作者：許  斌 博士／特約研究員

審閱：葉奇鑫 律師

王慕民 律師

 

全文約2100字，閱讀約需8分鐘

 

不少人都有不時接到保險、車貸、房仲等業者行銷電話的困擾。有些業者不僅知道電話號碼，還知道行銷對象的姓名、偏好、最近的活動等，讓人不禁擔心是不是自己的個資被洩露或出賣了。事實上，除了個資買賣這種違法風險較高的方式外，對業者而言相對安全的方式，是以網路爬蟲（web crawler）在網路上（特別是臉書等社群媒體、求職網站、C2C網路交易平台等）抓取當事人自行公開或由他人公開的資料。

 

但從網路公開可得的個人資料，業者能否自由作商業利用呢？是否個資一旦在網路（合法）公開，資料主體即不得再對業者之利用行為作任何限制？法國資料保護主管機關「國家資訊自由委員會」（Commission Nationale de l'Informatique et des Libertés, CNIL）日前發布指引（La Réutilisation des Données Publiquement Accessibles en Ligne à des Fins de Démarchage Commercial, 以下簡稱「公開可得資料再利用指引」），對此問題提出否定見解。

 

• CNIL之主要見解

 

「公開可得資料再利用指引」（註1）之對象行為，係業者透過網路抓取（web scraping）技術，從網路擷取姓名、電話號碼等個人資料，再將之用於行銷（direct marketing）活動。CNIL於2019年對企業行銷活動實施調查，結果顯示有諸多不符歐盟GDPR及法國「資料保護法」（Loi Informatique et Libertes Act）之行為，包括未向資料主體充分揭露個資之來源、未經資料主體同意即發送行銷資訊等。CNIL因此希望透過公開可得資料再利用指引，向業者傳達此一領域之最佳實務。

 

CNIL首先強調，電話號碼等資料，縱使已公開於網路，仍為個人資料。此等資料之再利用，須遵守個資保護之基本原則。具體而言：

1. 公開可得的個資若要再利用，須獲得資料主體自主給予之特定、知情及非模糊之同意。將個資再利用於行銷目的者，須在首次發送行銷訊息前，獲得資料主體同意。資料主體對網站使用條款之一般化同意，不構成對於個資再利用之同意。
2. 將公開可得的個資再利用時，須尊重資料主體之拒絕權。資料主體若已表達拒絕行銷，則不得向其發送行銷資訊。採用電話等非電子行銷方式者，須注意避開BLOCTEL等反騷擾電話名單中所列之號碼（註2）。

 

CNIL還為業者提出諸多建議措施，包括：

1. 在使用網路抓取工具前，確認資料之性質與來源。網站之使用條款明定不得實施網路抓取者，不得抓取該網站資料。
2. 遵守資料最小化（data minimization）原則，盡量避免擷取過量或不必要之資訊，特別是醫療、宗教、性取向等敏感個資。
3. 向資料主體告知GDPR第14條所列各項資訊，特別是個資之來源。此等告知至遲應在首次利用個資行銷時一併進行。
4. 委託第三方實施網路抓取者，確保該第三方遵守個資保護規範並採取相關措施，並依GDPR第28條與該第三方訂立個資處理契約。
5. 於必要時，實施資料保護影響評估（Data Protection Impact Assessment, DPIA）。

 

• 與我國法規之比較

 

由CNIL的前開見解及建議觀察，公開可得資料再利用指引意在強調「公開可得之個資仍有GDPR之適用」。網路上公開可得之個資，無論是資料主體自行公開、還是由他人公開，業者皆不得自由用於行銷，而是至少須採取下列措施：

1. 於蒐集時，應遵守網站使用條款中關於個資蒐集之條款；並至遲於資料首次利用時，向資料主體告知其個資來源等資訊。
2. 將資料用於行銷前，獲得資料主體對行銷行為之特定（specific）同意；不得以資料主體對使用條款之一般化同意替代。
3. 若資料主體表示拒絕行銷，則不得再利用其個資行銷。

 

相較之下，我國個資法則對公開可得之資料，區分「資料主體自行公開」、「他人合法公開」、「取自一般可得來源」等不同樣態，並對業者之蒐集、處理、利用活動有不同程度之要求：

1. 從網路等來源間接蒐集之個資，應至遲於首次利用時，向資料主體告知其個資來源等資訊。但個資為資料主體自行公開或他人合法公開者，免此告知（第9條）。
2. 資料主體自行公開或他人合法公開之個資，在特定目的內之蒐集、處理與利用，無須經資料主體同意（第19條、第20條）。
3. 取自一般可得來源之個資，在特定目的內之蒐集、處理與利用，無須經資料主體同意，但資料主體得基於其重大利益反對處理或利用（第19條、第20條）。
4. 無論何種來源之個資，用於行銷後，資料主體均得拒絕將其個資用於行銷目的（第20條）。

 

為行銷目的蒐集並利用公開可得之個資時，法國與我國個資法對業者之要求比較如下表1所示。由表1可知，在個資用於行銷之前，法國對資料主體資訊自主權之保護水平整體高於我國，不僅要求業者向資料主體告知其資料蒐集行為，還要求所蒐集之個資非經資料主體同意，不得用於行銷。個資用於行銷後，無論是依法國法還是我國法，資料主體皆得拒絕業者行銷。

 

由於CNIL允許業者於首次利用時一併告知，業者於首次行銷時告知資料之來源並徵求同意，由資料主體選擇是否拒絕行銷，恐成為實務操作中的常見手段。若是如此，法國CNIL「公開可得資料再利用指引」在告知與同意方面之見解，重申了資料主體資訊自主權；而在資料主體拒絕個資用於行銷方面，該指引與我國個資法效果類似。

 

國家		利用前： 告知資料主體	利用： 經資料主體同意	行銷利用： 資料主體拒絕權
法國	網路公開可得之個資	是	是	是
台灣	自行公開/合法公開	否	否	是
	一般來源	是	否，但有例外	是

表1 公開可得個資行銷利用對照表（達文西個資暨高科技法律事務所整理）

 

 

註1：公開可得資料再利用指引原文請見：

https://www.cnil.fr/fr/la-reutilisation-des-donnees-publiquement-accessibles-en-ligne-des-fins-de-demarchage-commercial。

註2：BLOCTEL為法國政府推行之反騷擾電話措施。自然人得在BLOCTEL網站（https://conso.bloctel.fr/）登記其電話號碼，業者在進行向陌生人進行電話行銷（cold call）時，須避開已在BLOCTEL網站登記之電話號碼。

 

※    歡迎註明出處後轉載