個資當事⼈同意機制之⽬的系在於提供個資蒐集者或控制者⼀個合法蒐集、
利⽤或移轉個資的理由。雖然各國相關法規可能均訂有各種使個資控制者得處 理個資的規定,但基於⼈民⾃治與民主的主流觀念,當事⼈同意機制在各國個資 隱私規範下均是相當重要的⼀個合法基礎。
當事⼈「同意」有許多種不同的形式,處理⾵險事務上最常被使⽤的概念即 是「知情同意」(Informed consent),即是當事⼈在被充分告知並瞭解背景事實、
含意及後果等情形下⽽做的決定。知情同意的機制可溯⾄⼆次世界⼤戰前德國 紐倫堡公約(the Nuremberg Code)對受試驗者所訂定的同意標準,當時認為知情 同意不僅是為保障受試驗者在安全、受保護與有尊嚴的條件下受試,也是試驗本
⾝完整性的⼀部分58。知情同意的形式包含明⽰或暗⽰同意、積極或消極同意與 書⾯或⼝頭同意等。積極同意指當事⼈須採取⾏動給予同意的表⽰,例如回答具 體同意與否的問題等,現⾏應⽤於隱私規範的選擇加⼊(Opt-in)即是積極同意
57 Id. at 184-185.
58 Ilka H. Gleibs, Turning virtual public spaces into laboratories: thoughts on conducting online field
的⼀種表現。另⼀⽅⾯,「概括同意」(broad consent)是指當事⼈同意潛在未知 的應⽤,被廣泛應⽤於⽣物技術試驗領域,當事⼈同意試驗機構可基於未來研究 原因使⽤當事⼈所提供之⽣物樣本。事實上⼤數據科技的應⽤在性質上與前述 應頗為相似,因為科技進步的發展未知,許多事實背景與⾵險並無法在個資蒐集 時即被瞭解與確定,故個資當事⼈的概括同意將有助創新技術研究與發展59。 通知與選擇(notice-and-choice)系為以個⼈對⾃我資訊「主宰控制、管理」
權⼒為基礎下所衍⽣出的資訊隱私規範。在美國,通知與選擇(notice-and-choice)
源起於 1973 年美國聯邦家庭教育福利部(Department of Housing, Education, and Welfare)的⼀則報告60,其中提及以 Fair Information Practices Principles(FIPPs)
為核⼼的個資處理原則,FIPPs 指出:「不應存在有任何秘密⽽不為⼈知悉的個 資蒐集與紀錄保存活動,任何組織都應該有相關個資蒐集與紀錄『公開』的政策」
61。該報告要求任何政府機關蒐集市民資訊時皆必須公告資訊使⽤⽅法及⽬的,
使市民得以修正他(她)們的個⼈資訊,並且在使⽤資訊予其它⽬的前均應徵得 個別市民的同意。亦即,「通知與選擇」機制的本意在於落實個資蒐集與紀錄活 動的公開。FIPP s 並不是⼀個⽴法規範,⽽是提供⼀個在衡平隱私需要與其它利 益衡突下的⼀個框架性原則62。在經濟合作暨發展組織(Organization for Economic Co-operation and Development, OECD)於 1980 年發表 Guidelines Governing the
59 Eugenia Politou, Efthimios Alepis and Constantinos Patsakis, Forgetting personal data and revoking consent under the GDPR: Challenges and proposed solutions, 4 J. Cybersecur. 1, 5 (2018).
60 U.S. Dep't. of Health, Education and Welfare, Secretary's Advisory Committee on Automated Personal Data Systems, Records, computers, and the Rights of Citizens viii (1973).
61 U.S. Department of Health, Education, and Welfare, Records, Computers and the Rights of Citizens:
Report of the Secretary's Advisory Committee on Automated Personal Data Systems (1973). Retrieved from http://epic.org/privacy/hew1973report/default.html. (最後瀏覽⽇: 2020/5/1).
62 Government Accountability Office, In-car Location-based Services: Companies Are Taking Steps to Protect Privacy, but Some Risks May Not Be Clear to Consumers (GAO-14-81) (Dec. 6, 2013).
