第三章 個人資料保護上之疑慮
第二節 關於目的特定(目的限制)使用限制原則
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
利性、非盈利性、公共、民間」等抽象特徵,但細究發現「盈利性」與「非 盈利性」兩者已是全稱,「公共」及「民間」兩者亦是全稱,根本就是全都 包含在內而無特徵描述的作用,如此廣泛之告知,恐無法達成告知、說明之 功能。
第二節 關於目的特定(目的限制)使用限制原則
目的特定是個人資料保護很重要的一環,資料主體可以透過蒐集目的 的特定來預估資料被蒐集、處理及利用之範圍,也可以藉此判斷資料處理者 在蒐集、處理及利用個人資料時是否符合目的之要求,有無侵害資料主體之 權益。而目的特定原則於 OECD 八大原則制訂之初即已存在,為貫串個人 資料保護之核心,不論在蒐集個人資料階段,或是處理及利用個人資料階 段,均有適用,且與使用限制、公開透明等原則緊密相連。
第一款 目的未明確特定
我國個資法第八條第一項第二款「公務機關或非公務機關依第十五條 或第十九條規定向當事人蒐集個人資料時,應明確告知當事人下列事項:...
二、蒐集之目的。...」、個資法第十五條第一項「公務機關對個人資料之蒐 集或處理,除第六條第一項所規定資料外,應有特定目的...」、個資法第十 九條第一項「非公務機關對個人資料之蒐集或處理,除第六條第一項所規定 資料外,應有特定目的…」均表明資料處理者在蒐集時應「明確」告知蒐集 之目的。
此外個資法第十六條本文「公務機關對個人資料之利用,除第六條第 一項所規定資料外,應於執行法定職務必要範圍內為之,並與蒐集之特定目 的相符。」與個資法第二十條第一項本文「非公務機關對個人資料之利用,
除第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。」更
‧
等目的以外之進階處理;....(「目的限制」(purpose limitation))」首先 揭示目的限制原則。又 GDPR 第六條第一項(a)款「合法之處理應至少符合‧
後方收集提供相應服務所必要的您的信息。」 https://zm.zmxy.com.cn/p/f/privacypolicy/index.html (最後瀏覽日:2019 年 7 月 7 日)
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
範圍,但還是很抽象。
然而就「向您提供信用評估及信用管理服務」此一目的而言,其內涵 依照說明係「為了盡量科學、全面、客觀、公正地向您提供信用評估及信用 管理服務,滿足您多層次、多樣化的服務需求,我們需要收集與您信用相關 的真實、準確、全面的信息,主要包括:(1)您向我們提供的信息或您在使 用我們服務過程中所形成的信息。例如:您在使用我們服務的過程中,自主 填寫或提交的個人身份信息、聯繫方式、證件資料、財產信息等;在您認為 我們處理的有關您的信息存在錯誤、遺漏或不完整情況下,致電我們申請信 息更正處理過程中形成的信息等。(2)您在使用第三方產品或服務中與您信 用相關的信息。例如:您在電商網站上的交易信息、使用支付機構服務產生 的支付信息,使用信用免押服務後是否按約支付了租金,在租車平台上使用 租車服務後是否按約支付了服務費等。(3)與信用相關的司法、行政信息。
例如:法院依法公開披露的被執行人名單信息。(4)合法公開披露(例如合 法的新聞報導、政府信息公開等渠道)的信息中或您自行公開的信息中與信 用有關的信息。」多集中在財產訊息、電商交易訊息、司法行政訊息或公開 披露與信用有關等用於信用評估之訊息,與其說要透過上述文字說明來理解
「信用評估」目的之內涵為何,不如說上述文字說明反倒是比較像個人資料 類型之闡述,且對於「信用管理服務」之內涵卻未有說明。
即使參照芝麻服務協議第一條第一點「芝麻服務:指我們向您提供的 芝麻分、綜合信用評估及其他服務。」之規定,也沒有明確說明何謂「信用 管理服務」,僅於芝麻信用隱私權政策第六條第二項、第三項「六、您如何 訪問和管理自己的個人信息.. 2 、管理您的授權:您可通過登錄支付寶客 戶端,通過芝麻信用—右上角的『信用管理』—授權管理,來查看及管理您 對相關信息使用者的授權。除您與我們另有約定外,或您與信息使用者另有 約定外,您可通過該途徑關閉授權。3 、更新您的個人資料:您可通過支付
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
寶客戶端—芝麻信用—右上角的『信用管理』—個人信息來更新或完善您的 個人資料。」有提到信用管理一詞,但其實際內容包含授權管理與信息之更 新,兩者性質其實不同,且與芝麻信用隱私權政策第六條第一項、第四項
「1 、訪問您的帳戶信息:您可通過支付寶客戶端—芝麻信用來查看您的芝 麻分,通過支付寶客戶端—芝麻信用—『信用守護』來查看您的履約信息 等。... 4 、更正個人信息:您可以通過支付寶客戶端—芝麻信用—『信用 守護』,了解您的履約情況,以及是否有需要及時履約的情形,以便維護您 的信用。除本政策另有約定外,未經您的授權,我們不會向任何第三方披露 您的違約記錄。」相較,同樣對於個人訊息查閱或更正卻又改用「信用守護」
