《選擇同意(opt-in)?選擇退出(opt-out)?企業因應兩種不同制度設計注意事項》(台灣)

陳禎憶律師 江曉萱律師 鄭伊芳(加州律師)[1]

一、前言

加州消費者隱私法(California Consumer Privacy Act,以下簡稱CCPA)賦予消費者對自身個人資料擁有近用權[2](消費者得請求企業免費揭露所蒐集、販售之其個人資料類型、資料來源類別,及企業將該等資料共享之第三方所屬商業類別)、請求刪除權[3]、資料可攜權[4],我國個人資料保護法(以下簡稱:個資法)同樣賦予消費者類似權利[5]

但在個人資料保護制度設計上分別有opt-in、opt-out兩種不同制度設計,本文以我國個資法舉例說明事前同意選擇權(right to opt-in)制度,台灣個資法要求企業應事先告知消費者蒐集個人資料之特定利用目的,且企業履行告知義務後應取得消費者明確之書面「同意」(right to opt-in),企業才能算是合法蒐集、利用個人資料。至於事後退出選擇權(right to opt-out)機制,本文以CCPA規範進行說明,CCPA要求企業於蒐集前或蒐集個人資料時應於對消費者公布的「個人資料聲明」中具體、清楚告知消費者蒐集之個人資料類型及目的,企業履行告知義務後,即可合法蒐集、利用消費者個人資料,此制度設計特別之處在於,CCPA將個人資料保護重心放在事後退出選擇權(right to opt-out)機制,亦即賦予超過16歲之消費者簡易行使的「拒絕販售權」[6]。本文將集中討論opt-in、opt-out兩種制度設計差異比較,以及兩種不同制度針對企業管理消費者個人資料之要求差異。

二、CCPA賦予消費者之「拒絕販售權」(right to opt-out)

(一)「販售」定義[7]:指企業將其所蒐集之消費者個人資料,以口頭、書面或電子方式,進行銷售、出租、發行、揭露、傳播、提供、轉讓或以其他任何方式提供給另一企業或與第三方共享個人資料之行為,企業因此販售行為而獲得金錢或其他有具有實際價值之對價。

(二)「通知消費者義務」[8]:企業販售個人資料時,應將企業販售個人資料事實通知消費者,並應告知消費者得行使拒絕販售權,企業並應於其網站主頁(homepage)提供當事人拒絕販售其個人資料之連結。

(三)「拒絕販售權」[9]定義:消費者接獲販售通知後,得以行使拒絕販售權,消費者擁有退出企業販售個人資料行為的事後選擇退出權利(right to opt-out)。

1. 超過16歲之人:CCPA賦予消費者得拒絕企業販售其個人資料之權利,即企業於販售個人資料前,應提供超過16歲之消費者「選擇退出(opt-out)」之權利。

2. 13歲至15歲之人:企業如未取得13歲至15歲之人事前「選擇同意(opt-in)」企業販售其個人資料,企業即不能進行販售13歲至15歲之人個人資料。

3. 未滿13歲之人:企業如未取得未滿13歲之人的法定代理人事前「選擇同意(opt-in)」,企業即不能進行販售未滿13歲之人的個人資料。

(四)禁止差別待遇:企業於收到消費者指示後即應立即停止販售,且不得對主張拒絕販售權之消費者在原提供服務範圍內有差別待遇[10]

三、台灣個人資料保護法就企業對於所蒐集的消費者個人資料合法利用權限範圍,原則上採取消費者事前「選擇同意(opt-in)」設計。

(一)「利用」定義[11]:指任何使用行為。

(二)蒐集個人資料前,企業應明確告知當事人下列事項蒐集個人資料之「特定目的」並取得消費者同意後,企業才可合法進行個人資料之蒐集、處理、利用:企業向消費者蒐集個人資料時,應告知:

1. 企業名稱。

2. 蒐集之目的。

3. 個人資料之類別。

4. 個人資料利用之期間、地區、對象及方式。

5. 消費者依個資法規定得行使之權利及方式,權利內容包括:查詢或請求閱覽;請求製給複製本;請求補充或更正;請求停止蒐集、處理或利用;請求刪除。

6. 消費者得自由選擇提供個人資料時,不提供將對其權益之影響。

(三)企業於取得當事人另外同意後,才得就已蒐集之個人資料為特定目的外之利用[12]企業於蒐集個人資料後,如欲將所蒐集個人資料為特定目的外利用(例如:作為其他行銷之用),則應依台灣個資法第7條第2項規定,另行取得消費者同意(個資法第20條第1項第6款),而不得僅以一概括之特別聲明,即將所蒐集之個人資料逕為特定目的外利用[13]

(四)蒐集個人資料後,消費者擁有停止利用個人資料之請求權[14]

1. 企業違法利用消費者個人資料:企業應主動或依消費者之請求,停止利用該個人資料[15]

2. 企業所蒐集之個人資料取自於一般可得之來源:當消費者顯然具有更值得保護之重大利益時,企業應於知悉或經消費者通知後,主動或依消費者之請求而停止利用該個人資料[16]

(五)消費者拒絕行銷權:台灣個資法要求企業於首次將消費者個資用於行銷時,企業應提供消費者表示拒絕接受行銷之方式,並應當支付消費者行使拒絕行銷之權利過程中所產生的費用,經消費者表示拒絕接受行銷時,企業應即停止利用消費者個人資料於行銷目的[17]

四、opt-in、opt-out兩種制度設計主要差異

(一)事前同意選擇權(right to opt-in):

