第三章 個人資料保護上之疑慮
第一節 權益告知不完足
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
或間接識別出資料主體而屬個人資料,故不另外討論。同時,第十步驟涉及 主管機關監管亦非本文主要討論內容,亦不另行討論。其餘步驟二至九檢驗 步驟,涉及權益告知、目的特定、同意要件、保存期限、資料傳輸與安全義 務之保障,會依序討論芝麻信用不足部分。
第一節 權益告知不完足
「告知」是個人資料保護的重要原則,在 OECD 的八大原則中,告知 義務即與蒐集限制、目的特定、公開透明等原則相關,於芝麻信用相關協議 及授權須知第一條「您點擊『同意協議並授權』按鈕,意味著您在此『授權』
淘寶平台經營者...」,143及芝麻信用隱私權政策第一條「我們收集的信息及 用途:在任何情況下,我們均將遵循合法、正當、必要的原則,依法收集您 的信息。除依照國家法律法規公開的信息或本政策另有約定外,未經您『授 權』不會收集您的個人信息...」之內容可知,芝麻信用仍是透過「告知、
同意」模式,來建構個人資料自主地位。因此其告知事項內容之完整程度即 相當重要。
第一款 未能充足告知資料處理者聯繫方式
在「告知、同意」模式下,資料主體須經充分的告知蒐集目的、利用 對象,...等資訊才有辦法為實質同意,以落實個人資料自主權之保障。而 在告知內容中,首應要求資料處理者必須明確告知其身份及聯繫方式,如此 資料主體才得以考量資料處理者之身分、能力、風評等相關資料,並且在行 使更正、查閱、刪除、終止等權利時才有主張對象。且進入司法救濟程序時,
知悉資料處理者為誰,也才能特定權利主張對象,否則資料主體之救濟權將
143 芝麻信用相關協議及授權須知第一點「您點擊“同意協議並授權”按鈕,意味著您在此授權淘寶平台經營者所涵蓋的 主體中的一個或多個在您實際申請使用他們所提供的服務或產品時,允許其及使用其服務或產品的其他用戶(作為您 的 交 易 對 手 ) 向 芝 麻 信 用 查 詢 您 的 信 用 信 息 , 用 於 評 估 與 您 的 交 易 條 件 或 者 控 制 交 易 中 的 風 險 。 」 https://ds.alipay.com/zmxy/tbagreement.htm (最後瀏覽日:2019 年 7 月 21 日)
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
難以行使。
我國個資法第八條第一項第一款規定「公務機關或非公務機關依第十 五條或第十九條向當事人蒐集個人資料時,應明確告知當事人下列事項:
一、公務機關或非公務機關...」、又個資法第九條第一項規定「公務機關或 非公務機關依第十五條或第十九條規定蒐集非由當事人提供之個人資料 時,應於處理或利用前,向當事人告知...及前條第一項第一款至第五款所 列事項(即一、公務機關或非公務機關)...」均明文資料處理者要求向資 料主體資料主體蒐集時,或個人資料雖非來自資料主體資料主體,但在處理 利用前,均應向個人資料主體表明其身份。
雖然個資法第十七條第一項第二款規定「公務機關應將下列事項公開 於電腦網站,或以其他適當方式供公眾查閱;其有變更者,亦同:..二、保 有機關名稱及聯絡方式。..」僅要求資料處理者為公務機關時,應該公開其 聯絡方式,但解釋上非公務機關依據個資法第八條第一項第五款「... 行使 之權利及『方式』」規定中所稱之方式,應包括聯絡方式。
參考 GDPR 第十三條第一項 a 款也規定「從資料主體蒐集其有關之個人 資料時,控管者應於取得個人資料時,提供資料主體下列所有資訊:(a)控 管者及其代表(如適用)之身分及聯繫方式...」GDPR 第十四條第一項 a 款「非 自資料主體取得個人資料時,控管者應提供資料主體下列資訊:(a)控管者 及其代表(如適用)之身分及聯繫方式...」也有相同之規定。
芝麻信用服務協議前言第六條規定「如果您在任何時候對任何內容存 在疑慮或異議,請您立即聯繫我們(聯繫電話 0571-88158055),以便我們 對相關內容進行解釋和說明,使您能夠充分理解,從而幫助您決定是否接受 服務規則及使用我們的服務。」提供了電話之聯繫方式,另外在芝麻信用隱 私權保護政策第十一條第一項「本政策中關鍵詞說明:1 、芝麻信用:指芝
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
麻信用管理有限公司,其註冊地址為杭州市西湖區西溪路 525 號 A 樓 612 室,常用辦公地址為中國浙江省杭州市西湖區西溪路 556 號 Z 空間。...」
提供了地址,看似有符合提供資料處理者聯繫方式之要求。
不過令人玩味的是,前開規則所稱聯繫方式固然沒有規定要提供電子 郵件或網站等網際網路通訊方式,然芝麻信用是在網際網路上提供信用評價 服務為主的電子商務經營者,其與資料主體間大多聯繫方式也是透過網路,
