個資專欄

現代城市早已成為一座由鏡頭構成的視覺網絡,人們的日常活動被持續記錄與儲存。監視器的普及確實帶來治安改善、糾紛釐清與管理效率提升,但同時也讓隱私權問題日益尖銳:走進社區大樓及電梯裡會有監視器、走進便利商店天花板上有監視器、搭乘捷運及公車會有監視器、進入公園會有監視器、走入停車場會有監視器、行經許多街口也有監視器,每個人隨時都可能被錄影。監視器不只是安全設備,更是「蒐集個人資料工具」,而這些監視影像所涉及的法律規範,就是《個人資料保護法》。

從求職到面試的過程中,求職者的履歷表、面試資料、人格測驗、背景調查,甚至社群媒體內容,都可能成為企業蒐集個人資料的來源。許多求職者往往只關心「有沒有錄取」,卻忽略自己的個人資料是否被合法蒐集、處理、利用與刪除。依《個人資料保護法》規定,求職者在應徵過程中,其個人資料並非企業可以任意取得與使用的資訊。

《個人資料保護法》第3條規定,當事人就其個人資料享有五大權利,包括查詢或請求閱覽權、請求製給複製本權、請求補充或更正權、請求停止蒐集處理利用權及請求刪除權,上述權利不得預先拋棄,亦不得以契約條款限制。

在數位消費時代,消費者每天都在留下個人資料。從網購下單、會員註冊、刷卡消費、旅遊訂房、保險投保,到加入LINE官方帳號、填寫問卷、參加抽獎活動,幾乎每一次消費行為,都伴隨著個人資料的蒐集與利用。

隨著旅遊產業的服務數位化,從行程報名、線上訂房、電子票券到會員經營,旅行社每天都在大量蒐集、處理與利用旅客的個人資料。對旅行社而言,旅客的個人資料不只是成交所需的資訊,更是營運核心資產;但若是管理不當,這些旅客個人資料也可能成為最直接的法律風險來源。

近日愛爾麗、光澤等醫美診所爆發涉嫌偷拍風暴,衛生福利部清查發現已有多家醫美集團涉嫌於診療空間違法裝設攝錄影設備,甚至涉及病患隱私影像蒐集、處理與利用,引發社會一片譁然。媒體報導衛生福利部明確表示,若查證屬實,「該停業就停業」,並指出相關行為除可能違反《醫療法》外,也涉及違反《個人資料保護法》的問題。

近年來,個人資料外洩事件在全球各產業頻繁發生,從電商平台、金融機構到旅行社,都面臨個人資料保護的重大挑戰。然而,在觀光旅遊產業中,第一線服務的導遊與領隊在工作過程中,也經常接觸到旅客的個人資料,但相關法律風險卻往往被低估。

企業對於個人資料保護,通常會做的是防範駭客入侵、勒索病毒、系統被駭客攻擊等,於是投入大量成本建置防火牆、購買防毒軟體、做雲端備援等,相關預算多半投向資訊安全設備上。然而,實務上企業常見的個人資料外洩風險來源,往往不是外部攻擊,而是來自企業內部最常接觸到個人資料處理與保管的員工。

2025 年,某家台灣半導體供應商的雲端資料處理者遭到勒索軟體攻擊,數萬筆客戶訂單與員工身份資料外洩。事後調查發現:這家處理者同時替十幾家台灣企業處理資料,但沒有一家控制者曾在合約中約定「處理者事故發生後的通報時效」——導致多數母公司是在新聞報導後才得知,而非依賴處理者的正式通知。

在數位化與資料經濟時代,企業對於「個人資料保護」的重視必須逐步提升。然而,多數企業在強化客戶資料保護的同時,卻忽略了一個同樣重要的領域「員工個人資料保護」。