我國的通知和同意機制

司法院大法官第603 號解釋揭示：「就個人自主控制個人資料之資訊隱私權 而言，乃保障人民決定是否揭露其個人資料、及在何種範圍內、於何時、以何種 方式、向何人揭露之決定權，並保障人民對其個人資料之利用有知悉與控制權及 資料記載錯誤之更正權｣。另外許宗力大法官和曾有田大法官在協同意見書中，

亦表示：「惟有使人民事先知悉其個人資料所以被蒐集之目的，並使國家之資訊 使用受蒐集目的所拘束，方能正當化國家之取得人民個人資訊，並防止國家濫用 所取得之人民個人資訊，而憲法對人民資訊隱私權之保障才不會落空²⁵⁰。｣綜言 之，實踐本號解釋所揭櫫的個人資料自主權之保護，即確保個人在充分告知、了 解個人資料蒐集的目的後，得自由任意的做出選擇或表示同意，以實現人民的資 訊自決權，此即通知和同意機制的具體內涵。

249 See Tyler v. Michaels Stores, Inc., Civ. No. 11-10920-WGY (D. Mass. Jan. 6, 2012); Pineda v.

Williams-Sonoma, 51 CAL. 4TH 524, 246 P.3D 612, 120 CAL. RPTR. 3D 531 (Cal. Feb. 10, 2011).

See also Angelique Carson, ZIP Codes: Are Courts Set To Protect Consumers from Marketing?,IAPP

(May 1, 2013),

https://www.privacyassociation.org/publications/2013_05_01_zip_codes_are_courts_set_to_protect_co nsumers_from_marketing.

250 司法院大法官第 603 號解釋許宗力大法官和曾有田大法官協同意見書，第 75-76 頁。

92

我國個人資料保護法有關於非公務機關之告知與同意的定義與基本要求，分 別規定於第7 條（書面同意之內涵）、第8 條（直接蒐集個人資料之告知義務）、 第19 條（非公務機關蒐集或處理個人資料之要件）和第 20 條（非公務機關利用 個人資料之除外情形）之中。

5.2.1 告知義務

告知的方式依照個資法施行細則第16 條的規定，得以言詞、書面、電話、

簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為 之。依據個資法第8 條，告知的內容包含：（1）非公務機關的名稱；（2）蒐集的 目的；（3）個人資料的類別²⁵¹；（4）個人資料利用的期間、地區、對象及方式；

以及（5）當事人依第三條規定得行使之權利及方式²⁵²。在直接蒐集的情況下，

非公務機關須告知當事人得自由選擇是否提供個人資料，以及當事人若不提供個 人資料時，將會有何種權益的影響。至於告知的時點，因直接蒐集和間接蒐集之 不同有所差異；在直接蒐集的情況下，業者應於「蒐集時｣告知法定事項。而在 間接蒐集的情況下，業者應於「處理及利用前｣向當事人告知個人資料的來源，

以及第8 條第一項第一款至第五款所列法定告知事項。在特定情況下，假如非公 務機關有法定可免為告知之情由，則可免除告知義務，不為通知（參個人資料保 護法第8 條和第 9 條）。

告知有二個功能：首先，提供足夠的資訊，使當事人得以預先知悉個人資料 如果受到蒐集、處理或利用後，可能遇到的隱私風險，對業者的行為得以產生隱 私保護的期待；其次，確定當事人同意的範圍，當事人僅需針對已受告知的部分，

表示同意。惟在部分特別情形下，或已有法律規定，或當事人已明知，履行第一 項告知義務恐有礙職務之執行或無必要²⁵³，因此得於特定情況下免除業者的告知 義務的部分，在直接向當事人蒐集時，依照個資法第8 條第二項規定，共有五種 例外情形業者可免為告知，包含「一、依法律規定得免告知；二、個人資料之蒐 集係公務機關執行法定職務或非公務機關履行法定義務所必要；三、告知將妨害 公務機關執行法定職務；四、告知將妨害第三人之重大利益；以及五、當事人明 知應告知之內容。｣。在間接向當事人蒐集時，依照同法第9 條第二項規定，除 前述五種情況外，還有四種額外情形業者可以免除告知義務，包括「一、當事人 自行公開或其他已合法公開之個人資料；二、不能向當事人或其法定代理人為告 知；三、基於公共利益為統計或學術研究之目的而有必要，且該資料須經提供者 處理後或蒐集者依其揭露方式，無從識別特定當事人者為限；四、大眾傳播業者 基於新聞報導之公益目的而蒐集個人資料。｣。由於告知義務的免除，連帶影響        

251 法務部，個人資料保護法之特定目的及個人資料之類別，

http://mojlaw.moj.gov.tw/LawContentDetails.aspx?id=FL010631（最後瀏覽時間：2013 年 4 月 20 日）。有論者認為在個人資料保護法修正後，適用主體已不再限於公務機關，非公務機關由於處 理的業務不同，個人資料類別應保有彈性和抽象性，以便精確反映個案的蒐集目的和個人資料 項目，毋庸延續舊法時代共同指定特定目的及資料類別的作法，有檢討之必要。參見劉定基，

前揭註76，頁 159。

252 個資法第三條規定的當事人權利包括：（1）查詢或閱覽權；（2）請求製給複本權；（3）補

正或更正權；（4）停止蒐集、處理或利用權；以及（5）刪除權。

253 個資法第八條的立法理由。

93

到使用者的同意權以及個資法賦予之權利行使，因此對於告知義務免除有以下二 點值得討論。

首先，個資法第8 條第二項第四款「告知將妨害第三人之重大利益｣，惟立 法理由並未如第8 條第二項第一款至第三款等免除告知事由，舉例說明免除的理 由。由於免除告知義務即剝奪當事人「知｣的權利，而實際上亦難以想像何等情 況，會因為告知的行為而危及第三人的重大利益；亦不明瞭所謂的「重大利益｣

