首頁 > 知識分享 > 個人資料保護法Q&A-書面同意是否一定要以紙本為之?

個人資料保護法Q&A-書面同意是否一定要以紙本為之?

2012/01/23
目錄

個資法公聽會開跑,產業最擔心書面同意

文/黃彥棻 (記者) 2010-06-21
與會來賓最多人擔心「書面同意」的要求,是否一定要真實的紙本同意才算數?這也是許多企業會面臨的挑戰
法務部6月7日舉辦了首場個資法施行細則修法公聽會,不少與會來賓聚焦於法條內容的解釋,以及如何界定法條適用程度的議題,但是與會的專家學者則偏重如何界定新聞媒體的公共利益,臺上臺下的看法差異也讓與會來賓與專家學者的討論沒有聚焦也缺乏共識。
例如與會來賓最多人擔心「書面同意」的要求,是否一定要真實的紙本同意才算數?這也是許多企業會面臨的挑戰,法務部法律事務司科長黃荷婷表示,書面同意在個資法要求上,是非常嚴格的紙本通知,除非可以符合「電子簽章法」不可否認性和確認當事人身份的規定,而可以用電子簽章法取代紙本同意,否則一定都要以紙本形式行之。 …

依現行電腦處理個人資料保護法(下稱個資法)第18條的規定,原則上禁止非公務機關對個人資料之蒐集或電腦處理,僅在具有特定目的符合特定情形時方得為之。一般企業最常見取得個人資料之特定情形,是透過「契約或類似契約關係」。然而,透過此種方式取得之個人資料,其利用原則仍須與該契約或類似契約關係之活動有關,若與該契約或類似契約關係無關(例如:電信公司代保險公司發送產品行銷文宣,雖電信公司與其客戶有契約關係,但該保險產品若與電信服務無關,則未必可主張得合法利用客戶所提供之個資),此時,通常會依賴該條規定之「經當事人書面同意」之方式,以擴大對當事人個人資料之蒐集及利用之範圍。對照新版個資法的規定(新個資法第19條第1項),除了特殊性或敏感性資料(新個資法第6條)採有條件允許的立法方式外,其他蒐集、利用個資之規定與現行個資法的規定大致相同,僅增加公益與一般可得資料之放寬規定(新個資法第19條第1項6、7款)。

就前開新聞報導所載,「法務部法律事務司科長黃荷婷表示,書面同意在個資法要求上,是非常嚴格的紙本通知,除非可以符合「電子簽章法」不可否認性和確認當事人身份的規定,而可以用電子簽章法取代紙本同意,否則一定都要以紙本形式行之。」這樣的見解恐怕會使企業在面臨現行或新版個資法之適用上,均產生嚴重的衝擊,是否妥適,筆者個人認為應尚有討論空間。畢竟,對於現代企業經營而言,姑不論高度運用網路或數位技術的產業,即便是一般商業的運作,如需於蒐集、處理個資前,一一取得當事人以「紙本」所為之書面同意,不僅實行上有其難度,也會增加交易成本,再加上新版個資法若全面施行後,所有行業將需一併適用,對商業運作之影響不容小覷。

筆者認為就個資法關於「書面同意」之規定,可參照電子簽章法規定,採取如下之看法:

(一)何謂「書面同意」?是否一定要明示同意才符合?

現行個資法施行細則第30條規定:「Ⅰ本法第十八條第一款所稱當事人書面同意,指依書面之記載,足認當事人已有同意之表示者。Ⅱ非公務機關基於特定目的,為取得當事人書面同意,於初次洽詢時,檢附為特定目的蒐集、電腦處理或利用之相關資料,連同得於所定相當期間表示反對意思之書面,經本人或其法定代理人收受,而未於所定期間內為反對之意思表示者推定其已有同意之表示。」

換言之,現行個資法有關第18條所指的書面同意,僅須於任一書面上為同意的表示即可。倘若為非公務機關,則可於第一次洽詢時,交付當事人「於一定時間內可表示反對的書面」,如未於期限內表示反對,則推定當事人有同意的表示。如果將來就個資的蒐集或處理發生爭議時,則須由當事人舉證證明其當時並未同意,間接地減輕企業取得書面同意的負擔。要特別提醒的是,新版的個資法施行細則正由法務部研擬中,未來是否繼續保留此一緩衝規定,值得留意。

(二)「書面同意」的要求,是否一定要真實的紙本同意才算數?

