讓專業的來 - 做 Big Data 誤踩個資法紅線?國巨律師事務所傳授保身之道
資料等同於企業的 現金,兼有正面與負面意涵。一方面,懂得善用資料的企業,便可望藉由海量資料 (Big Data) 擄獲巨大商機,但另一方面,若因蒐集與利用外部資料誤觸個資法,恐面臨法律究責而致現金減損;如何趨吉避凶?無疑是重要課題。
根據研究機構調查,凡是全方位利用資料的企業,即能從資料資產中實現額外 60% 報酬率,此報酬包含額外營收、成本撙節或生產力提升,無論成果為何,皆可通稱為「資料紅利」(Data Dividend);意謂企業若能善用新的分析技術,藉由不同資料集而產生業務洞察,就可望躋身 Big Data 龐大商機的得利者。
在此前提下,海量資料躍為當今顯學,企業莫不期盼借助全新資料存取與分析系統,妥善駕馭愈趨複雜的結構資料或非結構資料,從中挖掘營運致勝線索。例如微軟甫推出的 SQL Server 2014,除擅於整合多種資料結構、內建 In-Memory 高速運算效能,更提供與 Microsoft Office 連結的分析工具,使企業員工可輕鬆將周遭資訊轉換為環境智慧,便堪稱是驅動海量資料應用普及化的助力之一。
但問題來了,企業在採用強大工具、推動海量資料應用的同時,為充實資料分析的養分,亦將不可免俗蒐集大量外部資料,相關種種舉措是否合乎個資法?著實有待商榷。
下面的篇幅,將由對個資法鑽研甚深的國巨律師事務所現身說法,從不同角度剖析企業蒐集行為的適法性,並剖析企業在推展資訊分析應用業務下,應注意的個資法規遵循面向。
蔡文玲建議,企業在評估個資遵循上,應考量四大面向,一是個資蒐集依據及告知事項是否完整說明,例如特定目的或提供利用對象是否盡可能羅列;二是利用個資的型態或活動是否符合特定目的範圍,甚至,若企業實務上有將個人資料再提供第三人利用,是否符合個資法第 20 條第 1 項所列事由;三是企業是否建立處理當事人權利行使事件的流程,以確保於法定期限內因應或答覆,而符合法律要求;四是從企業本身資料管理機制切入,確保委外監督事項具體約定與安全維護措施的落實,始能夠全面提升企業內部個資安全
蒐集利用個資 可憑四步驟檢證合法性
企業不可不知,若被認定為違法蒐集或逾越特定目的而利用個資,並涉及營利行為,從事該業務者即可能遭處最高五年有期徒刑,企業亦可能遭主管機關裁處罰鍰或負有民事損害賠償責任;所以可以肯定,一旦企業沈浸海量資料淘金美夢,卻觸犯個資法而不自知,唯恐未蒙其利、先受其害,使大好美意折損殆盡,不容掉以輕心。
國巨律師事務所合夥律師朱瑞陽表示,企業進行海量資料應用而衍生之個資侵權疑慮,多來自公開或封閉式社群網站、政府開放資料 (Open Data) 的間接蒐集行為,所以務先釐清蒐集資料來源與屬性,再依此對應不同的適用規範。
譬如 Open Data、LinkedIn 專業社群或臉書粉絲團的使用者公開資料,屬於「當事人自行公開或其他已合法公開之個人資料」,企業蒐集此類資料即可依據個資法第 9 條第 2 項規定而得免為在處理或利用前向當事人進行告知;同樣是臉書,若企業加入具隱私權設定的封閉社群,縱然可憑合法帳號進入社群獲取個資,然畢竟此社群使用者資料非屬公開,企業一旦逕自使用其個資,即可能構成違法蒐集與利用行為而負有法律責任。
國巨律師事務所初級合夥人蔡文玲建議,企業在評估個資遵循上,應考量四大面向,一是個資蒐集依據及告知事項是否完整說明,例如特定目的或提供利用對象是否盡可能羅列;二是利用個資的型態或活動是否符合特定目的範圍,甚至,若企業實務上有將個人資料再提供第三人利用,是否符合個資法第 20 條第 1 項所列事由;三是企業是否建立處理當事人權利行使事件的流程,以確保於法定期限內因應或答覆,而符合法律要求;四是從企業本身資料管理機制切入,確保委外監督事項具體約定與安全維護措施的落實,始能夠全面提升企業內部個資安全。
綜合前述原則,朱瑞陽強調提醒,即使企業確認其間接蒐集行為,確實合乎免告知規定,但並不表示可就此完全脫離個資法約束,仍須在特定目的範圍內從事資料處理或運用,採取適當安全維護措施並提供個資當事人權利行使管道。若遇應當事人提出刪除或停止處理、利用之要求,自身又無拒絕事由,即需在期限內回應處理,以免受罰。
以民間企業經營的評律網為例,其大量連結比對司法院法學資料檢索系統、法務部律師查詢系統的公開資料,進一步分析歸納,以利民眾查詢特定律師及其經手案件之審判結果,假如其間涉及個資揭露、而當事人要求刪除的話,評律網即有義務加以刪除;此一模擬情境,頗值得企業參考。
Comments
- Anonymous
October 19, 2014
做 Big Data 誤踩個資法紅線?國巨律師事務所傳授保身之道
資料等同於企業的現金,兼有正面與負面意涵。一方面,懂得善用資料的企業,便可望藉由海量資料 (Big Data) 擄獲巨大商機