連鎖醫美診所診間監控風波延燒之際,在女性私密處除毛領域享有盛名的聖宜醫美集團(以下稱聖宜診所)於2026年5月9日透過代理律師發出聲明,主張其療程同意書均已載明「本人同意診所於療程中全程錄音、錄影」,且在該條款下方另設有獨立簽名欄,消費者均已書面確認。同日,台北市中正第一分局持搜索票進入聖宜診所站前店,確認各診間天花板均設有監視設備,並將李姓負責人帶回偵訊,全案朝妨害性隱私、妨害秘密及湮滅證據等罪嫌方向偵辦。
聖宜診所方面主張,因其每次為消費者(患者)施作前,均有告知將全程錄音錄影,且每次均經消費者獨立簽名,因此符合個資法第19條第1項第5款及衛生福利部頒布之門診醫療隱私維護規範辦理,且已全部刪除所有影響。
然而,就實際上的簽名、「同意」場景,多名消費者在社群平台上分享自己簽署同意書的經驗,是「我做腋下+vio每次在診療室兩面都會翻 拿著平板都滑超快叫你簽名+拍照 進去診療室直接叫你躺下馬上蓋住你眼睛」(https://www.threads.com/@xuanchen_/post/DYJbxBeAdPc)、「我甚至雷射完私密處坐在診療間外,咨詢師拿著平板快速滑到底讓我簽 (大廳都有監視器,也不止我一位受害者事後簽) 那當時簽的不拍攝同意書又是簽心酸嗎….」(https://www.threads.com/@linnn_wala/post/DYKMrGrkTeW)、「不拍照指的是不拍術前跟術後 拜託一下,術前跟術後都不同意拍照了,為什麼可以用針孔偷錄術中!」(https://www.threads.com/@chichi.chou/post/DYKc8mVE0ne)、「我一直以為術前要我簽的影像協議是因為平板簽合約時要拍正臉照 那份同意書從來就沒有給我們足夠時間閱讀 詢問也是含糊其詞 結果竟然是未經我同意取得我私密處影像的協議」(https://www.threads.com/@yuzusuh/post/DYG9RfoGhFl)、「聖宜美容師給妳簽名 甚至直接用平板前鏡頭直接拍你的臉 表示你同意」(https://www.threads.com/@chuang_ting1130/post/DYJVQ6Kk5I5)。由這些網友的的發言(均另列印網頁保存),似乎他們都認為,自己即使確實有在同意書簽名,但不認為自己確實瞭解同意書的內容,或者確實同意在除毛的過程中被錄影。
全案目前仍在偵查程序中,衛福部亦已啟動規範研議,後續發展值得持續關注。雖然我們無法確認前術網路上匿名言論是否真實與正確,不過這次的事件有一個相當重要卻在我國法與實務上,始終沒有被認真對對待的問題值得討論:什麼樣的「同意」可以構成個資法上的同意?
什麼是合法有效的「同意」-我國
我國個人資料保護法第7條第1項規定,蒐集個人資料時的同意,「指當事人經蒐集者告知本法所定應告知事項後,所為允許之意思表示」,而此處所謂的「本法所定應告知事項」,則指同法第8條第1項的六款事項:「一、公務機關或非公務機關名稱。二、蒐集之目的。三、個人資料之類別。四、個人資料利用之期間、地區、對象及方式。五、當事人依第三條規定得行使之權利及方式。六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響」,個人資料保護委員會(個資會)強調,「為達到「明確告知」之目的,蒐集者仍應以個別通知之方式使當事人知悉,不得以單純擺設(張貼)公告或上網公告之概括方式為之」(個資籌法字第1140002435號)。
個資法第7條第3項另外有「推定同意」的規定,指個資蒐集者「確告知當事人第8條第1項各款應告知事項時,當事人如未表示拒絕,並已提供其個人資料者,推定當事人已……表示同意」,然而這個「推定」的取得,蒐集者除應盡告知義務且明確告知外,尚須符合「當事人未表示拒絕」及「當事人已提供其個人資料」兩項要件,始得為之。而所謂「當事人已提供其個人資料」,依照國發會(在個資會之前的個資法主管機關)的解釋,係指「當事人有自行提供個人資料之積極行為」,因此如果是預設同意,或者其他設計上,無法認為當事人有提供資料的積極行為,則也不符合要件,不能主張享有這個同意的推定。
什麼是合法有效的「同意」-GDPR
