諮詢預約 縱觀國內外個資法制規範,於討論個人資料之合法利用要件時,無不將當事人之「同意」列為最基礎要件之一,其立法內涵在於承認個人之資料主體地位,並落實個人自主控制資料之權利。我國個資法條文本身就當事人之同意並未著墨過多,其定義規範於個資法第7條,依本條文義,由資料蒐集者踐行應告知事項並取得當事人之允許後,即已滿足同意此一要件。有鑑於同意要件於個資合法利用層面之重要意義,我國學者透過參考外國先進法制之芻議實例等,多認為個資法條文於「同意」要件之定義未臻明確,尚有修正空間。因此亦引發豐富之衍生討論,包含告知內涵之檢討、有效同意應具備之要件及如何透過同意落實個人資料自主權等,均為學說實務上懇切關注之重點。
考量到「同意」表彰當事人自主控制資料權之體現,於規範上應更具體化,個資法有關同意之相關修正芻議亦正研擬中。然而,透過「同意」構成要件規範之嚴謹化,是否確實有利於完善當事人資料控制之自主性?事實上,越來越多實例表明,無論立法者或法解釋如何苦心孤詣透過事前告知或提供選項之規範,協助當事人貫徹其同意之自主性,有心利用當事人數據之企業仍可能另取蹊徑,透過文字或網站設計等技巧迷惑當事人並取得其同意。舉例而言,多數網頁蒐集當事人之 Cookies 時,詢問視窗多有預先勾選同意選項,又或是預設當事人繼續使用網頁即代表同意,且並未以簡明文字告知當事人個資蒐集用途等資訊。於此類情況下,即使當事人點選同意,或主動繼續使用網頁,亦難認定此類行為能確實表彰當事人資料自主控制之意願。
誠然,如何透過法制規範更有效貫徹當事人同意之自主性仍屬立法研擬上爭執不休之難題,但或許美國聯邦貿易委員會(U.S. Federal Trade Commission)所推動之 「謝絕來電計畫(National Do Not Call Registry)」能提供一種有趣的思維:如果由資料蒐集者訂定同意條款可能有自利問題而與當事人之資料自主權發生衝突,由中立之第三方統一訂定標準是否能更有效保護資料當事人權利?截至2021年,透過當事人主動登記電話號碼之運作方式,「謝絕來電計畫」建立了超過兩億個電話號碼之註冊清單,公司不能任意聯繫此註冊清單上之當事人進行行銷活動,除非取得當事人明確之書面同意。當事人於違反意願之情況下接到電話時,亦可以向聯邦貿易委員會檢舉,向違法使用號碼之來電者處以罰款。
誠然,「謝絕來電計畫」之運作機制未必盡善盡美,例如其無法阻擋違法取得個資之企業或詐騙團體來電,與當事人有往來之公司亦可能透過同意條款之設計另行取得當事人之同意,從而架空當事人於該計畫註冊之本意。然而此計畫確實提升了當事人對其資料掌控之參與度,透過主動選擇加入(opt in)謝絕來電清單之方式,當事人明確表達其掌控資料之意願,與當事人有來往之企業亦需要告知當事人更明確之個資運用資訊,方可能排除此清單之規範效力利用當事人個資。
也許「謝絕來電計畫」無法解決所有個資濫用問題,但它探問了另一種個資權利實踐方法之可能性:透過公正第三方居中協調,相較單純從嚴規範法律構成要件,或許能提供當事人更完善之隱私選擇並充分保障其個資權利。除了註冊電話號碼之外,類似於「謝絕來電計畫」之形式是否能推行於其他個資運用之情形,由公正第三方協調出資料蒐集者與當事人間資料運用協議之基準?或許值得關心個資權利之倡議者進一步思考。
參考資料:
1. 個人資料保護法
2. U.S. Federal Trade Commission, ‘National Do Not Call Registry FAQs’, <www.consumer.ftc.gov/articles/national-do-not-call-registry-faqs> (最後瀏覽日:2021/8/13)
3. Robert Gellman, ‘Is there a role for consent in privacy?’, 2021/6/30, <iapp.org/news/a/is-there-a-role-for-consent-in-privacy/> (最後瀏覽日:2021/8/13)