個資蒐集要件分析：「契約或類似契約之關係」與「當事人同意」之適用差異

　　在執行個人資料盤點與適法性評估時，企業常習慣性選擇「當事人同意」作為法律依據。然而，依據《個人資料保護法》第19條，「與當事人有契約或類似契約之關係，且已採取適當之安全措施」 往往是更穩固且合適的選擇。

　　我們要回到個資保護最根本的邏輯：「合法性基礎」。非公務機關要處理個資，必須有一個合法的理由。這兩個條款代表了兩種截然不同的權利來源：

兩者差異的核心在於資料處理的驅動力：

• 契約關係（交易驅動）： 基於「必要性」。為了履行對您的承諾（如：交付商品、支付薪資），企業「必須」處理您的資料。若無此資料，契約將無法執行。
• 同意（授權驅動）： 基於「自願性」。該資料處理對履行核心契約並非絕對必要，但企業「想要」進行（如：精準行銷、數據分析），因此需要當事人的額外授權。

適用情境與法律構成要件

關鍵概念解析

「類似契約」的深層意涵

此條款賦予企業在正式簽約前的彈性空間，涵蓋「契約成立前之準備階段」：

適用場景：求職者投遞履歷（尚未建立僱傭契約）、客戶詢價或索取型錄（尚未正式下單）。

合規價值：企業在磋商與談判階段即可合法處理個資，無需強迫對方先行簽署個資同意書，優化業務流程。

「適當之安全措施」的舉證責任

這是第2款特有的前提要件。由於未經當事人額外同意，法律要求企業承擔更高的保護義務：

實務要求：企業需證明已導入符合個資法第27條及施行細則之安全措施（如TPIPAS標準）。

風險提示：若發生資料外洩且企業無法舉證已採取適當措施，則該次蒐集可能被視為「自始違法」，面臨行政裁罰與損害賠償風險。

「同意」的嚴格標準（個資法第7條）

依據個資法第7條及國際趨勢（如GDPR），有效的同意必須符合以下三要素：

1. 告知後同意：須先行履行第8條告知義務（蒐集目的、類別、利用期間等）。

2. 明確性：禁止使用「預設勾選」或隱晦的「概括性同意」。

3. 單獨性：「核心服務」與「行銷利用」的同意應分開取得。不能強迫用戶為了使用服務就必須接受行銷廣告（禁止包裹式同意）。

企業決策建議路徑

優先適用「契約關係」（推薦核心業務採用）

適用情境：核心業務流程（如下單購買、物流配送、員工薪資轉帳）。

優點：

• 法律穩定性：排除當事人隨意要求刪除資料的風險，確保契約履行。
• 使用者體驗：減少干擾式彈跳視窗與繁瑣的勾選流程。
• 風險控管：必須嚴格界定「必要範圍」，嚴禁目的外利用（如：不得將物流配送資料轉售或用於非關聯之行銷）。

補充適用「當事人同意」（推薦加值服務採用）

適用情境：非核心業務、加值服務、行銷推廣、提供資料予第三方合作夥伴。

優點：法律依據明確，賦予企業處理「非必要資料」的合法權限。

管理成本：

• 需建立「同意管理機制」，精確記錄「誰、在何時、同意了什麼」。
• 需具備「撤回權響應機制」，一旦用戶撤回同意，系統需能即時阻斷資料利用。

常見稽核缺失

在實務稽核中，我們常見以下違規樣態，請務必避免：

強迫同意：

• 缺失樣態：在隱私權政策宣告「若您使用本服務，即代表您同意我們將資料用於行銷推廣」。
• 問題分析：此舉混淆了第2款與第5款。使用服務是基於契約，行銷利用則需額外同意。強迫打包的同意條款，在法律上極可能被認定無效（顯失公平）。

欠乏安全措施導致合法性喪失：

• 缺失樣態：企業主張基於「契約關係」處理資料，但缺乏存取控制或加密機制，導致駭客入侵。
• 問題分析：法院或主管機關可能認定因未符合「已採取適當之安全措施」之後段要件，導致蒐集行為自始不合法，企業將失去免責抗辯的基礎。

－－副理事長/教育訓練委員會主委 王彥然