要旨
有關業者在原蒐集、處理或利用之目的下,倘服務延伸所衍生之資料蒐集範圍變更,皆須依個資法第 8 條第 1 項規定履行告知義務,惟對於過去已告知之相同事項,得依個資法施行細則第 16 條之規定,運用各種技術以簡化或便利之方式通知當事人。另業者如欲透過「推定同意」之方式取得個人資料,除應盡告知義務且明確告知外,尚須符合「當事人未表示拒絕」及「當事人已提供其個人資料」兩項要件,始得為之
主旨
有關貴公司詢問「蒐集、處理或利用一般民眾測量『生理數據資訊』與個人資料保護法(下稱個資法)適用關係」,復如說明,請查照。
說明
一、有關「業者蒐集、處理、利用民眾自行操作器材所得之生理數據資訊,是否屬醫療或健康檢查之特種個人資料範疇」乙節: (一)業者依個資法第 4 條之規定受醫療院所委託,為供醫師或其他醫事人員以醫學目的所為之診察治療或基於醫療行為檢查,取得民眾自行操作器材所測量之生理數據資訊,而符合個資法施行細則第 4條第 2 項及第 5 項規定醫療或健康檢查個人資料之定義,對該等個人資料之蒐集、處理或利用,應依個資法第 6 條特種個人資料之規定辦理。 (二)民眾自行操作器材所得之生理數據資訊直接提供予業者蒐集、處理、利用,若未涉及醫事人員診察(診斷)、治療,或以醫療行為施以檢查,即未符合前述醫療或健康檢查之個人資料定義,非屬個資法第 6 條之特種個人資料類型,惟因該等資料仍得以直接或間接方式識別特定個人,爰屬個資法第 2 條第 1 款規定之個人資料,業者對該等資料之蒐集、處理或利用,應依個資法第 19 條及第20 條等規定辦理。 二、有關「在原蒐集、處理或利用之目的下,倘服務延伸所衍生之資料蒐集範圍變更,就業者告知義務部分,是否得僅就變更項目進行告知?或仍須依個資法第 8 條第 1 項告知各款項目?或是否得依同法第8 條第 2 項第 5 款『當事人明知應告知之內容』免除告知義務」乙節: 業者倘因服務延伸致需衍生蒐集新的個人資料,於蒐集該次變更項目之個人資料前,不論特定目的是否改變,皆須依個資法第 8 條第 1項規定履行告知義務。惟業者對於過去已告知當事人之相同事項,得斟酌個案情形,依據個資法施行細則第 16 條之規定,運用各種技術以簡化或便利之方式通知當事人(例如:透過超連結之方式,顯示先前已告知之相同內容,由當事人自行點選檢視)。 三、有關「就取得當事人同意部分,是否得以當事人未表示拒絕,依個資法第 7 條第 3 項『推定同意』之方式取得同意」乙節: (一)按個資法第 7 條第 3 項規定「公務機關或非公務機關明確告知當事人第 8 條第 1 項各款應告知事項時,當事人如未表示拒絕,並已提供其個人資料者,推定當事人已依第 15 條第 2 款、第19 條第 1 項第 5 款之規定表示同意」。因此業者如欲透過「推定同意」之方式取得個人資料,除應盡告知義務且明確告知外,尚須符合「當事人未表示拒絕」及「當事人已提供其個人資料」兩項要件,始得為之。 (二)查業者擬於 APP 之「在我附近的健康餐飲資訊」功能欄位畫面,提示「正在蒐集您的定位資訊」文字,並同時於畫面角落出現「□暫不提供定位資訊」部分: 1.關於「正在蒐集您的定位資訊」之提示,建議修正用語為「本服務需要蒐集您的定位資訊」。 2.參照法務部 98 年 1 月 8 日法律字第 0970038035 號函釋意旨「當事人不同意提供利用,並無以書面簽名表示不同意之義務」,本件若欲符合推定同意要件之「當事人未表示拒絕」,應係當事人在正面選擇同意與否之模式下進行(例如:上開畫面宜顯示「□提供定位資訊」),否則有類似「預設同意」效果之虞。(三)至於本件若欲符合推定同意要件之「當事人已提供其個人資料」,應係指當事人有自行提供個人資料之積極行為(例如:自主開啟藍芽設定並選擇同步資料,並將資料傳送予業者);倘業者預設自動上傳資料之功能,在當事人未有任何積極行為之情形下即取得個人資料,則縱使當事人未表示拒絕,仍不得視為當事人已提供其個人資料,因此應不符合推定同意之要件。
正本
○○科技股份有限公司
副本
衛生福利部、經濟部
