熱門文章

【重磅】非營利組織也可為「行銷」目的利用個資? —淺談個資法中「行銷」之含義

作者:許  斌 博士/特約研究員

審閱:葉奇鑫 律師

王慕民 律師

 

全文約2400字,閱讀約需9分鐘

 

之前達文西個資週報為大家報導了比利時資料保護署(Data Protection Authority, DPA)的一則決定(註1)。本文將為大家更詳細地解讀這個案件。該案有兩個重要法律問題,其一是非營利組織的宣傳與募款行為是否構成GDPR意義上的「行銷」(direct marketing),其二是以正當利益(legitimate interest)作為處理個資法律依據的界限。第一個問題為本文重點。無論是GDPR還是我國「個人資料保護法」(以下簡稱「個資法」),都未對「行銷」進行明確定義。本文將以該案為契機,探討個資法中「行銷」之含義。

 

  • 比利時DPA之主要見解

該案中,資料主體X先生曾在7年前向非營利之Y團體捐款。Y團體的隱私權條款載明,其會將捐款人之個人資料保存10年。此後,Y團體不時向X先生寄送宣傳資料,並向X先生募款。X先生多次要求Y團體停止寄送宣傳資料並刪除其個資,但Y團體並未遵守其要求。最終,X先生向比利時DPA投訴。

 

面對比利時DPA的調查,Y團體抗辯稱,其對X先生個資之處理,係以「正當利益」為法律依據;蓋其為非營利組織,若不進行募資活動,則無法獲得實現其目的之必要資源。

 

該案裁罰決定中(註2),比利時DPA首先指出,Y團體雖為非營利組織,其寄送宣傳資料與募款行為,仍構成GDPR意義上的「行銷」行為。因此,資料主體X先生得主張GDPR第21條2項之拒絕行銷權,隨時拒絕為行銷目的所為的個資處理;亦得主張GDPR第17條1項c款之刪除權,要求刪除其個人資料。

 

針對Y團體主張之正當利益抗辯,比利時DPA援引歐盟法院(Court of Justice of the European Union, CJEU)對Rīgas案之意見(註3),認為GDPR第6條1項f款之「正當利益」有三項要件,分別為:

  1. 目的要件,即所追求之利益為正當;
  2. 必要性要件,即處理個資為實現該利益之必要;
  3. 衡平要件,即所追求的利益優於資料主體之基本權利和自由。

 

比利時DPA認為Y團體之抗辯符合前兩項要件,蓋GDPR認可行銷構成正當利益之可能性;且Y團體之行銷活動必然需要處理個人資料。但對於第三項要件,比利時DPA認為X先生之基本權利和自由優先於Y團體之正當利益。原因在於,X先生之捐款與Y團體之個資處理行為間隔達七年,很難認為此時X先生會合理期待其個資被處理。且Y團體並未提供適當保護措施,特別是未提供真正有效的反對權行使管道,以降低其個資處理行為對資料主體之影響。

 

比利時DPA基於上開分析,認定Y團體之個資處理行為違反GDPR,命令Y團體停止行銷、刪除X先生個資,並對Y團體課以罰款。

 

  • 個資法上「行銷」含義之探討

對於為行銷目的而處理個資之行為,GDPR及我國「個人資料保護法」皆賦予資料主體較高程度之自主權,允許資料主體加以拒絕。但對於「行銷」之含義,GDPR與我國個資法皆無明文規定。但有些歐盟會員國與歐盟機構已主張對「行銷」採廣義解釋,包含慈善、公益、政治等非營利組織之募款、募資、宣傳理念等活動。

 

比利時DPA於今年1月發布之「為行銷目的處理資料之第01/2020號建議」(Aanbeveling nr. 01/2020, Betreffende de Verwerking van Persoonsgegevens voor Direct Marketingdoeleinden)(註4),認為「行銷」係指為商業或非商業目的,主動(unsolicited)或應要求(solicited)進行的,旨在推廣組織、個人、服務、產品、商標或理念的任何通訊(communication)。上開案件中,比利時DPA即援引此一定義。

 