而非「信用管理」用語。且就芝麻信用服務協議內容來看「信用管理」並非 如同「信用評估」而為一種服務之提供,又歸納不出實際內涵為何,因此應 不符合目的明確特定之要求。
另外就「根據法律法規的要求,或為了維護公共安全、公共衛生、重 大公共利益,或出於維護您或其他個人的生命、財產等重大權益」之目的而 言,所使用之文字多為不確定法律概念,且芝麻信用隱私權政策中並未有任 何具體闡明其內涵之說明,或是舉例,或該等不確定法律概念認定之要件或 程序,讓資料主體完全無法預見會因為該款目的而提供出多少個人資料,也 不符合目的明確特定之要求。讓資料處理者可以予取予求,透過此等空泛目 的大肆蒐集個人資料,更使芝麻信用有淪為政府監控工具之疑慮。149
第二款 目的外使用保障不足
承前所述,目前個人資料保護上對於個人資料蒐集、處理與利用基本 原則,採目的限制原則,即資料蒐集者必須在蒐集時明確表達個人資料蒐 集、處理與利用之目的,倘有與目的相違背時,則非屬目的內使用,除非有
149 「芝麻信用」:用遊戲化作為統治手段,你的國家忠誠度數字, U-ACG, 2015-12-30 http://www.u-acg.com/archives/7467 (最後瀏覽日:2019 年 7 月 6 日)
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
法律規定之例外狀況,或是通知資料主體,取得其再次同意,否則不得為之。
這樣的保護設計,落實了個人資料自主控制權,對於由己身產出的個人資 料,讓資料主體有權利決定該個人資料將如何被使用。
我國個資法第二十條第一項但書「非公務機關對個人資料之利用,除 第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下 列情形之一者,得為特定目的外之利用:一、法律明文規定。二、為增進公 共利益所必要。三、為免除當事人之生命、身體、自由或財產上之危險。四、
為防止他人權益之重大危害。五、公務機關或學術研究機構基於公共利益為 統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方 式無從識別特定之當事人。六、經當事人同意。七、有利於當事人權益。」
針對非公務機關目的外利用之要件進行規範。
同時,倘目的外使用係欲經過當事人同意,個資法第七條第二項「第 十六條第七款、第二十條第一項第六款所稱同意,指當事人經蒐集者明確告 知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所 為之意思表示。」規定資料處理者必須明確告知變更後目的及範圍為何,以 及會造成何等影響。
GDPR 雖採取所謂「相容性」(compatible)判斷與我國個資法之體例有 所差異,但兩者內涵仍有一定相似性,可供對照參採。GDPR 第六條第四項
「如處理係出於蒐集個人資料目的以外之目的且非基於資料主體同意,或非 依據歐盟法或會員國法律在民主社會中為確保第 23 條第 1 項所定目的構 成必要且適當方法所為時,控管者為確保處理之目的與原先蒐集個人資料之 目的相容應考慮包括但不限於下列事項:(a) 蒐集個人資料之目的與所欲進 階處理目的間之任何連結性;(b) 蒐集個人資料之背景,尤其是資料主體與 控管者間之關係;(c) 個人資料之本身性質,尤其是依據第 9 條特殊類型
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
之個人資料處理,或依據第 10 條涉及前科及犯罪有關之個人資料處理;(d) 所欲進階處理對於資料主體造成之可能後果;(e) 適當保護措施之存在,可 能包括加密或假名化。」
值得特別注意者,GDPR 第十三條第三項「如控管者所欲進階處理個人 資料之目的非基於蒐集該個人資料之目的者,控管者在進階處理前,應提供 資料主體該其他目的之資訊及第 2 項所定之任何相關進階資訊。」要求資 料控管者在進行目的外利用時一律須告知資料當事人,對個人資料保護更為 周全。
芝麻信用隱私權政策第四條第一項「四、我們如何使用信息 1、我們將 嚴格根據法律法規及監管規定以及您的授權,在如下情形下使用您的信息:
(1)實現本政策中“我們如何收集的信息及用途”所述目的。(2)為了更 好地為您提供服務,知曉您使用芝麻服務的狀態,便於您及時了解信用評估 結果的變化,您同意我們可以通過支付寶客戶端相關頁面及信息渠道向您展 示服務信息以及發送提醒通知。(3)為了保障服務的穩定性與安全性,我們
(1)實現本政策中“我們如何收集的信息及用途”所述目的。(2)為了更 好地為您提供服務,知曉您使用芝麻服務的狀態,便於您及時了解信用評估 結果的變化,您同意我們可以通過支付寶客戶端相關頁面及信息渠道向您展 示服務信息以及發送提醒通知。(3)為了保障服務的穩定性與安全性,我們