網購留下的Email，店家可以用來寄送促銷訊息嗎？個人資料保護法中的「比例原則」要怎麼落實？

一、什麼是個人資料？

個人資料保護法（下稱「個資法」）將個人資料分成「一般性資訊」與「敏感性資訊」（也稱為「特種資料」）。依照個資法的規定^[1]，病歷、醫療、基因、性生活、健康檢查及犯罪前科會被歸類在「敏感性資訊」的範圍。而「一般性資訊」則是任何可以直接或間接辨識個人的資料，包含：姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、聯絡方式、財務情況、社會活動等^[2]。

因為敏感性資訊具有高度的私密性與敏感性，如果被不當利用，很可能會對被蒐集的人造成難以彌補的傷害^[3]。所以個資法特別規定，原則上任何人不可以蒐集、處理或利用敏感性資訊^[4]。

二、如何合法使用他人的資料？

「使用個人資料」的概念，包括對個人資料的蒐集、處理及利用三方面^[5]。Email等聯絡方式屬於一般性資訊，並不是原則上不能蒐集、處理或利用的敏感性資訊，但私人使用他人的一般性個人資料，除了必須符合當事人同意等法定條件^[6]，還必須符合使用目的範圍，並且與目的有正當合理關聯^[7]。

在與目的有正當合理關聯的情形下，個資法才會例外允許個人資料的使用。換句話說，在符合「比例原則」的情況下，可以例外地使用他人的個人資料。

三、「比例原則」是什麼？（見圖1）

個人資料的使用及目的，怎麼樣才算是符合「比例原則」？比例原則又可以再細分為三個小原則^[8]，以下加以說明：

（一）合適性原則

指使用個人資料的方法，可以達到當初取得資料的目的。

例如：為了方便送貨人員聯絡，而取得收件人的電話號碼、打電話請收件人收貨，可以達到使用個資的目的。相反的，與他人有債務糾紛時，公布他人個資要求還錢，有法院認為公布個資無助於債務糾紛，所以不符合適性原則^[9]。

（二）必要性原則

指在所有使用個人資料的方法中，選擇對被取得個人資料的當事人侵害最小的手段。

例如：餐廳調查顧客滿意度時，為了區別顧客身分，可以請顧客提供姓名與電話等，但如果要求顧客進一步提供身分證字號、出生年月日、住址等個人資料，雖然更可以特定這位顧客是誰，但恐怕已經超過對當事人侵害的最小手段^[10]。

（三）狹義比例原則

指使用個人資料獲得的利益，不可以小於被取得個人資料當事人受到的損害。

例如：指紋因人各不同、終身不變的特質，一旦與個人身分連結，會是具備高度人別辨識功能的一種個人資訊^[11]。如醫院只是為了方便追蹤病患身體狀況的利益製作病歷，卻要求病患提供指紋，將會使病患承擔嚴重的資訊外洩風險。所以醫院不可以為了製作病歷，要求病患提供指紋。

四、結論

由於A提供email的目的，只是取得購物明細，因此雪拼網路平臺使用A的個人資料寄送促銷活動訊息的行為，已經超出當時取得email的目的（提供購物明細），違反個資法「比例原則」中的「合適性原則」，所以是違法的。況且，A也拒絕了雪拼網路平臺利用A的email寄送促銷活動訊息，平臺依法必須停止行銷^[12]。

這時候A可以要求雪拼網路平臺刪除並停止使用A的個人資料，雪拼網路不可以拒絕A的要求^[13]。如果雪拼拒絕A的要求，A可以向行政院消費者保護會申訴^[14]，此時雪拼可能會被處以新臺幣2萬元到20萬元的罰鍰^[15]。