隨著資通訊科技(ICT)突破性發展,個人資料(下簡稱個資)存在氾濫流通之高度風險,個資保護顯得更加重要,歐盟通過「一般資料保護規則」(GDPR),並於2018年5月25日正式施行。在我國,「資訊隱私權」為憲法所保障之基本權利(大法官釋字第603號解釋參照),並有制定公布「個人資料保護法」(以下簡稱個資法),規範個資蒐集、處理及利用(個資法第1條參照)。本篇以下將探討公務機關蒐集、處理及利用個資時,資料當事人的「同意」權利。
依個資法第15條第2款規定,公務機關基於特定目的並經「當事人同意」後,可蒐集或處理其個資(本篇說明皆不包括特種個資,如病歷、醫療等,其蒐集、處理及利用應依個資法第6條規定);而依個資法第7條第1項規定,所謂「同意」係指當事人經公務機關告知法定應告知事項後,所為允許之意思表示,立法理由強調同意權行使必須當事人充分瞭解後審慎為之(2010年5月26日修正理由參照),申言之,「當事人同意」必須係資料當事人充分知悉並瞭解將被蒐集或處理的個資有哪些、蒐集者為何、以何種方式、何時蒐集或處理其個資等資訊後,本於自由意志所為之決定;且同意權行使與否,不應與公務機關是否提供服務、是否作成行政處分等不當連結,否則當事人的自由意志形同被制約,有違立法目的,並與「資訊隱私權」保障牴觸。
承上,所謂「法定應告知事項」,即為個資法第8條第1項所列舉事項,諸如機關名稱、蒐集目的及個資類別等;且依個資法施行細則第16條規定,告知方式得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉的方式為之,可知重點在使資料當事人充分知悉,至於形式不限,可依科技發展性或個案當事人狀況選擇之。
應注意者,並非公務機關取得當事人同意後,即可不問目的而蒐集、處理及利用其個資,依個資法第5條規定,個資蒐集、處理及利用不得逾越特定目的之必要範圍,並應與蒐集目的具有正當合理之關聯,因此,公務機關擬依個資法第15條第2款「經當事人同意」的方式取得個資者,首應釐清蒐集之特定目的為何(法務部法律字第10503520020號函參照),且應扣緊該特定目的為處理、利用,俾符「目的限制原則」。
然而,依個資法第16條第7款規定,公務機關「經當事人同意」後,可以在蒐集之特定目的外利用個資;依個資法第7條第2項規定,前開「同意」係指當事人經公務機關明確告知特定目的外之其他利用目的、範圍及同意與否對其權益的影響後,單獨所為之意思表示,蓋特定目的外利用個資,重大影響當事人自主控制個資的權利,從而此「同意」權利的行使,強調必須係當事人單獨所為之意思表示,亦即公務機關應取得當事人針對「特定目的外利用個資」此一事項的具體特定同意,而非對所有事項的概括同意,倘公務機關擬於同一書面夾帶其他事項而以類似包裹方式徵詢當事人意見者,依個資法施行細則第7條規定,公務機關應於適當位置使當事人得以知悉其內容並確認同意,比如「以線條特別框出」等,俾以確保當事人個資自主控制權利。
最後,公務機關蒐集、處理及利用個資時,應注意比例原則,並以誠實信用方法為之(個資法第5條參照),惟法諺「法律不保障權利的睡眠者」,民眾當有自己掌握自己個資的意識,積極確保個人「資訊隱私權」,否則縱有最嚴格的個資保護法規,亦屬空談!