電子簽章法第4條第2項規定:「依法令規定應以書面為之者,如其內容可完整呈現,並可於日後取出供查驗者,經相對人同意,得以電子文件為之。」因此,企業依個資法規定須取得當事人書面同意時,除了以紙本書面為之外,只要符合以下要件:(1)經相對人同意,且(2)書面內容可完整呈現,及(3)日後可取出供查驗,也可以電子文件的方式取得當事人的同意。另外,由於個資法僅規定須取得書面同意,故企業無須另行取得當事人之電子簽章。

在實際運用上,企業可以利用「同意以下條款並進行下一步」等類似網頁按鍵的設計,該網頁上明顯註記「本人同意與  貴公司間之往來得電子文件為表示方法,並具書面表示之效果」或類似文句,其後則顯示企業依法應告知之個資蒐集、利用等說明(如隱私權保護政策)連結,讓當事人選擇是否同意提供個資予企業,最後並以系統保留該等當事人同意之文件,使該等電子文件將來能夠取出供查驗。現行許多網站都只有同意的程序,但沒有保留該等當事人同意的文件,即無法依電子簽章法主張當事人所為同意已符合個資法之規定,須特別注意,因為此點不但關係到所取得的電子書面同意是否合法有效,倘若將來雙方產生爭議時,更涉及到企業在訴訟上該如何舉證的問題,故企業內部軟硬體設備該如何同步配合是另一值得關注的議題。

(三)違反書面同意之規定,有何損害賠償或處罰規定?

依據現行個資法之規定,企業如果依法應取而未取得當事人書面同意時,除了當事人得依法請求損害賠償外(賠償總額上限為新台幣二千萬元,個資法第27條),倘若致生損害於他人時,可處二年以下有期徒刑、拘役或科或併科新台幣四萬元以下罰金(個資法第33條);此外,目的事業主管機關得處負責人新台幣二萬元以上十萬元以下罰鍰,並得令限期改正,逾期未改正者,可按次處罰之,倘若情節重大者,並得撤銷蒐集處理個資之許可或登記(個資法第38條)。新版個資法更將損賠額與罰則均大幅提高:賠償總額上限為新台幣二億元(新個資法第29條),最高得科新台幣一百萬元之罰金(新個資法第41條)及五十萬之罰鍰(新個資法第47條)。對於企業經營影響深遠,應及早準備做好因應措施。


同系列文章

黃曉薇律師,個人資料保護法Q&A-書面同意是否一定要以紙本為之?

賴文智律師,個人資料保護法Q&A-敏感性個人資料禁止蒐集的效力? 

賴文智律師,個人資料保護法Q&A-網友「人肉搜索」的合法性?  

賴文智律師、蕭家捷律師,個人資料保護法Q&A-僱主臉書(Facebook)洩個資,當然不行! 

賴文智律師、蕭家捷律師,個人資料保護法Q&A-可否要求網路業者刪除網友張貼之個人資料? 

賴文智律師、蕭家捷律師,從南韓控蘋果集體訴訟案看我國個資法團體訴訟制度

賴文智律師,個人資料保護法Q&A-從NFC手機談個人資料的管制  

賴文智律師,個人資料保護法Q&A-企業上雲端,個資保護責任誰負?  

賴文智律師,個人資料保護法Q&A-依法股東名冊絕不能外流?  

賴文智律師,個人資料保護法Q&A-拒絕電話行銷後,仍然不斷收到相同業者的電話? 


<相關法條>

電腦處理個人資料保護法(舊法)

第十八條

非公務機關對個人資料之蒐集或電腦處理,非有特定目的,並符合左列情形之一者,不得為之:

一、經當事人書面同意者。

二、與當事人有契約或類似契約之關係而對當事人權益無侵害之虞者。

三、已公開之資料且無害於當事人之重大利益者。

四、為學術研究而有必要,且無害於當事人之重大利益者。

五、依本法第三條第七款第二目有關之法規及其他法律有特別規定者。

個人資料保護法(新法)

第十九條

非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:

一、法律明文規定。

二、與當事人有契約或類似契約之關係。

三、當事人自行公開或其他已合法公開之個人資料。

四、學術研究機構基於公共利益為統計或學術研究而有必要,且資料經過提供者處理後

或蒐集者依其揭露方式無從識別特定之當事人。

五、經當事人書面同意。

六、與公共利益有關。

七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值

得保護之重大利益者,不在此限。

蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。

請輸入關鍵字