第四章 建議與對策
第三節 建構同意體系
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
芝麻信用隱私權政策第四條第一項「(4)根據法律法規或監管要求向 相關部門進行報告」中「監管要求」部分,並非為芝麻信用隱私權政策第一 條所列之蒐集目的範圍,而屬目的外利用。但在芝麻信用服務協議中,並未 看到就「監管要求」部分有為何種告知說明,而不符合前揭法規目的外利用 之要求,建議應予刪除,直接由「根據法律法規」之目的取代即可。或是在 服務協議中為告知說明。
芝麻信用隱私權政策第四條第一項「(7)根據法律法規的要求,或為 了維護公共安全、公共衛生、重大公共利益,或出於維護您或其他個人的生 命、財產等重大權益」雖然為芝麻信用隱私權政策第一條所列之蒐集目的範 圍,但因為該目的不明確特定,造成不易判斷為目的內或目的外使用,而有 減免告知義務之嫌疑。且混淆蒐集目的與「目的外」利用之不同情況。
建議可以隨前開芝麻信用隱私權政策第一條建議縮減為「根據法律法 規的要求」之目的即可,否則即使強行為目的外告知之補充,但原本處理目 的本不明確特定,在告知內容上也很難有清晰明確之告知。
第三節 建構同意體系
目前個資法制設計上多以透過同意方式授予個人資料蒐集處理利用之 權限,然所謂透過「同意方式」其實不僅有最初透過詳盡告知而保障個人資 料自主權以取得同意之意思表示外,還必須在蒐集、處理及利用期間內保有 個人資料自主權之完善,此時除同意權行使外,還可以透過近用權查看個人 資料是否符合當初蒐集目的而為使用,更正權、限制使用權、刪除權來展現 個人資料自主權有效行使,因此本節會將前章「同意淪於形式」及「資料主 體權益保障」涉及之問題一併討論,以建構起完整同意體系。
第一款 請求同意須明確
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
對於同意的充分認知,也強化同意的實質效力,越充分的理解,資料 主體越能行使個人資料自主決定權。因此在個人資料蒐集、處理及利用時,
首先要求必須讓資料主體可以明確知悉何時開始蒐集個人資料,所提供之個 人資料將會如何被處理及利用。特別是以簡明、直接、易懂、方便取得之格 式,採用淺顯易懂語言,讓資料主體可以在充分獲悉的狀態下做出決定。
芝麻信用服務協議前言第三條「...您點擊『開通芝麻信用』或類似文 字的按鈕,或者實際使用芝麻服務,...,您點擊確認或實際使用服務即代 表您接受協議的內容。」導致資料主體在沒有點擊狀況下,不知已使用服務,
被蒐集個人資料而不自知。此時建議僅以點擊確認作為同意之意思表示即 可,而刪除實際使用服務之規定。
因資料主體可能不知早已開始使用芝麻服務,且是否提供服務芝麻信 用可以採用點擊按鈕形式作明顯區隔,否則在沒有明顯客觀行為表示下,可 能僅為認為單純漠視而非默認。縱使不陷入單純漠視或默認之紛爭中,對照 我國個資法第七條第三項「公務機關或非公務機關明確告知當事人第八條第 一項各款應告知事項時,當事人如未表示拒絕,並已提供其個人資料者,推 定當事人已依第十五條第二款、第十九條第一項第五款之規定表示同意。」
之規定,也是要有具體提供個人資料行為,才會推定為同意。但芝麻信用服 務協議前言第三條所稱「實際使用服務」意涵實在太過空泛,資料主體實在 很難察覺,而應要有更明確之舉動才行。
第二款 同意須具體特定
在「告知、同意」模式下,同意為資料處理者得開始蒐集個人資料關 卡之一,因此同意之明確度應與個人資料自主權之維護成正比,越明確的同 意,資料主體更能明確預見個人資料將被如何處理。然實務上常為便宜行 事,而以概括之同意含糊取代同意告知。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
芝麻信用服務協議第二條第一項「您理解,為了給您提供客觀、科學、
全面的信用管理及評價,以及其他本協議項下服務的需要,您授權我們可以 從合法保存有您信息的第三方,….」及芝麻信用服務協議第二條第四項
「(四)... 為了外部機構給您提供更多優質的服務,包括享受有關優惠、
享受更加便捷的流程體驗等,您同意我們可將您的全部信息進行分析並將結 果推送給我們的合作或服務的機構,…」均採用「為了給您提供客觀、科學、
全面的信用管理及評價」、「為了外部機構給您提供更多優質的服務」等空泛 內容,為概括同意之請求,且將數個同意事項規定在同一份芝麻信用服務協 議中,不符合個人資料保護規定中對於「明確告知」、「易於理解」、「清楚淺 白」之要求,使得資料主體無法清楚預見個人資料將被如何處理。建議修正 此等概括同意相類之規定。
