本文導讀

第　壹　章

三段式架構的法律邏輯

從蒐集到利用的完整生命週期

19條

蒐集處理規範核心

個資法第 19 條:非公務機關蒐集處理個資的七大法定事由

20條

利用規範核心

個資法第 20 條:目的範圍內利用 + 目的外利用的特別事由

7種

法定事由

法律明文、契約關係、當事人公開、學術研究、當事人同意、增進公共利益、不違反當事人權益

STAGE I

蒐集 Collection

第 19 條:須有特定目的 + 七大法定事由之一。當事人同意是最常用基礎,需明確、特定、可撤回。

STAGE II

處理 Processing

限於蒐集目的範圍內的內部運用(儲存、檢索、修改、刪除)。需採適當安全措施。

STAGE III

利用 Use

第 20 條:原則上限於蒐集目的範圍內。目的外利用須符合特別事由,違反可處刑責。

第　貳　章

當事人同意的五大有效要件

不是隨便勾選就算同意

第　參　章

目的拘束與目的外利用

第 20 條的核心精神

目的範圍內

第 20 條第 1 項本文

• —對個人資料之利用,應於蒐集之特定目的必要範圍內為之
• —例:以「客戶服務」為目的蒐集 → 用於客服回應
• —例:以「行銷推廣」為目的蒐集 → 用於發送行銷
• —不得擴張至原目的之外的新用途

目的外利用

第 20 條第 1 項但書

• —須符合特別事由(7 款列舉):法律明文、增進公共利益、為免危害當事人權益、學術研究、當事人書面同意等
• —AI 訓練常見爭議:以「客服」目的蒐集個資能否用於「訓練 AI」(目的明顯不同)
• —違反目的拘束依第 41 條可處刑事責任(最重 5 年)

第　肆　章

結語

下一篇將討論當事人五項權利

Q.　我們網站的隱私政策上萬字,客戶看不完,有效嗎?

A.　可能無效。當事人同意需符合「明確」要件:當事人能合理理解同意內容。建議:第一,核心條款摘要(關鍵蒐集目的、利用範圍);第二,分層揭露(摘要 + 完整);第三,重要事項顯著標示(字體加大、顏色區別)。完全靠「誰看誰倒楣」的長文,在實務上常被認定為同意瑕疵。

Q.　「同意公司於各種業務目的使用」這樣的條款合法嗎?

A.　不合法。同意需「特定」,不得空泛。應明確列出「客戶服務」「訂單處理」「行銷推廣」等具體目的,讓當事人能就各個目的分別決定。建議採「分項同意」:不同目的不同勾選格,當事人可選擇接受哪些。

Q.　以客服目的蒐集的個資,可以用於訓練 AI 嗎?

A.　高度爭議。「客服」與「訓練 AI」是不同目的,後者可能屬目的外利用,需符合特別事由(法律明文、學術研究、當事人書面同意等)。實務建議:第一,在告知同意中明確列入 AI 訓練用途;第二,提供分項同意;第三,對既有資料若要新增 AI 訓練用途,應取得新同意或進行充分去識別化。

Q.　違反目的拘束的法律後果?

A.　民事:當事人可請求停止處理 + 損害賠償(每人每事件 500-2 萬,集體訴訟可達數千萬);行政:罰鍰 5 萬-50 萬,情節重大可至 500 萬;刑事:依第 41 條,意圖為自己或第三人不法利益或損害他人利益者,最重可處 5 年有期徒刑。

Q.　企業最常違反三段式哪一段?

A.　實務上「利用階段」違反最多:當業務擴展或行銷需求出現,常未重新評估「是否在原目的範圍內」。建議企業建立「個資使用變更審查機制」:任何新業務或新通路使用既有個資前,先審查是否需要重新告知或徵求同意。