供身分證字號、出生年月日、住址等個人資料,雖然更可以特定這位顧客是誰,但恐怕已經超過對當事人侵害的最小手段[10]
狹義比例原則
指使用個人資料獲得的利益,不可以小於被取得個人資料當事人受到的損害。
例如:指紋因人各不同、終身不變的特質,一旦與個人身分連結,會是具備高度人別辨識功能的一種個人資訊[11]。如醫院只是為了方便追蹤病患身體狀況的利益製作病歷,卻要求病患提供指紋,將會使病患承擔嚴重的資訊外洩風險。所以醫院不可以為了製作病歷,要求病患提供指紋。
結論
由於A提供email的目的,只是取得購物明細,因此雪拼網路平臺使用A的個人資料寄送促銷活動訊息的行為,已經超出當時取得email的目的(提供購物明細),違反個資法「比例原則」中的「合適性原則」,所以是違法的。況且,A也拒絕了雪拼網路平臺利用A的email寄送促銷活動訊息,平臺依法必須停止行銷[12]
這時候A可以要求雪拼網路平臺刪除並停止使用A的個人資料,雪拼網路不可以拒絕A的要求[13]。如果雪拼拒絕A的要求,A可以向行政院消費者保護會申訴[14],此時雪拼可能會被處以新臺幣2萬元到20萬元的罰鍰[15]

註腳

  1.   個人資料保護法第6條第1項:「有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:
    一、法律明文規定。
    二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
    三、當事人自行公開或其他已合法公開之個人資料。
    四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
    五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
    六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。」
  2.   個人資料保護法第2條第1款:「本法用詞,定義如下:一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。」
  3.   參考個人資料法第6條之立法理由:「二、按個人資料中有部分資料性質較為特殊或具敏感性,如任意蒐集、處理或利用,恐會造成社會不安或對當事人造成難以彌補之傷害。」參閱:立法院(2008),《立法院公報》,第97卷第48期,頁128。
  4.   個人資料保護法第6條:「
    I 有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:
    一、法律明文規定。
    二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
    三、當事人自行公開或其他已合法公開之個人資料。
    四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
    五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
    六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。
    II 依前項規定蒐集、處理或利用個人資料,準用第八條、第九條規定;其中前項第六款之書面同意,準用第七條第一項、第二項及第四項規定,並以書面為之。」
  5.   個人資料保護法第1條:「為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。」
  6.   個人資料保護法第19條第1項:「非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:
    一、法律明文規定。
    二、與當事人有契約或類似契約之關係,且已採取適當之安全措施。
    三、當事人自行公開或其他已合法公開之個人資料。
    四、學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
    五、經當事人同意。
    六、為增進公共利益所必要。
    七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。
    八、對當事人權益無侵害。」
    個人資料保護法第20條第1項:「非公務機關對個人資料之利用,除第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:
    一、法律明文規定。
    二、為增進公共利益所必要。
    三、為免除當事人之生命、身體、自由或財產上之危險。
    四、為防止他人權益之重大危害。
    五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
    六、經當事人同意。
    七、有利於當事人權益。」
  7.   個人資料保護法第5條:「個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。」
  8.   參考司法院釋字第544號解釋理由書:「……倘與憲法第二十三條所要求之目的正當性、手段必要性、限制妥當性符合者,即無乖於比例原則,……。」
    中華民國憲法第23條:「以上各條列舉之自由權利,除為防止妨礙他人自由、避免緊急危難、維持社會秩序,或增進公共利益所必要者外,不得以法律限制之。」
  9.   臺灣臺南地方法院109年度簡上字第305號刑事判決:「而此部分個人資料之公開,對於原先促請告訴人出面協調債務糾紛之目的,並無實際作用或助益,……。」
  10.   請他人提供個資來確保每個人的身分,一樣要注意比例原則。實務見解也可以參考臺灣高等法院108年度上字第1131號民事判決:「查系爭感應卡決議關於每戶原則配發6個感應卡,超過部分需申請並酌收每個感應卡100元工本費,提出申請之公司負責人或區權人並須提供切結書……,固與管理社區安全及維護公共利益之目的尚無違背。惟該決議關於涉及蒐集員工、住戶之基本個人資料部分,包含姓名、性別、電話、出生年份、身分證字號、員工到職日、完整租賃契約內容及承租人個資等,若其蒐集目的僅係為特定、確保使用感應卡者之真實身份,本可透過公司、出租之區分所有權人提供切結書或部分個人資料即可,並無詳細蒐集各項個人隱私資料之必要。」
  11.   參考司法院釋字第603號解釋理由書:「……指紋係個人身體之生物特徵,因其具有人各不同、終身不變之特質,故一旦與個人身分連結,即屬具備高度人別辨識功能之一種個人資訊。……惟縱為未來可能需要,並認此一手段有助前開目的之達成,然因路倒病人、失智者、無名屍體之身分辨識需求,而強制年滿十四歲之全部國民均事先錄存個人之指紋資料,並使全民承擔授權不明確及資訊外洩所可能導致之風險,實屬損益失衡、手段過當,難以符合比例原則之要求,侵害人民受憲法第二十二條保障之資訊隱私權。」
  12.   個人資料保護法第20條第2項:「非公務機關依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。」
  13.   個人資料保護法第11條第4項:「違反本法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求,刪除、停止蒐集、處理或利用該個人資料。」
  14.   行政院消費者保護會(n.d.),《線上申訴》。
  15.   個人資料法第48條第2款、第3款:「非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者,按次處新臺幣二萬元以上二十萬元以下罰鍰:……
    二、違反第十條、第十一條、第十二條或第十三條規定。
    三、違反第二十條第二項或第三項規定。」
4
這篇文章有幫助到你的話,
請給我一個讚,謝謝。
送出 取消
網站採用CC授權,內容歡迎轉載分享。