Protection of Privacy and Transborder Data Flow of Personal Data ⼀⽂後63,「通知」
機制開始被國際間廣泛地應⽤於資訊隱私相關⽴法規範,各國相關資訊隱私的 法規、國際合約、產業作業準則以及歐盟資料保護綱領(European Union’s Directive 95/46/EC: the Data Protection Directive)等均以該⽂為基礎,設置以「通 知」機制為標準的資訊隱私規範。美國 FTC 隨後遊說國會通過法律,要求私⼈
企業也須公告其使⽤或處理個⼈資訊的⽅式、時機以及種類項⽬等。美國雖然沒 有全國統⼀的資訊隱私法规,但聯邦政府與各州已就某些特定資訊類別訂定類 似要求通知與選擇(notice-and-choice)的資訊隱私規範64。例如,美國加州的線 上隱私保護法案(Online Privacy Protection Act)要求所有商業網站或其它透過網 路提供服務⽽須蒐集加州市民資訊的網站,均須公告資訊使⽤政策,並且遵照該
⽅法處理資訊,⽽所公告資訊處理政策必需描述所蒐集資訊的種類、分享的對象、
資訊使⽤的⽅法,以及當資訊處理政策改變時,個資當事⼈將如何被告知等訊息
65。雖然是加州法律,但因為網路商業網站有州際交易的本質,⽽且⼜是全美國 資訊科技業最集中的加州地區之法律,該法律即等同間接對全美國網路商業經 營業者要求設置資訊隱私政策之「通知」機制。⽽我國個⼈資料保護法則仿效歐 盟資料保護綱領令規定,於個資法第 7 條、第 8 條、第 9 條、第 15 條、第 16 條、第 19 條及第 20 條等均有告知後同意原則之規定。
63 Organization for Economic Co-operation and Development, Guidelines Governing the Protection of Privacy and Transborder Data Flow of Personal Data. Retrieved from
https://www.google.com/url?client=internal-element-cse&cx=012432601748511391518:xzeadub0b0a&q=https://www.oecd.org/internet/ieconomy/oecdgui delinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm&sa=U&ved=2ahUKEwjV1rX hyKPoAhXMKqYKHZTbC7IQFjAAegQIBBAB&usg=AOvVaw0u40M6DQHlqVK7LJ-EilOM (最 後瀏覽⽇: 2020/3/18).
64 Daniel J. Solove & Paul M. Schwartz, Information Privacy Law, 37–39 (4th ed., 2011).
美國 FTC ⼀直以來把資訊隱私規範的執法重點放在資訊蒐集者對個資當事
⼈在資訊處理準則的通知上,要求資訊蒐集者必須依法詳盡、完整地羅列資訊處 理的程序與作業準則。早期在美國有以產業別⽽發展的隱私政策⾃治導引,在同 產業的所有業者被⿎勵採⾏某些相同資訊處理與隱私政策,例如在西元 1988 年 成⽴的⼀個⾮官⽅組織—線上隱私聯盟(Online Privacy Alliance),它制定了⼀系 列適⽤於網路環境的⾏為準則,並要求所有會員採⽤及公告⼀個固定的資訊隱 私公告,強調業者應「通知」個資當事⼈關於資訊使⽤⽬的、傳送、近⽤、修正、
資訊安全以及幼童資料的蒐集與限制等66。如此的產業⾏為準則雖⾮可被直接執
⾏的法規範,但 FTC 據此準則為執法規範標準,若資訊蒐集者未向個資當事⼈
揭露詳實具體的資訊處理程序準則,或實際上未依照所公告之處理程序準則處 理資訊67,FTC 則予以起訴,惟迄今多數案例多以和解作收,和解條件通常系為 要求資訊蒐集者修正公告之資訊處理程序準則,並以不違背準則之⽅式處理個
⼈資訊68,操作⽬的仍在使個資當事⼈能夠在完全知情的情況下做出對業者揭露 個資或⾃由選擇另尋替代業者的決定。
66 Privacy Alliance, Guidelines for Online Privacy Policies. Retrieved from
http://www.privacyalliance.org/resources (最後瀏覽⽇: 3/19/2020).(註:OPA 現已不存續。)
67 美國聯邦貿易委員會執⾏之法源依據為,Federal Trade Commission Act 第五章授權委員會調
查並遏⽌可能影響州際間商業活動的任何「不公平」或「欺騙」的⾏為。See, 15 U.S.C § 45 (2012).
68 Daniel J. Solove & Woodrow Hartzog, The FTC and the New Common Law of Privacy, 114 Colum.
L. Rev. 583, 610-11, 614-619 (2014).