至於多次同意部分,雖然與概括同意為不同概念,但建議仍應回歸同 意最基本原理,視告知內涵程度決定同意之範圍。即將前開討論資料接收 者、權益影響、資料類別與來源之告知內容,清楚告知之狀態下,才允許多 次行為之授權。並且在前開告知事項有變動時,應告知變動後另行取得資料 主體之同意才行,附此敘明。
第三款 禁止含糊綑綁同意
實務上在瀏覽網頁或使用軟體,常一開始會跳出用戶規則同意頁面,
要求使用者授權可以同意資料處理者蒐集、處理與利用資料主體所提供的個 人資料。倘未允許則無法繼續瀏覽或使用軟體功能,或將數個同意委由同一 書面來簽署。GDPR 第七條第二項要求同意須與其他事件清楚區分之方式呈 現,更於同條第四項明文禁止為了獲得服務只好同意之綑綁式同意。
而觀諸芝麻信用相關協議及授權須知第一條中「開通芝麻信用或類似 文字之按鈕」之點擊,與芝麻信用相關協議前言第四條「當您在相關頁面上
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
點擊確認的時候,例如,您點擊“開通芝麻信用”或類似文字的按鈕,或者 實際使用芝麻服務(以下簡稱“服務”),請您事先仔細閱讀本協議內容,
您點擊確認或實際使用服務即代表您接受協議的內容。」之規定,係將所有 應資料主體同意事項僅透過一鍵完成所有授權,特別是可分的服務:如芝麻 認證、詐欺防止…等,僅採用一次同意,使資料主體無個別選擇之可能。同 時於芝麻信用相關協議及授權須知第四條「為了能讓您在芝麻信用處的信用 信息及時被前述主體查詢,以促成您選擇的產品或服務提供,如果您還不是 芝麻信用的用戶,您應該同意並簽訂本須知之後所列的《芝麻信用服務協議》
成為芝麻信用用戶。」為催促服務與同意連結之敘述。建議可將服務協議修 改成數部份,讓資料主體有可以分別進行同意之機會,而非含糊籠統無法明 顯區隔之同意,如前開討論建議刪除部分之同意,就應該獨立規定,而非夾 帶在整個服務協議之同意中。另外應將同意協議內容與提供芝麻服務脫勾,
避免成為綑綁式同意。
第四款 近用權保障
在同意資料處理者蒐集之後,資料主體必須要能繼續追蹤其提供之個 人資料流向,如此才能確保個人資料是否有符合同意之內容加以處理利用。
因此賦予資料主體擁有近用權可以隨時查閱個人資料處理利用狀態,同時也 為個人資料自主控制權之體現。
我國個資法第十條規定「公務機關或非公務機關應依當事人之請求,
就其蒐集之個人資料,答覆查詢、提供閱覽或製給複製本。但有下列情形之 一者,不在此限:一、妨害國家安全、外交及軍事機密、整體經濟利益或其 他國家重大利益。二、妨害公務機關執行法定職務。三、妨害該蒐集機關或 第三人之重大利益。」又個資法施行細則第 18 條「個資法第十條但書第三 款所稱妨害第三人之重大利益,指有害於第三人個人之生命、身體、自由、
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
財產或其他重大利益。」之謂
參考 GDPR 第十五條資料主體有權確認資料是否正被處理,並有權接近 使用其個人資料,歐盟個人資料保護指令前言第四十三點資料主體應有權接 近使用其所受蒐集之個人資料,並得容易地於合理之時間間隔內行使接近使 用權,以知悉並核實該處理之合法性。
芝麻信用隱私權政策第六條第一項、第三項「六、您如何訪問和管理 自己的個人信息...1 、訪問您的帳戶信息:您可通過支付寶客戶端—芝麻 信用來查看您的芝麻分,通過支付寶客戶端—芝麻信用—信用守護來查看您 的履約信息等。3 、更新您的個人資料:您可通過支付寶客戶端—芝麻信用—
右上角的『信用管理』—個人信息來更新或完善您的個人資料。」之規定,
讓資料主體可以迅速且簡便查詢個人信用記錄,是很不錯的方式,值得我國 發展新興評價信用工具時借鏡。
第五款 確保資料真實正確
信用評估僅有在正確資料的基礎下,才有參考價值。而對於確保資料 正確通常有兩種方式,第一為資料主體查閱信用評估內容時,發現舊有資料 有不真實的狀況,此時可以請求更正或註記。其二,資料處理者主動通知最 新信用訊息,讓資料主體發現新資料有不真實狀況時,可以及時請求更正。
芝麻信用隱私權政策第四條第二款「四、我們如何使用信息...(2)
為了更好地為您提供服務,知曉您使用芝麻服務的狀態,便於您及時了解信 用評估結果的變化,您同意我們可以通過支付寶客戶端相關頁面及信息渠道
為了更好地為您提供服務,知曉您使用芝麻服務的狀態,便於您及時了解信 用評估結果的變化,您同意我們可以通過支付寶客戶端相關頁面及信息渠道