A到雪拼網路平臺上訂購商品,於結帳時留下email來取得購物明細,並在「是否願意收到本平臺促銷活動訊息」選了「否」。但沒想到,雪拼網路平臺仍然每個月固定寄送促銷活動訊息到A的email。請問,雪拼網路平臺寄送促銷活動訊息的行為,是否違反個人資料保護法中的「比例原則」?
個人資料保護法(下稱「個資法」)將個人資料分成「一般性資訊」與「敏感性資訊」(也稱為「特種資料」)。依照個資法的規定[1],病歷、醫療、基因、性生活、健康檢查及犯罪前科會被歸類在「敏感性資訊」的範圍。而「一般性資訊」則是任何可以直接或間接辨識個人的資料,包含:姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、聯絡方式、財務情況、社會活動等[2]。
因為敏感性資訊具有高度的私密性與敏感性,如果被不當利用,很可能會對被蒐集的人造成難以彌補的傷害[3]。所以個資法特別規定,原則上任何人不可以蒐集、處理或利用敏感性資訊[4]。
「使用個人資料」的概念,包括對個人資料的蒐集、處理及利用三方面[5]。Email等聯絡方式屬於一般性資訊,並不是原則上不能蒐集、處理或利用的敏感性資訊,但私人使用他人的一般性個人資料,除了必須符合當事人同意等法定條件[6],還必須符合使用目的範圍,並且與目的有正當合理關聯[7]。
在與目的有正當合理關聯的情形下,個資法才會例外允許個人資料的使用。換句話說,在符合「比例原則」的情況下,可以例外地使用他人的個人資料。
個人資料的使用及目的,怎麼樣才算是符合「比例原則」?比例原則又可以再細分為三個小原則[8],以下加以說明:
指使用個人資料的方法,可以達到當初取得資料的目的。
例如:為了方便送貨人員聯絡,而取得收件人的電話號碼、打電話請收件人收貨,可以達到使用個資的目的。相反的,與他人有債務糾紛時,公布他人個資要求還錢,有法院認為公布個資無助於債務糾紛,所以不符合適性原則[9]。
指在所有使用個人資料的方法中,選擇對被取得個人資料的當事人侵害最小的手段。
例如:餐廳調查顧客滿意度時,為了區別顧客身分,可以請顧客提供姓名與電話等,但如果要求顧客進一步提供身分證字號、出生年月日、住址等個人資料,雖然更可以特定這位顧客是誰,但恐怕已經超過對當事人侵害的最小手段[10]。
指使用個人資料獲得的利益,不可以小於被取得個人資料當事人受到的損害。
例如:指紋因人各不同、終身不變的特質,一旦與個人身分連結,會是具備高度人別辨識功能的一種個人資訊[11]。如醫院只是為了方便追蹤病患身體狀況的利益製作病歷,卻要求病患提供指紋,將會使病患承擔嚴重的資訊外洩風險。所以醫院不可以為了製作病歷,要求病患提供指紋。
由於A提供email的目的,只是取得購物明細,因此雪拼網路平臺使用A的個人資料寄送促銷活動訊息的行為,已經超出當時取得email的目的(提供購物明細),違反個資法「比例原則」中的「合適性原則」,所以是違法的。況且,A也拒絕了雪拼網路平臺利用A的email寄送促銷活動訊息,平臺依法必須停止行銷[12]。
這時候A可以要求雪拼網路平臺刪除並停止使用A的個人資料,雪拼網路不可以拒絕A的要求[13]。如果雪拼拒絕A的要求,A可以向行政院消費者保護會申訴[14],此時雪拼可能會被處以新臺幣2萬元到20萬元的罰鍰[15]。
註腳