英國資訊委員辦公室(Information Commissioner's Office, ICO)亦採廣義解釋。英國「2018年資料保護法」(Data Protection Act 2018)(註5)將「行銷」定義為以任何方式向特定個人傳送之廣告或行銷內容。而ICO在其「行銷指引」(Direct Marketing Guidance)(註6)中,明確指出「行銷」並非僅限於對商品或有償服務之廣告,而是亦包含推廣組織的目標或理念。因此,非營利組織之宣傳活動與募款活動也屬於行銷。

 

亞洲地區也有類似見解。香港「個人資料(私隱)條例」(註7)規定,直接促銷(direct marketing)指透過直接促銷方法 (a) 要約提供貨品、設施或服務,或為該等貨品、設施 或服務可予提供而進行廣告宣傳;或 (b) 為慈善、文化、公益、康體、政治或其他目的索求捐贈或貢獻。

 

我國司法實務中,關於「行銷」之含義,多見於商標法相關案件,且採狹義解釋,認為「所謂行銷者,係指向市場銷售作為商業交易之謂,行銷範圍包含國內市場或外銷市場」(註8)。而個資法相關之判解與函釋,未見關於「行銷」含義之討論。

 

我國法下,「行銷」是否包含非營利組織之宣傳活動,關乎資料主體享有個人資料自主權之程度。「個資法」第20條第2項規定了拒絕行銷權,對於利用個資行銷者,資料主體若表示拒絕行銷,業者即應停止利用相關個資。20條第3項要求業者在首次行銷時,提供資料主體表示拒絕接受行銷之方式,並支付所需費用。相較之下,為其他目的處理利用個資者,則只有當該個資蒐集之特定目的消失或期限屆滿時,資料主體方得依「個資法」第11條3項規定,請求刪除、停止處理或利用個資。

 

從保障個人資料自主權之角度,「行銷」較宜採廣義定義。非營利組織之宣傳與募資活動之性質,與產品或服務之商業行銷類似,皆屬為宣傳目的,利用個人資料,與資料主體進行聯絡溝通。雖然非營利組織之宣傳活動可能涉及公益目的,但此等公益目的與個資利用僅有間接關聯,且其宣傳活動能夠以不利用個資之方式進行。資料主體之自主權,應優先於非營利組織之宣傳與募款之利益。

 

在廣泛定義下,非營利組織在利用個資實施宣傳或募資行為時,須尤其注意遵守「個資法」第20條的相關規定。例如,若以電話詢問方式為之,則當事人表示不想再接到類似電話時,即應實施內部作業,將該筆個資從電話詢問名單中移除。若以電子郵件方式為之,則郵件內容應包含拒絕接受類似郵件的選項。若以紙本信函方式為之,則應隨信附上拒絕接受類似信件的紙本表單與回郵信封,或在信函內容中說明拒絕接受類似信件的線上管道(如QR code等)。

 

 


 

註1:本事務所相關報導請見:

https://www.davinci.idv.tw/news/779

註2:比利時DPA之裁罰決定原文請見:

https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/Beslissing_GK_28-2020_NL_.pdf

註3:歐盟法院Rīgas案意見原文請見:

http://curia.europa.eu/juris/document/document.jsf?docid=187183&mode=req&pageIndex=1&dir=&occ=first&part=1&text=&doclang=EN&cid=6079284

註4:比利時DPA第01/2020號建議原文請見:

https://www.gegevensbeschermingsautoriteit.be/sites/privacycommission/files/documents/Aanbeveling_01_2020_direct_marketing.pdf.pdf

註5:英國「2018年資料保護法」原文請見:

http://www.legislation.gov.uk/ukpga/2018/12/pdfs/ukpga_20180012_en.pdf

註6:英國ICO「行銷指引」原文請見:

https://ico.org.uk/media/1555/direct-marketing-guidance.pdf

註7:香港「個人資料(私隱)條例」原文請見:

https://www.elegislation.gov.hk/hk/cap486!en-zh-Hant-HK.pdf?FROMCAPINDEX=Y

註8:參見智慧財產法院108年刑智上易字第77號刑事判決:

https://law.judicial.gov.tw/FJUD/data.aspx?ty=JD&id=IPCM,108%2c%e5%88%91%e6%99%ba%e4%b8%8a%e6%98%93%2c77%2c20200319%2c1

 

※ 歡迎註明出處後轉載。

更多詳情請洽 達文西個資暨高科技法律事務所
service@davinci.idv.tw