第四章 建議與對策
第一節 適當程度地告知義務
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
另外,在權益確保面向,涉及對於資料主體權保障的落實,雖然可以 法律規定統一標準要求,然科技進展迅速的現代,立法速度恐無法追及,且 法定標準通常僅為權利最低度之保障,倘為對於資料主體權維護而言僅是消 極保護之狀態,而難以期待資料處理者會主動積極保障資料主體權利。因 此,本文嘗試導入競爭概念,營造資料處理者可以相互競爭環境,透過競爭 方式,讓資料處理者為了獲得資料主體之同意,而更積極主動保障資料主體 權益。
因此,本章所提出之建議與對策,係由「適當程度地告知義務」與「透 過競爭帶來保障」兩個面向加以出發,期望能充實資料主體之個人資料自主 決定權保障。
第一節 適當程度地告知義務
告知義務目的在讓資料主體可以預見其個人資料將會如何被蒐集、處 理及利用,進而為同意與否之意思表示,以保障其個人資料自主決定權。但 如前所述,告知義務會涉及到告知程度問題,同時亦與所支出之成本互為連 動,此時該如何取得平衡?本文以為,告知義務之目的不僅為保障個人資料 自主決定權而已,其實應該同時具備證據證明之效果,即所有之告知內容均 應呈現在服務協議上,並作為日後涉及糾紛時資料處理者告知義務之認定證 據。雖然我國個資法第七條第四項「蒐集者就本法所稱經當事人同意之事 實,應負舉證責任。」將舉證責任由資料蒐集者承擔,但舉證之前提在於須 先有主張存在,而主張之責為資料主體所負擔,無主張則訟爭不會開啟,惟 資料主體並非法律專業人士,倘服務協議未載明應告知內容,則資料主體可 能根本就不知道可以主張何者,此時個資法第七條第四項也沒有適用餘地,
立法當初由資料蒐集者負擔舉證責任以保障資料主體之目的也無法落實。
從資料處理者角度來看,為獲取個人資料,其所需支付之徵信成本約
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
有「使用科技之硬體成本」如:架設系統、網站或自動化模型及安全維護等 成本、「蒐集成本」如:和第三方機構間接蒐集個人資料之協商、直接蒐集 等成本、「履行告知義務之成本」如:客服人員、網站內容、擬定服務協議 等成本、「訴訟成本」如:客訴糾紛處理、訴訟費用等成本。從資料主體角 度來看,為維護資料自主決定權,其所需支付之成本約有「近用權成本」如:
查閱、調取等成本、「訴訟成本」如訴訟費用等成本、「資料主體權益成本」
如:不提供個人資料導致無法享受特定產品或服務之成本、思考決定是否同 意之成本。而資料處理者與資料主體所爭執之告知義務是否履行,最終得透 過訴訟加以確認,故由訴訟成本作為徵信成本討論始點。187
在訴訟實務上,訴訟資源多半消耗在「認定事實」與「適用法律」兩 個面向,而認定事實部分必須透過開庭、函詢調取或鑑定方式來確認事實為 何,且通常非一次庭期就可完成整個調查證據程序。因此「認定事實」部分 占整個訴訟資源消耗大宗,倘能降低「認定事實」部分訴訟資源之耗費,讓 事實可以在進入訴訟時即可明確知悉,對於資料處理者而言,不但可以減少 訴訟成本之花費,甚至還可免於進入訴訟。
基於上開假設狀況下,將服務協議內容視為進入訴訟時所認定之告知 義務內容事實,免去過往為證明有盡告知義務而耗費之調查證據訴訟程序,
以節省徵信成本中訴訟成本耗費。另外,資料處理者為避免遭受不利判決,
因此會盡可能在服務協議中詳細交代告知事項,以強化其證明力,同時也產 生保障資料主體之個人資料自主決定權之作用。但所稱在服務協議中詳細交 代告知事項,不一定僅是單純增加篇幅而已,還可以搭配客服功能解答資料 主體不明瞭之處,、提供個別同意機制,而非僅一個同意就要答應所有內容 等方式,以提升資料自主決定權保障。最後,詳盡補充服務協議所耗費之成
187 在經濟分析法中其實還有蠻多本文未提及之成本值得討論,但本文僅先粗略討論幾個比較重要的成本,並嘗試以經濟 分析法進行操作,提出粗淺看法。倘日後有專文針對此部分進行研究,自然可以再為更深入之討論。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
本,本在「履行告知義務成本」之中,因此對於資料處理者而言,並無新類 型成本產生,反而還可以減少「訴訟成本」的花費,又同時可以保障到資料 主體之個人資料自主決定權。然不可諱言的,要求詳細交代告知事項於服務 協議中是會增加「履行告知義務成本」,但此類成本費用是可以透過轉嫁由 資料主體來共同負擔,如提高取得信用評價結果報告費用等方式,而並非全 由資料處理者負擔。畢竟徵信結果對於資料主體者而言仍是有利,而非所有 利益均由資料處理者獨享,因此可以適度要求資料主體負擔部分履行告知義 務成本費用,以換取信用報告的做成,至於其負擔比例的拿捏,可以透過市 場競爭機制調節,使資料處理者與資料主體雙方,逐漸在成本與效率間取得 平衡。
