《個人資料保護法》賦予消費者的五大權利
《個人資料保護法》第3條規定,當事人就其個人資料享有五大權利,包括查詢或請求閱覽權、請求製給複製本權、請求補充或更正權、請求停止蒐集處理利用權及請求刪除權,上述權利不得預先拋棄,亦不得以契約條款限制。
這項規定的實務意義,使得企業無法透過定型化契約、網站條款、會員規範或內部作業流程,架空當事人依法享有的個人資料控制權,亦明確揭示《個人資料保護法》的制度架構中,當事人的個人資料不是企業資產。換言之,企業可以蒐集、處理、利用個人資料,但不能因此取得對個人資料的「完全支配權」,當事人對於個人資料仍然保有法律保障的控制權。
一、當事人權利優先於企業管理便利
許多企業在個人資料管理上常有一個錯誤觀念,只要當事人曾經同意提供的個人資料,企業便可保有並任意使用。然而,這樣的認知並不符合《個人資料保護法》的規範,依法企業僅得在特定目的之必要範圍內,有限度使用當事人同意提供的個人資料。所以即便當事人曾經同意提供個人資料,仍不代表其喪失後續控制權。
實務上,企業最常見的違反《個人資料保護法》,不在於蒐集個人資料未取得當事人的同意,而在於取得個人資料後,忽略當事人後續依法主張的權利。例如會員要求停止行銷,企業卻仍持續寄送廣告訊息;客戶要求複印企業保有的個人資料副本,公司卻拖延不處理;客戶要求刪除資料,企業卻以「系統無法刪除」為由拒絕。這些情形都可能構成《個人資料保護法》第3條對當事人權利的侵害。
二、當事人五大權利的實務運用與企業常見風險
(一)請求查詢個人資料或閱覽個人資料
當事人有權要求企業說明,究竟蒐集了哪些個人資料?蒐集個人資料目的為何?個人資料來源為何?目前如何使用個人資料?個人資料提供給哪些第三人?這項權利在實務上最常出現在消費者要求查詢會員資料內容、員工要求調閱公司持有之人事資料、客戶要求確認企業是否仍保有其個人資料等。
企業常見錯誤行為,是僅提供當事人片段個人資料,甚至以「內部資料不便提供」為由拒絕。然若該資訊涉及當事人本人的個人資料,企業原則上有依法提供及說明義務,而不能任意以內部管理為理由拒絕當事人的請求。
(二)請求製給個人資料複製本
企業常誤以為讓當事人「現場看一下」就已符合法律要求,然而《個人資料保護法》第3條明定,當事人不僅可查閱個人資料,還可以請求提供個人資料複製本。例如客戶要求提供其歷年交易紀錄、病患要求病歷影本、消費者要求客服通聯紀錄等,企業若僅口頭說明,拒絕提供書面資料或電子資料,構成對當事人的權利侵害。因此,建議企業建立「個人資料複製本申請機制」,並明確規範個人資料申請流程、身份驗證及交付個人資料方式。
(三)請求補充或更正個人資料
個人資料一旦錯誤,往往不只是行政問題,而可能直接導致當事人權益受損。例如客戶地址錯誤,導致重要通知未送達;員工學歷登載錯誤,影響升遷評估;信用資料錯誤,導致貸款遭拒等。企業若接獲當事人更正個人資料的請求後怠於處理,可能不只是違反《個人資料保護法》,更可能衍生民事損害賠償責任。因此,企業不應僅被動記錄當事人個人資料,而應建立「更正申請個人資料—驗證個人資料—修改個人資料—通知完成修改個人資料」的完整流程。
· 請求停止蒐集、處理或利用個人資料
這是企業最容易誤解的一項權利,「停止蒐集、處理或利用個人資料」的重點,不一定是立即刪除個人資料,而是要求企業停止繼續使用個人資料。例如停止寄送EDM廣告、停止將個人資料提供合作廠商、停止個人資料作為精準行銷分析、停止個人資料內部交叉行銷使用。企業最常見違法情境,就是當事人明確拒絕行銷後,企業仍持續發送促銷訊息,此類情況違反《個人資料保護法》,可能被當事人向主管機關檢舉或是訴請法院向企業請求損害賠償。
(五)請求刪除個人資料
許多企業習慣認為,只要個人資料曾合法取得,就可以永久保存,依照《個人資料保護法》的規定,這是違反法律的錯誤認知。依《個人資料保護法》第5條,個人資料之蒐集、處理、利用不得逾越特定目的之必要範圍;又依《個人資料保護法》第11條第3項,個人資料蒐集之特定目的消失或保存期限屆滿時,企業應主動或依當事人之請求,刪除、停止處理或利用該個人資料,但因執行職務或業務所必須,或經當事人書面同意者,不在此限。例如已退會會員要求刪除個人資料、已離職員工要求刪除非必要留存的個人資料、活動報名使用的個人資料於活動結束後無保存必要等,若企業無正當理由繼續保留個人資料,有可能構成違法處理個人資料。
· 企業最常見的《個人資料保護法》第3條違規態樣
從實務觀察,企業最常見的違規態樣,是在日常營運中對於《個人資料保護法》第3條的制度性忽視1.未建立個人資料當事人權利申請窗口,所以客戶不知道向誰申請個人資料。2.未制定個人資料處理流程,收到請求後無人處理及各部門之間彼此推諉。3.過度倚賴資訊系統限制個人資料,以「系統不能刪除個人資料」作為拒絕當事人請求的理由。4.未保留個人資料處理紀錄,無法證明企業曾依法處理個人資料。5.未將拒絕行銷名單排除在行銷名單之外,持續對客戶違規行銷。這些問題看似屬於企業內部的行政瑕疵問題,實際上都可能成為主管機關裁罰企業,以及當事人對企業的民事求償。
· 企業應如何落實《個人資料保護法》第3條
《個人資料保護法》第3條是企業個人資料保護治理能力的實際檢驗,真正合法合規的企業,不是只有隱私權政策,而是能實際回應當事人所行使的權利。故建議企業至少建立以下機制1.設置個人資料權利申請窗口。2.建立當事人行使個人資料五大權利標準作業流程。3.訂定個人資料回覆期限與審查流程。4.保留申請與處理個人資料紀錄。5.定期檢視個人資料保存必要性。6.建立拒絕行銷名單與刪除名單控管機制。當企業能有效處理《個人資料保護法》第3條的當事人請求時,才能代表企業的個人資料管理不是紙上制度,而是真正落地實際運作的個人資料管理制度。
《個人資料保護法》第3條表面上規範的是當事人權利,實際上檢驗的是企業治理能力。當事人是否能查得到個人資料、拿得到個人資料、改得了個人資料、停得掉行銷、刪得成個人資料,正是企業個人資料保護治理是否成熟的最直接指標。因此,能否落實《個人資料保護法》第3條,就是企業是否真正具備合法、透明且可被信任的個人資料治理能力。
個人資料保護研究發展委員會 主委 楊白全