電腦與智慧型手機已是許多人日常生活中無可或缺的一部份,無論是用電腦安裝套裝軟體,或是某些需要先註冊會員才能使用的手機app,您一定曾經同意該軟體的使用者條款或手機app的會員條款。然而我們在同意此類會員條款時,通常只是在螢幕上勾選了「我同意」,然後就可以繼續進行下一步直至安裝完成。至於究竟條款裡寫了什麼,想來絕大多數的使用者根本從來沒有好好閱讀過。那麼,此種沒有紙本文書存在,單純以數位方式勾選「我同意」的同意方式,是否就在使用者與軟體公司間產生了某種契約,如果網站或是軟體以此種方式取得當事人對個人資料的同意,又是否符合個資法的規定呢?
首先,就點選同意是否即可使契約成立部分,其實依據我國民法第153條第1項規定:「當事人互相表示意思一致者,無論其為明示或默示,契約即為成立」,亦即除了少數例外,其實絕大多數的契約都不需要有紙本,只要雙方當事人意思表示合致,也就是說當事人雙方的意思表示,在內容上客觀的趨於一致,並且在主觀上有相結合成契約的意思。例如,軟體公司為「請接受本條款」的意思表示,使用者藉由勾選「我同意」為「我接受本條款」的意思表示,彼此相互一致、相結合,契約就成立了,是否有紙本存在根本不重要。
既然民法上的契約可以僅以當事人雙方意思表示合致而成立,那是否個資法上有關個人資料蒐集、處理及利用的同意,企業也可以主張因為當事人已經透過網站或是App勾選同意,雙方已經有意思表示合致,例如:大家在使用Facebook時,經常會有第三方廠商要求要先同意提供個人資料等,才能進行下一步。所以,該第三方廠商即已經合法取得當事人有關個人資料蒐集、處理及利用的同意呢?
個資法上需要經過當事人同意的事項可以分為二類:一類已經附合為契約一部份,另一類則是法條明文的「經當事人書面同意」之事項。所謂已經附合為契約的一部份,是指雖然是關於個人資料的相關事項,但個資法並未明文要求需經當事人「書面」同意者,此時即回歸一般民法法理,只要當事人做出同意的表示,那就是有效的同意了。惟若是法律明文要求須經當事人書面同意者,由於個資法對「書面」的解釋較為嚴格,限於以實際的書面或是符合電子簽章法之方式為之,因此僅於軟體安裝畫面中點選「我同意」的確並不符合個資法有關「書面」同意的要求。
舉例來說,個資法第11條第3項規定「個人資料蒐集之特定目的消失或期限屆滿時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。但因執行職務或業務所必須或經當事人書面同意者,不在此限」。本條是關於個人資料保存年限之規定,原則上如果特定目的消失或是期限屆滿,企業當然應該刪除當事人之個人資料,沒有理由繼續保存,違反本條者依個資法第48條第2款規定,得由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者,並得按次處新臺幣2萬元以上20萬元以下罰鍰,甚至政府可公布企業之違法情形、名稱與負責人。
但對企業對於個人資料可能因具有一定之重要性而希望保留,此時即須符合但書中「因執行職務或業務所必須或經當事人書面同意」的規定方可合法的繼續留存此類個人資料。而由於個資法施行細則草案中就「因執行職務或業務所需」之解釋包括「有法令規定或契約約定之保存期」,因此若是雙方契約中早就個人資料保存期有所約定而獲當事人同意,即可於特定目的消失或期限屆滿後繼續保留個人資料,且此時之同意不需以書面為之(當然,必須是這個施行細則草案的規定最後有被公告實施);但若施行細則草案未將契約約定作為執行業務所需的範疇,即需回歸到個資法的規定,確實以書面或是依電子簽章法之規定取得當事人「書面」同意始能符合法律規定。
