陈祯忆律师 江晓萱律师 郑伊芳(加州律师)[1]
一、前言
加州消费者隐私法(California Consumer Privacy Act,以下简称CCPA)赋予消费者对自身个人资料拥有近用权[2](消费者得请求企业免费揭露所搜集、贩卖之其个人资料类型、数据源类别,及企业将该等数据共享之第三方所属商业类别)、请求删除权[3]、资料可携权[4],我国个人资料保护法(以下简称:个资法)同样赋予消费者类似权利[5]。
但在个人资料保护制度设计上分别有opt-in、opt-out两种不同制度设计,本文以我国个资法举例说明事前同意选择权(right to opt-in)制度,台湾个资法要求企业应事先告知消费者搜集个人资料之特定利用目的,且企业履行告知义务后应取得消费者明确之书面「同意」(right to opt-in),企业才能算是合法搜集、利用个人资料。至于事后退出选择权(right to opt-out)机制,本文以CCPA规范进行说明,CCPA要求企业于搜集前或搜集个人资料时应于对消费者公布的「个人资料声明」中具体、清楚告知消费者搜集之个人资料类型及目的,企业履行告知义务后,即可合法搜集、利用消费者个人资料,此制度设计特别之处在于,CCPA将个人资料保护重心放在事后退出选择权(right to opt-out)机制,亦即赋予超过16岁之消费者简易行使的「拒绝贩卖权」[6]。本文将集中讨论opt-in、opt-out两种制度设计差异比较,以及两种不同制度针对企业管理消费者个人资料之要求差异。
二、CCPA赋予消费者之「拒绝贩卖权」(right to opt-out)
(一)「贩卖」定义[7]:指企业将其所搜集之消费者个人资料,以口头、书面或电子方式,进行销售、出租、发行、揭露、传播、提供、转让或以其他任何方式提供给另一企业或与第三方共享个人资料之行为,企业因此贩卖行为而获得金钱或其他有具有实际价值之对价。
(二)「通知消费者义务」[8]:企业贩卖个人资料时,应将企业贩卖个人资料事实通知消费者,并应告知消费者得行使拒绝贩卖权,企业并应于其网站主页(homepage)提供当事人拒绝贩卖其个人资料之连结。
(三)「拒绝贩卖权」[9]定义:消费者接获贩卖通知后,得以行使拒绝贩卖权,消费者拥有退出企业贩卖个人资料行为的事后选择退出权利(right to opt-out)。
1. 超过16岁之人:CCPA赋予消费者得拒绝企业贩卖其个人资料之权利,即企业于贩卖个人资料前,应提供超过16岁之消费者「选择退出(opt-out)」之权利。
2. 13岁至15岁之人:企业如未取得13岁至15岁之人事前「选择同意(opt-in)」企业贩卖其个人资料,企业即不能进行贩卖13岁至15岁之人个人资料。
3. 未满13岁之人:企业如未取得未满13岁之人的法定代理人事前「选择同意(opt-in)」,企业即不能进行贩卖未满13岁之人的个人资料。
(四)禁止差别待遇:企业于收到消费者指示后即应立即停止贩卖,且不得对主张拒绝贩卖权之消费者在原提供服务范围内有差别待遇[10]。
三、台湾个人资料保护法就企业对于所搜集的消费者个人资料合法利用权限范围,原则上采取消费者事前「选择同意(opt-in)」设计。
(一)「利用」定义[11]:指任何使用行为。
(二)搜集个人资料前,企业应明确告知当事人下列事项搜集个人资料之「特定目的」并取得消费者同意后,企业才可合法进行个人资料之搜集、处理、利用:企业向消费者搜集个人资料时,应告知:
1. 企业名称。
2. 搜集之目的。
3. 个人资料之类别。
4. 个人资料利用之期间、地区、对象及方式。
5. 消费者依个资法规定得行使之权利及方式,权利内容包括:查询或请求阅览;请求制给复制本;请求补充或更正;请求停止搜集、处理或利用;请求删除。
6. 消费者得自由选择提供个人资料时,不提供将对其权益之影响。
(三)企业于取得当事人另外同意后,才得就已搜集之个人资料为特定目的外之利用[12]:企业于搜集个人资料后,如欲将所搜集个人资料为特定目的外利用(例如:作为其他营销之用),则应依台湾个资法第7条第2项规定,另行取得消费者同意(个资法第20条第1项第6款),而不得仅以一概括之特别声明,即将所搜集之个人资料径为特定目的外利用[13]。
(四)搜集个人资料后,消费者拥有停止利用个人资料之请求权[14]:
1. 企业违法利用消费者个人资料:企业应主动或依消费者之请求,停止利用该个人资料[15]。
2. 企业所搜集之个人资料取自于一般可得之来源:当消费者显然具有更值得保护之重大利益时,企业应于知悉或经消费者通知后,主动或依消费者之请求而停止利用该个人资料[16]。
(五)消费者拒绝营销权:台湾个资法要求企业于首次将消费者个资用于营销时,企业应提供消费者表示拒绝接受营销之方式,并应当支付消费者行使拒绝营销之权利过程中所产生的费用,经消费者表示拒绝接受营销时,企业应即停止利用消费者个人资料于营销目的[17]。
四、opt-in、opt-out两种制度设计主要差异
(一)事前同意选择权(right to opt-in):
1. 企业:企业搜集个人资料前,只要尽到完善的告知义务,确实将企业计划利用个人资料的目的范围妥善、完整告知消费者,且取得消费者同意后,企业即可合法利用消费者个人资料。当涉及个人资料纠纷时,企业对于事前取得消费者合法书面同意之事实,负有举证责任。
