發文字號:
國家發展委員會 109.08.25 發法字第1090017059號
發文日期:
民國 109 年 08 月 25 日
要 旨:
健身業者與會員間訂立契約,於充分告知會員後,固得於履行契約必要範 圍內蒐集、處理及利用會員之個人資料,至於蒐集會員臉部辨識資料部分 是否確實為履行雙方契約必要之事項,應由主管機關本於權責審認
主 旨:有關貴署所詢健身 OO 蒐集會員臉部辨識資料涉及個人資料保護法之適用
一事,復如說明,請查照。
說 明:一、復貴署 109 年 7 月 20 日臺教體署設(三)字第 1090023069A
號函。
二、謹就貴署函詢重點及本會意見,說明如次:
(一)健身 OO 會員入會時之個資告知事項,僅說會蒐集電話、地址、姓
名等資料,並未提及「照片」及「生物特徵」之蒐集,其告知書所
揭露之利用對象亦僅提及「健身 OO 及其子公司」,未有第三方 O
O 系統公司,其是否有違反個資法之虞?
1.按個資法第 8 條規定「公務機關或非公務機關依第 15 條或第
19 條規定向當事人蒐集個人資料時,應明確告知當事人下列事
項:…三、個人資料之類別。四、個人資料利用之期間、地區、
對象及方式。…(第 1 項)有下列情形之一者,得免為前項之
告知:…五、當事人明知應告知之內容。…(第 2 項)」。
2.查來函所附之健身 OO 會員合約書(範本),僅 4. (2) 記載
「…會員收到會員卡後,同意讓櫃臺服務人員照相存檔,以便於
每次進入會所時核對身份。」故除「照片」應屬會員簽訂合約時
即明知將蒐集之個人資料外,健身 OO 應按其蒐集、處理及利用
個人資料之實際情形,依個資法第 8 條第 1 項規定完整向當
事人告知其他蒐集之個人資料類別(如生物特徵資料);如有違
反,依同法第 48 條第 1 款規定,應命限期改正,屆期未改正
者,按次處新臺幣 2 萬元以上 20 萬元以下罰鍰。
3.至於 OO 系統公司究係受健身 OO 委託蒐集、處理及利用會員個
人資料,而視同委託機關?(個資法第 4 條規定參照),抑或
係立於蒐集機關之地位,自健身 OO 間接蒐集會員個人資料?應
由貴署調查相關事實予以釐清,始得判斷是否屬應告知當事人事
項(個資法第 8 條第 1 項第 4 款)。
(二)如會員不同意蒐集臉部特徵,健身 OO 是否應維持刷條碼進場的方
式供會員使用?在可人工核身的情形下,刷臉進場是否與蒐集目的
具正當合理關連、且具必要性?健身 OO 可否要求會員續約時必須
同意蒐集臉部特徵,否則一概不得入會?
1.按個資法第 19 條第 1 項規定「非公務機關對個人資料之蒐集
或處理,除第 6 條第 1 項所規定資料外,應有特定目的,並
符合下列情形之一者:…二、與當事人有契約或類似契約之關係
,且已採取適當之安全措施。…五、經當事人同意…」第 20 條
第 1 項本文規定「非公務機關對個人資料之利用,除第 6 條
第 1 項所規定資料外,應於蒐集之特定目的必要範圍內為之。
…」
2.本案健身 OO 與會員間訂立契約,基於會員服務及會所管理之特
定目的,得依個資法第 19 條第 1 項第 2 款及第 20 條第 1
項本文規定,於履行契約必要範圍內蒐集、處理及利用會員之個
人資料。惟該公司蒐集會員臉部辨識資料,是否確實為履行雙方
契約必要之事項,涉及事實認定及主管機關之監督管理,應由貴
署本於權責審認。
3.倘經貴署審認蒐集會員臉部辨識資料非屬履行契約所必要,則健
身 OO 得另基於當事人同意,依個資法第 19 條第 1 項第 5
款規定蒐集其臉部辨識資料,且應依個資法第 8 條規定踐行告
知義務。至於會員續約時倘不同意健身 OO 蒐集其臉部辨識資料
,則雙方是否締約應回歸契約自由原則。
正 本:教育部體育署