簡言之,資料處理者與資料主體雙方之權益關係,應在服務協議中載 明,並逕行作為日後進入訴訟時事實認定之基礎,倘資料處理者於服務協議 中應告知內容未清楚載明,則應承擔敗訴風險,以督促資料處理者會盡力充 實告知內容。且除服務協議載明外,更可佐以其他輔助方式,以下就芝麻信 用運作經驗,對於適當程度地告知義務部分提出具體建議。
第一款 細緻化權益影響告知
我國個資法第八條第一項第六款及 GDPR 第十三條第二項 e 款後段規定 內容多為「不提供個人資料後果」之告知,而個資法第八條第一項第五款也 規定「... 非公務機關依第十五條或第十九條規定向當事人蒐集個人資料 時,應明確告知當事人下列事項:... 五、當事人依第三條規定得行使之權 利及方式。...」,復個資法第三條規定「當事人就其個人資料依本法規定行 使之下列權利,不得預先拋棄或以特約限制之:一、查詢或請求閱覽。二、
請求製給複製本。三、請求補充或更正。四、請求停止蒐集、處理或利用。
五、請求刪除。」,對照中國大陸電子商務法第三十二條要求「明確表示個
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
人信息保護方面的權利和義務」,但此處所謂「個人信息保護方面的權利和 義務」究何所指?意義不甚明確,似乎不符合中國大陸電子商務法第三十二 條「明確」之要求。而本文以保護資料主體觀點出發,認為單從文字解釋上,
其應告知權益影響範圍可能可以比較大,除得行使之權利或方式外,不僅「不 提供個人資料後果」而已,更包含「提供個人資料之後果」等在內。
芝麻信用相關協議及授權須知第四條「為了能讓您在芝麻信用處的信 用信息及時被前述主體查詢,以促成您選擇的產品或服務提供,如果您還不 是芝麻信用的用戶,您『應該同意並簽訂』本須知之後所列的《芝麻信用服 務協議》成為芝麻信用用戶。如果您已經是芝麻信用用戶,您無需重複簽訂 本須知之後所列《芝麻信用服務協議》。」之規定,並未說明資料主體會涉 及之權利義務,亦未先說明資料主體「應該同意並簽訂芝麻信用」之義務何 在?反而直接要求資料主體簽訂協議,則上開內容就不是權益影響告知了,
反而是誘導或是強迫遞約,建議應刪除該部分敘述。
另外芝麻服務協議第二條第一款第一小點後段「您已經認識」、「您已 經充分理解並知曉」之用語,非權利影響告知,反而是芝麻信用侵權行為減 免或免除之主張。且該段內容之敘述,也未有具體內容說明何等權利受到影 響,其所稱之「已經認識」、「已經充分理解並知曉」,不過是空言知悉而已。
故建議芝麻信用應以文字具體表述資料主體涉及之權利義務為何,以 及會受到何等權利之影響,甚至可以列舉實例,讓資料主體得閱覽,並在權 利影響告知部分獨立設置閱畢機制,以清晰明確判斷資料處理者告知權利影 響內容為何。即使依照中國大陸電子商務法須告知權利及義務之規定,同樣 也可採用列舉文字敘述方式來呈現。而呈現字體大小,規格等符合消費者保 護法之規定即可。日後倘有紛爭,爭議雙方透過權益告知書面之記載,也可 以清楚釐清雙方責任,更可以避免其他徵信業者有僥倖心態。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
第二款 將資料類型與來源分組
資料處理者所欲蒐集之資料或許無法鉅細靡遺一一列清冊,但資料來 源與資料主體資訊自主權得行使緊密連結,資料來源越清晰,資訊自主權的 保障越緊密。因此我國個資法第八條第一項第三款及 GDPR 第十四條第一項
(d)款均要求對資料主體表明資料類型與來源。
鑑於用於信用評估之資料種類繁多,且每當有新型資料出現,用於信 用評估的選擇也會變多,導致資料類型與來源琳瑯滿目,使資料主體無法清 楚預見何等資料將會被蒐集。因此建議芝麻信用須先刪除芝麻服務協議第二 條第一款第一小點中段「二、服務規則:(一)...採集您的信息包括但不限 於您的個人信息、行為信息、交易信息、資產信息、設備信息等。」中「包 括但不限」之字眼,而在需要增加新資料類型時,改以服務協議更新方式公
鑑於用於信用評估之資料種類繁多,且每當有新型資料出現,用於信 用評估的選擇也會變多,導致資料類型與來源琳瑯滿目,使資料主體無法清 楚預見何等資料將會被蒐集。因此建議芝麻信用須先刪除芝麻服務協議第二 條第一款第一小點中段「二、服務規則:(一)...採集您的信息包括但不限 於您的個人信息、行為信息、交易信息、資產信息、設備信息等。」中「包 括但不限」之字眼,而在需要增加新資料類型時,改以服務協議更新方式公