智由博集
智由博集

水能載舟亦能覆舟,電商平台應謹慎對待消費者個人資料(上)

0
By on 個人資料保護, 智由觀點, 最新文章, 電子商務(互聯網)

資料處理、大數據分析技術迅速發展的當今,資料的利用價值越來越高,除了演算法推送、精準行銷廣告等正規的運用方式外,企圖將個資用於詐騙等不法用途之情形也日益增多,為了應對此一趨勢,近年來政府不斷積極宣導資安維護的重要性,並且將相關法規完善化,本次我們將分成上下兩篇文章,來和大家介紹個資維護及個資法對電商業者的重要性。

什麼是個資?

在電商平台上進行消費,電商業者往往會要求消費者提供如「姓名、出身年月日、身份證字號、電話號碼、電子信箱」等資料完成帳號註冊,於下單結帳之後,也會要求消費者提供如收貨地址、信用卡卡號等資訊,那上述資料,究竟哪些屬於個人資料保護法所謂的「個資」呢?

按照個人資料保護法第2條第1款:

本法用詞,定義如下:一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。

由此可知,個資的定義相當廣泛,只要資料能直接或間接辨識一個人的身分,全部都算是!所以當電商業者要求消費者填寫相關資料時,其實就已經構成個資的蒐集行為了,必須要符合相關法規才行。

蒐集個資的時候該注意什麼?

個人資料保護法第19條第1項:「非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:

一、法律明文規定。

二、與當事人有契約或類似契約之關係,且已採取適當之安全措施。

三、當事人自行公開或其他已合法公開之個人資料。

四、學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。

五、經當事人同意。

六、為增進公共利益所必要。

七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。

八、對當事人權益無侵害。」

依照目前常見的模式,業者在消費者註冊帳號之時,都會先請用戶在如客戶條款、隱私權聲明等文件上勾選「同意」,由此可知,電商業者與消費者大多都是以經當事人同意作為蒐集個資的合法事由。

至於條文中所提到的「第六條第一項所規定資料」,是指有關病歷、醫療、基因、性生活、健康檢查及犯罪前科等資料,由於可以連接到更敏感的個人訊息,又稱為「特種個資」,法律特別給予更高度的保障,雖然從事電商業務應該無蒐集這類資料的需求,但在這個追求創新的時代,還是要先有個基本的認識,以免日後拓展業務時不慎觸法。

蒐集來的個資,使用上有什麼應注意的事項嗎?

 

個人資料保護法第20條第1項:「非公務機關對個人資料之利用,除第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:

一、法律明文規定。

二、為增進公共利益所必要。

三、為免除當事人之生命、身體、自由或財產上之危險。

四、為防止他人權益之重大危害。

五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。

六、經當事人同意。

七、有利於當事人權益。」

如條文所述,個資必須在蒐集之特定目的必要範圍內為之,既然電商業者多半是為了配送商品以及推送廣告等商業目的才蒐集消費者的個資,對於個資的使用範圍當然就不能脫逸這個目的,如果因拓展業務而有以其他目的使用個資的需求,建議都要先向消費者取得同意會比較妥當。

蒐集來的個人資料,應該要以適當的安全措施保管處理

個人資料保護法第27條第1項:「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。

既然持有了消費者的個人資料,那電商業者自然負有妥善保管的義務,不能隨隨便便將資料外洩出去。

至於什麼叫做適當之安全措施?

個人資料保護法施行細則第12條:「本法第六條第一項但書第二款及第五款所稱適當安全維護措施、第十八條所稱安全維護事項、第十九條第一項第二款及第二十七條第一項所稱適當之安全措施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施。前項措施,得包括下列事項,並以與所欲達成之個人資料保護目的間,具有適當比例為原則:一、配置管理之人員及相當資源。二、界定個人資料之範圍。三、個人資料之風險評估及管理機制。四、事故之預防、通報及應變機制。五、個人資料蒐集、處理及利用之內部管理程序。六、資料安全管理及人員管理。七、認知宣導及教育訓練。八、設備安全管理。九、資料安全稽核機制。十、使用紀錄、軌跡資料及證據保存。十一、個人資料安全維護之整體持續改善。」

本條除了具體羅列十一款安全措施事項,還提到了一個關鍵句「具有適當比例為原則」,簡單來說,是否有做到適當之安全措施,並沒有一個固定的硬性指標,而是會參酌資料蒐集者的蒐集目的、可用資源、蒐集的資料量等諸多因素,來決定是否已經於力所能及的範圍施以適當的安全措施。

百密一疏,萬一個資真的不幸遭到外洩,該怎麼辦?

個人資料保護法第12條:「公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。

萬一真的發生個資外洩的事情,務必要於第一時間查明並且通知當事人。

綜合商品零售頁個人資料檔案安全維護管理辦法

另外,業務中包含可取得交易對象個資的大型綜合商品零售業業者,由於管理掌握的個資量往往相當龐大,經濟部於112年8月1日發布施行「綜合商品零售頁個人資料檔案安全維護管理辦法」,要求這類業者有更高的個資防護義務。此管理辦法要求從事已非特定專賣形式銷售多種系列商品,且資本額達新台幣一千萬元以上,並且有招募會員或可取得交易對象個人資料的業者必須於113年1月31日前完成安全維護計畫之訂立,否則恐違反個資法第27條。

綜合商品零售頁個人資料檔案安全維護管理辦法對適當的安全措施,可說是更細緻且具體地提出各項標準,由於提升個資保護是一個不可逆轉的趨勢,未來這些對大型業者的要求,也可能逐漸下放適用於中小型業者,因此也相當值得大家留意。

關於「適當的安全措施」的一些實務見解,以及違反個資法的相關責任,我們將於下篇繼續討論。

這篇文對你有幫助嗎?歡迎分享轉發!

About Author

思想活潑開放,希望能讓法律看起來親民一點的專欄作家兼律師。

Comments are closed.