發文字號:
法務部 106.06.15 法律字第10603503880號函
發文日期:
民國 106 年 06 月 15 日
要 旨:
法務部就「雜誌於講堂活動頁面發布特別聲明蒐集個人資料、將報名者個 人資料利用於活動通知並寄送講座贈品等疑義」是否符合個人資料保護法 之說明
主 旨:有關貴部函請本部協助就個人資料保護法適用疑義提供意見乙案,復如說
明二,請查照參考。
說 明:一、復貴部 106 年 3 月 1 日文版字第 1063005427 號函。
二、針對貴部來函說明四所詢問題,分述如下:
(一)本件○○雜誌群 Cheers 快樂工作人雜誌(下稱○○雜誌)於講堂
活動頁面發布「特別聲明」蒐集個人資料,是否符合個人資料保護
法(下稱個資法)第 19 條規定:
1.按個資法第 19 條第 1 項規定:「非公務機關對個人資料之蒐
集或處理,除第 6 條第 1 項所規定資料外,應有特定目的,
並符合下列情形之一者:... 二、與當事人有契約或類似契約之
關係,且已採取適當之安全措施。...五、經當事人同意。...」
又所稱「同意」,係指當事人經蒐集者告知個資法所定應告知事
項後,所為允許之意思表示(個資法第 7 條第 1 項規定參照
)。再以,基於契約關係蒐集個人資料,原則上僅能於契約事務
之特定目的必要範圍內為之,如已逾越特定目的之必要範圍,而
欲蒐集與契約之履行欠缺正當合理關聯之其他個人資料,則應依
個資法第 19 條第 1 項規定,另行取得蒐集之正當事由(如另
經當事人同意),合先敘明。
2.本件○○雜誌如因「消費者、客戶管理與服務」之特定目的(代
號 090),基於與當事人有契約關係,在履行契約事務之必要範
圍內,蒐集報名講堂活動者之個人資料(例如辨識報名者之聯絡
資訊等),則該蒐集行為與個資法第 19 條第 1 項第 2 款「
與當事人有契約或類似契約之關係」規定相符。然如所蒐集者包
括其他與契約履行無關之個人資料或並非為履行契約所必需者,
則應依個資法第 7 條第 1 項規定,應於契約之外另行取得當
事人同意(個資法第 19 條第 1 項第 5 款規定),始為合法
。
(二)○○雜誌將報名者個人資料利用於活動通知並寄送講座贈品,是否
符合個資法第 20 條規定:
1.按個資法第 20 條規定:「非公務機關對個人資料之利用,除第
6 條第 1 項所規定資料外,應於蒐集之特定目的必要範圍內為
之。但有下列情形之一者,得為特定目的外利用:... 六、經當
事人同意。...」 所稱「同意」,指當事人經蒐集者明確告知特
定目的外之其他利用目的、範圍及同意與否對其權益之影響後,
單獨所為之意思表示(個資法第 7 條第 2 項規定參照)。準
此,基於與當事人有契約關係而蒐集個人資料,應於原蒐集之特
定目的必要範圍內利用,如欲於特定目的外利用,應由蒐集者另
行告知特定目的外之其他利用目的,並取得當事人同意,始得為
之。
2.本件○○雜誌如將基於契約關係所蒐集之個人資料用於寄送講座
贈品之目的使用,因該利用行為未逾越原蒐集之特定目的範圍,
是未違反個資法第 20 條規定。惟若欲將所蒐集個人資料為特定
目的外利用(例如:作為其他行銷之用),則應依個資法第 7
條第 2 項規定,另行取得當事人同意(個資法第 20 條第 1
項第 6 款),而不得僅以一概括之特別聲明,即將所蒐集之個
人資料逕為特定目的外利用。
(三)有關來函說明四(三)、(四)所詢問題:
1.按個資法所稱個人資料,係指得以直接或間接方式識別該特定個
人之資料,個資法第 2 條第 1 款及其施行細則第 3 條定有
明文。有關電子郵件地址資料,若可直接或間接識別特定個人,
即屬個資法所定之個人資料而有個資法適用。
2.次按個資法第 27 條第 1 項規定:「非公務機關保有個人資料
檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、
毀損、滅失或洩漏。」所稱「適當之安全措施」,指為防止個人
資料被竊取、竄改、毀損、滅失或洩漏,所採取技術上及組織上
之措施,得包括以電子郵件密件副本方式處理,惟相關措施之採
行,以與所欲達成之個人資料保護目的間,具有適當比例為原則
(個資法施行細則第 12 條規定參照)。
3.本件○○雜誌寄送電子郵件未以密件副本方式為之,致揭露部分
報名者電子郵件地址資料之行為,是否違反個資法第 27 條第 1
項「應採行適當之安全措施」及第 5 條「比例原則」之規定,
仍應視本件個案中,對所蒐集之個人資料,其內部管理程序、管
理機制、管理人員配置、認知宣導、設備安全管理、資料安全稽
核機制等措施是否適當採行,由貴部基於目的事業主管機關之職
權綜合判斷審酌之。
正 本:文化部
副 本:本部資訊處(第 1 類、第 2 類)、本部法律事務司(4 份)