1. 企業:企業蒐集個人資料前,只要盡到完善的告知義務,確實將企業計畫利用個人資料的目的範圍妥善、完整告知消費者,且取得消費者同意後,企業即可合法利用消費者個人資料。當涉及個人資料糾紛時,企業對於事前取得消費者合法書面同意之事實,負有舉證責任。

2. 消費者:消費者可事先審閱企業蒐集個人資料的用途、利用範圍,原則上,企業只能就消費者同意的使用目的範圍內進行個人資料之蒐集、處理、利用。直觀上,此「事前同意模式」對消費者較有保障,但實務執行上,企業提供給消費者簽署的往往都是制式化個人資料保護同意書,無論是特定利用目的範圍,或消費者是否願意事先授權企業就同意書上已告知目的以外,進行其他之利用(例如用於集團行銷、販售、與第三方共享),大都是以定型化契約條款方式提供給消費者審閱,消費者只能全盤接受或全盤拒絕,沒有協商空間,且多數消費者如果不同意企業制定的個人資料保護政策或是同意書上的內容,企業將直接拒絕提供任何或部分服務(將影響使用服務品質),等於變相強制消費者必須被動接受原本不願意允許的個人資料利用目的(例如用於集團行銷、販售、與第三方共享)。

(二)事後退出選擇權(right to opt-out):

1. 企業:蒐集消費者個人資料之前,或企業著手蒐集個人資料時,應在對消費者公告的「個人資料聲明」中具體、清楚告知消費者蒐集之個人資料類型及目的。企業履行告知義務後,即可合法蒐集、利用消費者個人資料。當企業販售個人資料時,負有應將企業販售個人資料事實通知消費者,並應同時告知消費者得行使拒絕販售權,且企業應於其網站主頁(homepage)提供當事人拒絕販售個人資料之連結,方便消費者行使拒絕販售權等責任。

2. 消費者:選擇退出 (opt-out)制度特殊之處在於CCPA將個人資料保護重心放在事後退出選擇權(right to opt-out)機制,亦即賦予超過16歲之消費者簡易行使的「拒絕販售權」,即便消費者已明確瞭解企業將來可能會販售自己的個人資料,之後反悔或基於其他理由不願意企業販售自己的個人資料,消費者仍然可以在繼續使用企業提供同樣品質的服務現況下[18],拒絕企業販售自己的個人資料,依此,選擇退出制度(opt-out)設計,在實務操作上反而對受定型化契約約束的消費者提供較簡易行使的事後退出選擇權(right to opt-out)制度,並且提升消費者管理自己個人資料的能力。

五、企業應注意事項

據悉我國主管機關已著手修訂個資法,以因應台灣爭取歐盟GDPR適足性認定,個資法草案是否會將CCPA賦予消費者擁有事後退出選擇權(right to opt-out)之機制納入修法參考,值得進一步關注。另外,當台灣企業對外從事經貿活動,如涉及與加州境內企業進行商業往來,亦有必要特別檢視內部個人資料保護政策設計是否符合CCPA規範。

以本文所討論的當事人個人資料「同意」制度為例,台灣立法著重於消費者就企業已告知的「特定目的」範圍,事前同意企業進行個資之蒐集、處理、利用的事前同意選擇權制度,並搭配消費者事後要求企業停止違法利用個人資料請求權,以及消費者拒絕行銷權。應注意,當涉及個人資料糾紛時,企業對於事前合法取得消費者書面同意之事實,負有舉證責任。

而CCPA規範重心在於消費者事後退出選擇權(right to opt-out)機制之拒絕販售制度,請注意,當企業販售個人資料時,負有應將企業販售個人資料事實通知消費者,並應同時告知消費者得行使拒絕販售權,且企業應於其網站主頁(homepage)提供當事人拒絕販售個人資料之連結,方便消費者行使拒絕販售權等責任

當各國法規設計強調的保護機制不同時,台灣企業更要特別注意如何制定一套符合各國法規要求的跨國性個人資料保護政策,並設計符合當地法規要求的網頁內容。企業也有必要進一步檢視內部個人資料管理制度以及公告之個人資料政策,以因應各國法規不同要求或不同制度設計。

[1] 本文內容並非法律意見,亦不代表事務所立場。

[2] CCPA, Section 1798.100(a)(c), 1798.110 and 1798.115.

[3] CCPA, Section 1798.105.

[4] CCPA, Section 1798.100(d), 1798.130(a).

[5] 台灣個人資料保護法第3、10、11條。

[6] CCPA, Section 1798.120(a)(c).

[7] CCPA, Section 1798.140(t)(1).

[8] CCPA, Section 1798.120(b).

[9] 同註6。

[10] CCPA, Section 1798.125(a)(1).

[11] 台灣個人資料保護法第2條第5款「利用:指將蒐集之個人資料為處理以外之使用」。

[12] 台灣個人資料保護法第20條第1項第6款「非公務機關對個人資料之利用,除第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:六、經當事人同意」。

[13] 法務部法律字第10603503880號。

[14] 台灣個人資料保護法第3條第4款「當事人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約限制之:四、請求停止蒐集、處理或利用。」。

[15] 台灣個人資料保護法第11條第4項「違反本法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求,刪除、停止蒐集、處理或利用該個人資料。」。

[16] 台灣個人資料保護法第19條第1項「非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。」、第2項「蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。」

[17] 台灣個人資料保護法第20條第2項「非公務機關依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。」、第3項「非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支付所需費用。」。

[18]同註10。