但芝麻信用竟然只留下使用量較少的舊時代電話與地址聯繫方式,而沒有提 供真正有大量使用需求之電子郵件、客服網站甚至公眾號名稱在服務協議 中,甚為可惜。
第二款 未能明確告知資料接收者
除知悉資料處理者與聯繫方式外,資料接收者對於資料主體而言可以 用來判斷資料處理後之流向,以及將會對何人或機構揭露,同為資料主體為 允許意思表示前重要且關鍵之訊息。
我國個資法第八條第一項第四款規定「公務機關或非公務機關依第十 五條或第十九條向當事人蒐集個人資料時,應明確告知當事人下列事項:
四、個人資料利用之期間、地區、對象及方式。」其中該款所稱「對象」即 包含資料接收者在內。
參考 GDPR 第十三條第一項 e 款規定「從資料主體蒐集其有關之個人資 料時,控管者應於取得個人資料時,提供資料主體下列所有資訊:(e)個人 資料之接收者或接收者類型(如有);」GDPR 第十四條第一項 e 款「未自資 料主體取得個人資料時,控管者應提供資料主體下列資訊:(e)個人資料之 接收者或接收者類型(如有);」更進一步要求資料處理者必須也將個人資 料之接收者或至少是接收者之類型,提供給資料主體,以讓資料主體知悉所
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
提供之個人資料將會提供給何人使用,使其有更充分資訊判斷是否同意蒐 集、處理及利用。
於芝麻信用相關協議及授權須知第一條「...意味著您在此授權『淘寶 平台經營者所涵蓋的主體中的一個或多個』在您實際申請使用他們所提供的 服務或產品時,允許『其及使用其服務或產品的其他用戶(作為您的交易對 手)』向芝麻信用查詢您的信用信息,用於評估與您的交易條件或者控制交 易中的風險。」中所稱「『其』及使用其服務或產品的『其他用戶』」之資料 接收者究竟為誰?
依文義可知前開「其」係指「淘寶平台經營者所涵蓋的主體中的一個 或多個」,而其中「淘寶平台經營者」範圍,芝麻信用相關協議及授權須知 第二條進一步說明「為了保護您的知情權,淘寶平台經營者『包括但不限 於』:1. 淘寶網(域名為 taobao.com)、一淘網(域名為 etao.com)、阿里 旅行·去啊(域名為 alitrip.com)的經營者浙江淘寶網絡有限公司;2. 天 貓(域名為 tmall.com)、聚划算(域名為 ju.tmall.com)經營者浙江天貓 網絡有限公司;3. 阿里媽媽(域名為 alimama.com)經營者杭州阿里科技 有限公司。」看似想具體特定淘寶平台經營者範圍,以保護資料主體的知情 權。但該點規範卻增加了一個「包括但不限於」之擴充條件,讓芝麻信用想 具體特定淘寶平台經營者範圍之企圖完全無法達成。
至於前開所稱「其他用戶」之個人資料接收者又為誰?芝麻信用相關 協議及授權須知第三條補充到「可能涉及到需要查詢您信用信息的服務或產 品『包括但不限於』:閒魚;放心淘;酒店信用住;淘寶客;極速退票;車 秒貸;『任何帶有芝麻信用標識的服務或產品』。」企圖以補充說明方式特定 資料接收者之範圍,但所增加「包括但不限於」之擴充條件以及「任何帶有 芝麻信用標識的服務或產品」之概括且空泛之規定,根本無法達到明確告知
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
資料接收者之要求。
即使參採 GDPR,允許僅告知資料接收者之「類型」,而芝麻信用相關協 議及授權須知第一條「其及使用其服務或產品的其他用戶」後面有以括弧表 示「作為您的交易對手」此一特徵,或許可以此特徵來加以特定範圍。然所 謂「作為您的交易對手」是指已完成交易,或即將完成交易,又或預備要進 行交易者?授權須知並未明確說明。依照第一條規範「用於評估與您的交易 條件或者控制交易中的風險」之使用目的來看,似乎可藉由「評估」字面解 釋,來認定應是指預備要進行交易者,但其實我們也無法排除交易進行中才 要進行風險評估的可能性,此時似乎又包括即將完成交易者。變成隨著評估 的解讀不同,資料接收者範圍也隨之變更,同樣無法達到明確告知資料接收 者之要求。
第三款 未能告知資料主體之權益影響
對於資料主體造成之權益影響屬於資料主體是否同意之重要考量因 素,個人資料主體可以透過權益影響之告知,讓其知悉不提供資料所會造成 權益之改變或是面臨之風險,使其可以與提供資料將會如何處理利用一同比 較,讓資料主體有比較充分完整之訊息。
我國個資法第八條第一項第六款規定「公務機關或非公務機關依第十 五條或第十九條規定向當事人蒐集個人資料時,應明確告知當事人下列事 項:....六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。」
將「不提供將對其權益之影響」列為應告知事項中。
參考 GDPR 第十三條第二項 e 款後段「除第一項所定資訊外,控管者於
參考 GDPR 第十三條第二項 e 款後段「除第一項所定資訊外,控管者於