第三章 個人資料保護上之疑慮
第八節 小結
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
洩露;但芝麻信用應按照本協議約定做好應急處理。」185就駭客攻擊、電信 部門技術調整或故障、網站升級、第三方方面而服務中斷、資訊資料洩露之 狀況,均可以免責。
然而駭客攻擊有時是肇因於芝麻信用本身安全性維護不夠,未盡到安 全性維護義務才導致駭客攻擊,此時仍可認為芝麻信用免責?其實將芝麻信 用應盡之責任轉嫁給資料主體,讓其在訴訟上承受舉證責任。在芝麻信用未 舉證責任證明其已盡安全性維持義務,諸如:內部管理程序、管理機制、管 理人員配置、認知宣導、設備安全管理、資料安全稽核機制等措施是否適當 採行,而逕以「不屬於芝麻信用違約」之效果加以約定,芝麻信用管理有限 公司服務協議第四點之規定實有可議之處。
第八節 小結
本章參考歐盟金融服務個人資料保護保護指引所提出檢驗步驟,就芝 麻信用於個人資料保護上所面臨之相關問題予以說明,發現有如下狀況:
其一,個人資料主體權益影響告知階段資訊不充足。在行為人部分,
資料主體無法聯繫資料處理者或無法預見其個人資料將會由何資料接收者 處理利用?在個人資料客體部分,資料主體無法具體知悉會被蒐集何等個人 資料?在後果影響部分,資料主體未接收到充分訊息前即要表示已經瞭解風 險?
其二,無法落實目的特定與目的限制之要求以保護資料主體。原因在 於芝麻信用蒐集個人資料目的之內容相當抽象並不明確,且隱私權政策所載 目的並非芝麻信用提供之芝麻認證與芝麻分服務所不可欠缺,導致部分目的 究竟是目的內或目的外使用判斷上有困難,縱使為目的外,其告知程序亦未
185 芝麻信用官方網站,同前註 104 (最後瀏覽日:2019 年 6 月 29 日)
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
完足。
其三,資料主體同意權之行使缺乏實質同意之效果。特別是芝麻信用 要開啟服務請求同意之意思表示甚不明確,不但請求之意涵不明確,又添加 類似意思實現之選項,讓資料主體在未清楚知悉狀況下就使用芝麻信用服務 並完成遞約,該同意是否有效,恐有疑義。另外,在服務協議中也有要求資 料主體概括授權約定內容,而與個人資料保護上明確授權之要求不符。加上 定型化契約之安排,不但無法清楚特定各自同意要約為何,更有將芝麻信用 服務與要求資料主體同意相互綑綁,且未明確區隔之現象,此均為資料主體 同意淪為形式之原因。
其四,資料保存期限與最小蒐集原則。在目的消失後,芝麻信用竟然 還可以繼續留存資料主體於使用芝麻信用期間所產生之個人資料,讓目的限 制原則完全被架空,也未尊重資料主體之選擇。又個人資料蒐集必要性檢討 上,雖然要正面定義「信用」包含之範圍恐有難度,但其實可以透過反面排 除方式加以凸顯蒐集之必要性,否則將會落入所有訊息皆信用之渾沌境地。
而芝麻信用蒐集信用評估的五個維度個人資料中,僅有信用歷史以及履約能 力是與信用評價比較直接相關的,其餘部分或與信用有關連,又或僅是芝麻 信用建立社會信用緣故,芝麻信用就此並未論證說明。
其五,傳輸消弭訊息孤島。芝麻信用未有通用格式記載徵信用之個人 資料,會使資料可攜權不易行使,也會阻礙流通,更可能造成訊息孤島現象。
其六,資料主體權益保障上。芝麻信用把資料主體更正權利變成義務,
蓋資料主體更正個人資料權利係源於個人資料自主權,可以要求個人資料在 正確的狀態下行使,同時資料處理者發現資料不正確時,可以停止處理及利 用該個人資料,但芝麻信用服務協議將資料主體更正之權利變成義務,而壓 抑了資料主體自主決定權的行使。且目前並未適度公開自動化模型可能讓模
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
型本身不客觀而不自知,也對也為告知資料主體拒絕自動化或受歧視效果之 權利。
其七,安全義務自我免責。芝麻信用在服務協議中自行添加資料外洩、
破壞等免責約定,解免其未盡安全義務維持所應承擔之損害賠償責任,並將 舉證責任轉由資料主題負擔,使資料主體的個人資料存在於有安全風險之環 境中。