GDPR 第4條第11項則規定「 資料主體之『同意』係指資料主體基於其意思,透過聲明或明 確肯定之行動,所為自主性、具體、知情及明確之表示同意處理與其 有關之個人資料」,強調有效的同意必須具備四項缺一不可的要素:
- 自願給予(Freely Given):當事人必須擁有真正的選擇權與控制權,且無論當事人拒絕提供同意,或事後撤回同意,都不應因此遭受懲罰、威脅或服務品質下降。如果有權力不對等的情形,例如僱傭關係中的雇主與員工、或政府機構與公民,就可能被認為屬於「非自願」,又或者如果有綑綁銷售(Bundling)的情形,比如要求個資主體為了獲得某項服務,而被迫同意交出與該服務無必要相關的個資,這也是無效的同意。
- 具體明確(Specific):同意不能是模糊的「概括授權」,必須針對特定且限定的目的,蒐集者必須清楚說明資料將用於什麼用途(例如:電子報行銷、位置追蹤、改善產品體驗),且如果涉及多個不同的目的,也不能要求個資主體以一個同意來涵蓋所有不相關的行為。
- 告知完備(Informed):當事人在點擊同意前,必須完全了解自己簽了什麼,亦即,至少要讓個資當事人明確知悉,誰是資料控制者、處理哪些資料、目的為何、保存期限,以及有權隨時撤回同意。此外,GDPR強調此類資訊必須以清晰、簡單、易懂的語言傳達,不能充斥艱澀的法律術語或隱藏在長篇大論的定型化約款中。
- 明確同意(Unambiguous):當事人的同意必須積極而明確,不能單純的沉默或者不作為,因此預先的勾選、單純華過往業,都不算有效的同意,必須確保個資當事人對於「同意」有一個獨立的表達動作。
歐盟各國對「同意」的有效性審查極為嚴格,Meta 等美國網路巨頭屢遭鉅額罰鍰,其實可能出乎臺灣人意外,主要原因就是「同意」的流程不符合要件,或讓消費者難以清楚理解同意內容。比如,法國資料保護局 (CNIL) 於 2022 年 1 月對 Google 及 Facebook 各裁罰 1.5 億歐元及 6,000 萬歐元,理由是二業者網站設計使接受 Cookie 僅需一鍵點擊,拒絕卻需多步驟操作,此種不對等設計侵蝕了同意的自由性1。愛爾蘭資料保護委員會 (DPC) 於 2023 年 1 月再次裁處 Meta 公司3.9 億歐元2,理由是該公司以「契約必要」為由要求用戶同意行為廣告數據處理,但個性化廣告並非社群服務核心必要,且條款未清楚說明各處理行為的具體內容與法律依據,導致用戶缺乏充分認識,違反透明性義務。
EDPB Guidelines 3/2019 與醫療場域影像監控裁罰
歐洲資料保護委員會(European Data Protection Board, EDPB)於2020年發布「影像設備個人資料處理指引」(Guidelines 3/2019 on processing of personal data through video devices) ,該指引進一步確立了以影像設備蒐集個人資料時,應該注意的法律遵循要件。包括,攝影機視野應嚴格限制於必要區域,逾越此範圍即違反資料最小化與比例原則,不因書面同意自動合法化。且影像監控的告知義務必須讓當事人能夠理解監控的實際情境,包括設備的存在、拍攝目的,以及取得進一步資訊的方式。單純表明「有錄影」,與讓消費者理解「攝影機安裝於特定的位置、拍攝何種部位」,是兩種截然不同層次的告知,即使形式上有同意書的存在,也未必就表示業者的拍攝合法、具備合法的「同意」前提要件。
波蘭個人資料保護局(UODO)於 2025 年 2 月作成一件針對醫療場域的裁罰案,該國的克拉科夫醫療機構 (Centrum Medyczne Ujastek)於 2023 年 7 月在新生兒科病房安裝偽裝成時鐘的隱藏式攝影機,錄製包括母親哺乳、照護等高度私密行為,且未告知任何病患或工作人員正在錄影。UODO 認定業者的行為違反 GDPR 第6條第1項(欠缺合法依據)、第9條第1項(無法律基礎處理健康相關資料)及第13條第1、2項(未履行告知義務),就隱密監控與未告知部分裁罰 157,500 歐元,另就記憶卡未加密及安全措施不足裁罰 105,000 歐元,合計 262,500 歐元。波蘭行政法院於 2025 年 11 月維持原裁罰,本案現已確定3。