2. 消费者:消费者可事先审阅企业搜集个人资料的用途、利用范围,原则上,企业只能就消费者同意的使用目的范围内进行个人资料之搜集、处理、利用。直观上,此「事前同意模式」对消费者较有保障,但实务执行上,企业提供给消费者签署的往往都是制式化个人资料保护同意书,无论是特定利用目的范围,或消费者是否愿意事先授权企业就同意书上已告知目的以外,进行其他之利用(例如用于集团营销、贩卖、与第三方共享),大都是以定型化契约条款方式提供给消费者审阅,消费者只能全盘接受或全盘拒绝,没有协商空间,且多数消费者如果不同意企业制定的个人资料保护政策或是同意书上的内容,企业将直接拒绝提供任何或部分服务(将影响使用服务质量),等于变相强制消费者必须被动接受原本不愿意允许的个人资料利用目的(例如用于集团营销、贩卖、与第三方共享)。
(二)事后退出选择权(right to opt-out):
1. 企业:搜集消费者个人资料之前,或企业着手搜集个人资料时,应在对消费者公告的「个人资料声明」中具体、清楚告知消费者搜集之个人资料类型及目的。企业履行告知义务后,即可合法搜集、利用消费者个人资料。当企业贩卖个人资料时,负有应将企业贩卖个人资料事实通知消费者,并应同时告知消费者得行使拒绝贩卖权,且企业应于其网站主页(homepage)提供当事人拒绝贩卖个人资料之连结,方便消费者行使拒绝贩卖权等责任。
2. 消费者:选择退出 (opt-out)制度特殊之处在于CCPA将个人资料保护重心放在事后退出选择权(right to opt-out)机制,亦即赋予超过16岁之消费者简易行使的「拒绝贩卖权」,即便消费者已明确了解企业将来可能会贩卖自己的个人资料,之后反悔或基于其他理由不愿意企业贩卖自己的个人资料,消费者仍然可以在继续使用企业提供同样质量的服务现况下[18],拒绝企业贩卖自己的个人资料,依此,选择退出制度(opt-out)设计,在实务操作上反而对受定型化契约约束的消费者提供较简易行使的事后退出选择权(right to opt-out)制度,并且提升消费者管理自己个人资料的能力。
五、企业应注意事项
据悉我国主管机关已着手修订个资法,以因应台湾争取欧盟GDPR适足性认定,个资法草案是否会将CCPA赋予消费者拥有事后退出选择权(right to opt-out)之机制纳入修法参考,值得进一步关注。另外,当台湾企业对外从事经贸活动,如涉及与加州境内企业进行商业往来,亦有必要特别检视内部个人资料保护政策设计是否符合CCPA规范。
以本文所讨论的当事人个人资料「同意」制度为例,台湾立法着重于消费者就企业已告知的「特定目的」范围,事前同意企业进行个资之搜集、处理、利用的事前同意选择权制度,并搭配消费者事后要求企业停止违法利用个人资料请求权,以及消费者拒绝营销权。应注意,当涉及个人资料纠纷时,企业对于事前合法取得消费者书面同意之事实,负有举证责任。
而CCPA规范重心在于消费者事后退出选择权(right to opt-out)机制之拒绝贩卖制度,请注意,当企业贩卖个人资料时,负有应将企业贩卖个人资料事实通知消费者,并应同时告知消费者得行使拒绝贩卖权,且企业应于其网站主页(homepage)提供当事人拒绝贩卖个人资料之连结,方便消费者行使拒绝贩卖权等责任。
当各国法规设计强调的保护机制不同时,台湾企业更要特别注意如何制定一套符合各国法规要求的跨国性个人资料保护政策,并设计符合当地法规要求的网页内容。企业也有必要进一步检视内部个人资料管理制度以及公告之个人资料政策,以因应各国法规不同要求或不同制度设计。
[1] 本文內容並非法律意見,亦不代表事務所立場。
[2] CCPA, Section 1798.100(a)(c), 1798.110 and 1798.115.
[3] CCPA, Section 1798.105.
[4] CCPA, Section 1798.100(d), 1798.130(a).
[5] 台灣個人資料保護法第3、10、11條。
[6] CCPA, Section 1798.120(a)(c).
[7] CCPA, Section 1798.140(t)(1).
[8] CCPA, Section 1798.120(b).
[9] 同註6。
[10] CCPA, Section 1798.125(a)(1).
[11] 台灣個人資料保護法第2條第5款「利用:指將蒐集之個人資料為處理以外之使用」。
[12] 台灣個人資料保護法第20條第1項第6款「非公務機關對個人資料之利用,除第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:六、經當事人同意」。
[13] 法務部法律字第10603503880號。
[14] 台灣個人資料保護法第3條第4款「當事人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約限制之:四、請求停止蒐集、處理或利用。」。
[15] 台灣個人資料保護法第11條第4項「違反本法規定蒐集、處理或利用個人資料者,應主動或依當事人之請求,刪除、停止蒐集、處理或利用該個人資料。」。
[16] 台灣個人資料保護法第19條第1項「非公務機關對個人資料之蒐集或處理,除第六條第一項所規定資料外,應有特定目的,並符合下列情形之一者:七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用,顯有更值得保護之重大利益者,不在此限。」、第2項「蒐集或處理者知悉或經當事人通知依前項第七款但書規定禁止對該資料之處理或利用時,應主動或依當事人之請求,刪除、停止處理或利用該個人資料。」
[17] 台灣個人資料保護法第20條第2項「非公務機關依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。」、第3項「非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支付所需費用。」。
[18]同註10。