此外,個資法第19條第1項規定,「非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:…二、與當事人有契約或類似契約之關係。…五、經當事人書面同意。」與當事人有契約或類似契約之關係及經當事人書面同意,其實是二個不同的個人資料蒐集的要件,因此,網站或App請使用者勾選同意的模式,可以符合「與當事人有契約或類似契約之關係」,但不符合「經當事人書面同意」。但若是要取得當事人有關特定目的外有關個人資料利用的同意時,依第20條第1項第6款規定,沒有其他法定事由時,「經當事人書面同意」會是少數可行的方式,這時候就不是用網站或App以線上勾選方式取得個資利用之同意可以解決的。
綜上所述,網站或App以線上勾選方式取得個資蒐集、利用之同意,在與使用者間存在有契約或類似契約關係的時候,確實是有效的,企業因應個資法時,的確不需要擔心凡事均須以書面為之。不過,個資法在特定的情形有要求須經當事人書面同意,就不能用這種簡便的方式處理。相較於以電子方式取得當事人同意的意思表示,取得當事人書面對不需要與消費者直接面對面的企業來說,毋寧需要高出許多的成本與難度。因此,如何於合約中適當的在合法的範圍設計相關個人資料法律關係,對企業未來處理、利用個人資料之風險與成本即具有相當大之重要性,不僅可以節省未來額外取得當事人書面的成本,更可免於遭行政機關罰鍰處罰,甚至遭到公布以致減損商譽之結果。
同系列文章
黃曉薇律師,個人資料保護法Q&A-書面同意是否一定要以紙本為之?
賴文智律師,個人資料保護法Q&A-敏感性個人資料禁止蒐集的效力?
賴文智律師,個人資料保護法Q&A-網友「人肉搜索」的合法性?
賴文智律師、蕭家捷律師,個人資料保護法Q&A-僱主臉書(Facebook)洩個資,當然不行!
賴文智律師、蕭家捷律師,個人資料保護法Q&A-可否要求網路業者刪除網友張貼之個人資料?
賴文智律師、蕭家捷律師,從南韓控蘋果集體訴訟案看我國個資法團體訴訟制度
賴文智律師,個人資料保護法Q&A-從NFC手機談個人資料的管制
賴文智律師,個人資料保護法Q&A-企業上雲端,個資保護責任誰負?
賴文智律師,個人資料保護法Q&A-依法股東名冊絕不能外流?
賴文智律師,個人資料保護法Q&A-拒絕電話行銷後,仍然不斷收到相同業者的電話?
賴文智律師,個人資料保護法Q&A-與當事人約定永久保留、使用其個人資料,是否有違反法律?
蕭家捷律師,個人資料保護法Q&A-蒐集個資時告知當事人的「目的」,是不是多多益善?
蕭家捷律師,個人資料保護法Q&A-聯名信用卡終止發行與個資利用問題
蕭家捷律師,個人資料保護法Q&A-只要消費者曾進行購物,就可以後續進行其他商品或服務的行銷?
蕭家捷律師、賴文智律師,個人資料保護法Q&A-取得政府機關或第三公證單位的認證,是否就能免於個資賠償責任?
蕭家捷律師,個人資料保護法Q&A-網站或App以線上勾選方式取得個資蒐集、利用之同意是否合法?
蕭家捷律師,個人資料保護法Q&A-機關或企業可否利用公司人事資料提供內部通訊錄給全體同仁?
蕭家捷律師,個人資料保護法Q&A-員工的個人資料可以保留多久呢?
賴文智律師,個人資料保護法Q&A-是否應該要求員工一律簽署個人資料同意書?
蕭家捷律師,個人資料保護法Q&A-學校可以公告成績單、獎懲或榜單等事項嗎?
賴文智律師,個人資料保護法Q&A-使用者因個資外洩遭詐騙,可以向業者把遭詐騙的損失全部要回來嗎?
蕭家捷律師,個人資料保護法Q&A-父母向學校索取學生成績或其他校內表現記錄,學校該怎麼辦呢?