克拉科夫醫療機構案中,業者主張,自己安裝隱藏式攝影機的目的在「保障早產/新生兒的安全」,因此屬於緊急或者安全考量,而不是一般的管理或者娛樂目的。然而,主管機關UODO仍然認定這種秘密監控違法,重點在於病人與員工沒有被告知,而且錄到的畫面包含母親餵哺、照護等私密行為;也就是說,就算院方把目的包裝成安全所需,仍無法補正透明告知與比例原則上的問題。
由克拉科夫醫療機構案可以看出,在涉及身體照護的高度私密場域進行影像蒐集,主管機關的審查標準明顯更為嚴格,業者不能以一般商業場所的監控邏輯處理之,且「未告知」本身即構成獨立且嚴重的違法,不需等到影像外洩才算損害發生;合法性基礎的欠缺,在蒐集行為發生之際即告成立,以及事後補簽或事後主張目的,不能使先前欠缺合法依據的蒐集行為溯及合法化。
代結論-多做一點 沒有壞處
知情與同意,是個人資料保護法的核心。個資法的立法精神,即是「個人有權決定自己的資料如何被蒐集、處理與利用」,而這項決定(同意)必須建立在知情、自願與充分理解的基礎上,而非僅憑一個形式上的簽名。
雖然我國現行法律框架,針對「同意」未如GDPR及歐盟各國的主管機關有詳細的法律規定及可參考的執法傾向可以參考,甚至從臺灣高等法院109年度消上字第12號民事判決(即LINE隱私條款更新案)中可以看出,法院給予業者顯然大於GDPR的空間去取得個資當事人的同意。不過,無論是基於尊重隱私權是一項重要的憲法上權利,抑或基於企業經營的法規遵循、降低風險的目的,本所始終一再建議客戶,應該詳實、完整、具體、明確的告知以及取得個資當事人的同意。
以聖宜診所本次的新聞事件而言,若從消費者在Threads上提及的同意書簽署方式觀察,療程後才簽、快速滑過、從未被口頭提示、無從確認可以拒絕錄影而療程仍可進行等,顯然都無法符合GDPR的審查標準,若是本案發生在歐盟,聖宜診所顯然有遭到裁罰的可能(但我國標準比較寬)。其實,如果診所設置診間攝影機的真正目的,確實是為了預防醫療糾紛,則最符合此一目的的做法,恰恰是最透明的做法,以明顯可見的方式呈現攝影機的存在與位置,在每次療程開始前,清楚、完整地告知消費者將被拍攝何種畫面、影像如何儲存、由誰管理、保存多久、何種情形下得作何利用,並確保消費者在充分理解後,作出真正出於自願的選擇。主動、明確的告知,既是個資法的要求,也是在爭議發生時保護業者自身最有力的依據。
業者或許會擔心,若消費者知悉攝影機的確切位置與拍攝範圍,可能選擇拒絕。這種擔心本身,或許正是問題的核心所在,亦即,如果消費者在充分知情後不會同意,這份同意從一開始就不應該被視為已經取得。
- CNIL, Délibération SAN-2022-001 (Google) and SAN-2022-002 (Facebook), 6 January 2022 ↩︎
- Irish Data Protection Commission, Decision in Inquiry IN-18-5-5 (Facebook) and IN-18-5-7 (Instagram), 4 January 2023, https://www.dataprotection.ie/en/news-media/data-protection-commission-announces-conclusion-two-inquiries-meta-ireland ↩︎
- European Data Protection Board, “Polish SA: administrative fine of 262,500 € for hidden video surveillance in neonatology department,” February 2025, https://www.edpb.europa.eu/news/national-news/2025/polish-sa-administrative-fine-262-500-eu-hidden-video-surveillance_en;GDPRhub, UODO (Poland) – DKN.5131.4.2024 ↩︎
