.jpg)
最近筆者被問及關於公司隱私權政策制定之標準,有沒有特定格式或應記載內容。於是筆者在Google上查詢一番,還真的是各種寫法都有,雖然也可以說是大同小異,可見大部分公司在草擬隱私權政策時,也做足了事前的功課,截長補短再加以客製化。然而隱私權政策條款的法律要求是什麼?他和個資蒐集同意書有甚麼不同呢?
按我國個人資料保護法(下稱「個資法」)是沒有對於隱私權政策條款做特別要求的,因此多半各公司(甚至主管機關)就利用這個聲明,簡單說明公司對於資料的處理方式及保護,可能包含cookie使用等等。其目的應該是讓進入網站(隱私權政策條款多半放在網站上)的使用者提了解公司對於隱私權的重視與處理態度。然而由於法律沒有特別規定應記載的內容,故公司得以各自表述,只要不違反法令規定就好。
然而個資法對於依法進行個資蒐集時應告知個資蒐集主體當事人之事項,是有明文規定的。按照個資法第八條應告知事項如下:
一、公務機關或非公務機關名稱。
二、蒐集之目的。
三、個人資料之類別。
四、個人資料利用之期間、地區、對象及方式。
五、當事人依第三條規定得行使之權利及方式。
六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
筆者也看過公司的隱私權政策條款就直接環繞著上訴法定要求告知事項擬定而成,直言之這也不失為一個制定隱私權證操條款的好方法,畢竟這是法律明文規定於個資蒐集時應告知之事項,其實說到底了隱私權政策條款與個資蒐集同意書也可以看成同一件事情,或是說以一份文件就可以處理完成的事項。且由於目前(除個資法第六條敏感個資外)當事人的同意可推定取得(然未免爭議,仍建議蒐集明確表示之同意,例如以勾選方式表示同意)。
然而須注意
不得僅(於網站)載明(參考各家公司網站上完成的)隱私權政策條款(除非隱私權政策條款已完整包含法定隱私權蒐集告知事項),而忽略法定隱私權蒐集告知事項(常見情況為將其納入實務上的個資蒐集同意書)。
至於全球個資法圭臬歐盟個人資料保護法(GDPR)對於蒐集個資時應提供的資訊,與我個資法相較更為廣泛而細緻(GDPR第十二條至第十四條規範),並要求以簡單、透明、易懂(視個資主體之理解力)之方式,也對於是否直接從資料主體取得之個資而有不同通知方式。通常(受GDPR管轄之)跨國公司網站上的隱私權政策條款即包含法定規範內容,另外設置讓資料主體清楚主動表示同意(勾選)的方式完成個資合法蒐集。
以上就我國個資法與GDPR就隱私權政策條款與個資蒐集同意書做一簡單討論,其
最主要的是將法令規範應記載個資蒐集時告知事項完整紀載,至於將其包含在隱私權政策條款或是個資蒐集同意書中可擇一為之。