所謂何物？資料蒐集者如以此款作為免除告知的理由，應證明所受侵害的利益為 何，是否達到重大的程度；同時，中央目的事業主管機關亦應嚴格審查此款，與 當事人的隱私做權衡比較，確保資料蒐集者無濫用或誤用本款之免除事由²⁵⁴。

延伸而論，除了重大利益此一法律不明確概念外，公共利益亦為個資法中，

例外規定常見的事由，諸如個資法中第9 條第二項第五款「大眾傳播業者基於新 聞報導之公益目的而蒐集個人資料｣得免除告知義務、第19 條第一項第六款非公 務機關得「與公共利益有關｣下蒐集和處理當事人的個人資料、以及第20 條非公 務機關得「為增進公共利益｣下得於特定目的外利用當事人的個人資料，這些例 外條款的構成要件「公共利益｣，均屬高度不確定的法律概念。第9 條之公益目 的涉及新聞自由與言論自由，與本文所欲探討之行動應用程式較無關聯，暫且不 論。然而第19 條與第 20 條所涉及的公共利益，於此處有討論之必要。

公共利益條款涉及法律明確性原則與授權明確性原則，劉靜怡教授認為此公 益目的須考量二個重點：首先，從比較法制中，由法院透過司法案例建立公益目 的的判斷原則，並在個案的隱私利益與公共利益間衡量與權衡；其次，由於個資 法採取「多頭馬車｣的執法模式，由各中央目的事業主管機關針對管轄事業為行 政檢查，則在公共利益的判斷上，不免會產生不一致或矛盾的界定和判斷²⁵⁵。此 外，立法院三讀通過個資法時，中國國民黨黨團和民主進步黨黨團提出相同之附 帶決議：「有關本法之不確定法律概念，例如公共利益，一般可得知資料來源，

顯有更值得保護之重大利益，公開場所或公開活動等，由政府機關邀請民間團體、

學者專家等共同研議於施行細則中確定，避免個人隱私保護與資料運用之社會利 益衝突²⁵⁶。｣惟於現行個資法施行細則中，並未有關於公共利益的判斷標準之相 關規定，未能解決立法過程中，立法者對公共利益此一不確定法律概念可能招致 爭議之憂慮²⁵⁷。

綜言之無論是「重大利益｣亦或是「公共利益｣，此等概念外延不明確且難以 確認，在實務審查上恐須高度仰賴個案判斷。如此在不同個案之間，不僅無法形 成清楚明確而可通盤適用的一般性認定標準，在個案解釋適用時亦可能遭逢缺乏 可資參照之實體基準，因而不易作出合理認定之現實困境。

254 參見劉定基，前揭註 97，頁 161。

255 劉靜怡，前揭註 44，頁 156-62（2010）。

256 「有關本法之不確定法律概念，例如公共利益，一般可得知資料來源，顯有更值得保護之

重大利益，公開場所或公開活動等，由政府機關邀請民間團體、學者專家等共同研議於施行細 則中確定，避免個人隱私保護與資料運用之社會利益衝突｣，立法院公報，99 卷 29 期 3794 號 一冊，頁168，http://lis.ly.gov.tw/lgcgi/lypdftxt?09902901;0159;0168（最後瀏覽時間：2014 年 1 月9 日）。

257 劉靜怡，前揭註 44，頁 156（2010）。

94

95

脅迫或承受任何不利的情況下作出同意，且當事人亦可毫無顧慮地撤銷同意²⁶⁵。 其次，須為具體、特定的同意，意即業者以好懂、清晰的詞語，準確地言明業者 將蒐集、處理或利用當事人個人資料的範圍與結果，讓當事人對業者的行為有合 理的期待，並依此特定範圍表示同意。換言之，同意必須有具體的相對性，同意 不可涵蓋資料控制者「任何合法目的｣，而應確切地指涉某一具體、明確的目的，

進而為必要且合理的資料處理²⁶⁶。

其三，告知後的同意，第29 條工作小組認為須符合二種要求：（1）資訊的 品質，業者提供蒐集、處理或利用等資訊的方式，必須以通俗的文字、不使用術 語、以及易懂且清晰的言語，以當事人可理解的方式表達；（2）資訊的近用性和 可見性，該資訊直接提供與當事人，且須以顯眼且全面的方式提供，例如以彈出 式的對話框、分級式的揭露或者隱私設定選項等，供當事人閱讀²⁶⁷。其四，應於 蒐集、處理或利用等行為「前｣取得當事人的同意，方能充分地保障當事人的權 利²⁶⁸。惟若資訊控制者行為之特定目的轉變時，亦得於處理資料進行中徵求當事

其三，告知後的同意，第29 條工作小組認為須符合二種要求：（1）資訊的 品質，業者提供蒐集、處理或利用等資訊的方式，必須以通俗的文字、不使用術 語、以及易懂且清晰的言語，以當事人可理解的方式表達；（2）資訊的近用性和 可見性，該資訊直接提供與當事人，且須以顯眼且全面的方式提供，例如以彈出 式的對話框、分級式的揭露或者隱私設定選項等，供當事人閱讀²⁶⁷。其四，應於 蒐集、處理或利用等行為「前｣取得當事人的同意，方能充分地保障當事人的權 利²⁶⁸。惟若資訊控制者行為之特定目的轉變時，亦得於處理資料進行中徵求當事