個人資料保護法有關行動支付服務個人資料蒐集、處理及利用的相關規定如下:
第5條:「個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。」
第8條第1項:「公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時,應明確告知當事人下列事項:一、公務機關或非公務機關名稱。二、蒐集之目的。三、個人資料之類別。四、個人資料利用之期間、地區、對象及方式。五、當事人依第三條規定得行使之權利及方式。六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。」
第19條第1項:「非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:一、法律明文規定。二、與當事人有契約或類似契約之關係。三、當事人自行公開或其他已合法公開之個人資料。四、學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後或蒐集者依其揭露方式無從識別特定之當事人。五、經當事人書面同意。六、與公共利益有關。七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。」
第21條:「非公務機關為國際傳輸個人資料,而有下列情形之一者,中央目的事業主管機關得限制之:一、涉及國家重大利益。二、國際條約或協定有特別規定。三、接受國對於個人資料之保護未有完善之法規,致有損當事人權益之虞。四、以迂迴方法向第三國(地區)傳輸個人資料規避本法。」
綜合前述個人資料保護法相關規定,行動支付業者應該在「尊重當事人之權益」、「不得逾越特定目的之必要範圍」、「與蒐集之目的具有正當合理之關聯」、「履行第8條之告知義務」、「與當事人有契約或類似契約之關係」之條件下,始得知行個人資料之蒐集、處理及利用,若是像Google這樣的外國公司,因為會將個人資料儲存在國外的伺服器上,所以,亦會涉及國際傳輸個人資料的問題,須在中央目的事業主管機關(就其業務屬性可能同時涉及經濟部、NCC、金管會,希望不會變成三不管地帶)沒有限制的情形下始得為之。
亦即,新修正之個人資料保護法在廢除個人資料蒐集的「許可制」之後,對於大型企業從事個人資料之蒐集、處理及利用的「事前」管制手段已消失,故行動支付業者只要在使用者申請使用行動支付服務時,告知消費者其蒐集個人資料之「特定目的」儘可能「極大化」,則消費者利用該行動支付所需填寫之個人資料、悠遊卡等電子錢包或信用卡授權交易所需之資訊、每一次透過NFC傳輸之交易資訊、結合智慧型手機有關定位之資訊、其他電子商務合作廠商資訊(例如:手機中儲存之Groupon優惠券),都會在消費者一個「概括」的同意之下,成為「與當事人有契約或類似契約之關係」範圍內,而可以合法蒐集、處理及利用。
然而,由上述個人資料保護法條文的說明亦可得知,行動支付業者若為同時為Apple、Google、Microsoft等作業系統公司或是中華電信、台灣大哥大等電信公司,目前個人資料保護法並無明確規範,禁止同一法人組織不同部門或服務間所蒐集個人資料之「流用」,亦即,行動支付業者因為同時兼營多項服務而對同一消費者蒐集之個人資料及各種後續社會活動資料,可能都放置在同一個資料庫中進行運用,或即使在不同的資料庫,亦得彼此相互比對或進行data mining,最後則使消費者在龐大的商業力量下,個人的社會活動「無所遁形」(例如:Google公司從Google Plus取得的個人活動資訊與Google Wallet取得的消費活動資訊,Google公司所有部分均可整合運用,進而探知其特定用戶更具體的社會活動,當然,或許消費者可以獲得更精準的行銷資訊,但在數位的世界裡被窺視已令人心驚,「數位」+「實體」的商業窺視,仿佛有種置身楚門的世界的感受)。
消費者所能主張者,至多僅為依個人資料保護法第3條要求「請求停止蒐集、處理或利用」或「請求刪除」,或主張廠商違反第5條規定,其個人資料之蒐集、處理或利用,未尊重當事人之權益、未依誠實及信用方法為之、已逾越特定目的之必要範圍、與蒐集之目的不具有正當合理之關聯,而透過民事損害賠償訴訟(提起刑事告訴因罪刑法定主義,機會較低)主張其違反個人資料保護法規定,以維護其權益。
個人資料保護法Q&A-從NFC手機談個人資料的管制(上)、(中)、(下)
同系列文章
黃曉薇律師,個人資料保護法Q&A-書面同意是否一定要以紙本為之?
賴文智律師,個人資料保護法Q&A-敏感性個人資料禁止蒐集的效力?
賴文智律師,個人資料保護法Q&A-網友「人肉搜索」的合法性?
賴文智律師、蕭家捷律師,個人資料保護法Q&A-僱主臉書(Facebook)洩個資,當然不行!
賴文智律師、蕭家捷律師,個人資料保護法Q&A-可否要求網路業者刪除網友張貼之個人資料?
賴文智律師、蕭家捷律師,從南韓控蘋果集體訴訟案看我國個資法團體訴訟制度
賴文智律師,個人資料保護法Q&A-從NFC手機談個人資料的管制
賴文智律師,個人資料保護法Q&A-企業上雲端,個資保護責任誰負?
賴文智律師,個人資料保護法Q&A-依法股東名冊絕不能外流?
賴文智律師,個人資料保護法Q&A-拒絕電話行銷後,仍然不斷收到相同業者的電話?
賴文智律師,個人資料保護法Q&A-與當事人約定永久保留、使用其個人資料,是否有違反法律?
