國內外《個資法》法令及標準比一比

近期傳出電商巨擘亞馬遜疑似因濫用使用者隱私內容，違反歐盟 GDPR（一般資料保護規範）而被盧森堡政府罰款 7.46億歐元。2019年，Google也曾因隱私權政策不透明、揭露資訊不完整，使用戶難以全盤了解個資被使用之用途方式，在未充分告知下，Google逕自處理其個資並用於發送個人化廣告，被法國資料主管機關 CNIL認定違反 GDPR，判罰 5千萬歐元。

史上最嚴的《個資保護法》恐將易主

於個資蒐集、處理及利用時未遵循法令法規而遭罰之案例在台灣也時有所聞，曾有保險經紀人在網站上蒐集個資卻無個資告知聲明，因而違反台灣個資法遭行政裁罰。此外，剛於2021年8月20日通過的《中華人民共和國個人信息保護法》，將於 2021年11月1日 施行更甚 歐盟一般資料保護規範（GDPR）【延伸閱讀：台灣企業應該如何面對史上最嚴個資法 GDPR】嚴厲的規範，亦採取長臂管轄，對於設立於境外，但對於中國境內之當事人提供商品或服務，或監控其行為者，都適用該法。也就是即使在大陸未設有據點的台灣企業、組織也可能受到規範。若誤觸紅線，如同 GDPR亦採取重罰，最重可裁罰 5000萬人民幣或上一年度營業額 5%罰款，所以須特別留意該國《個資保護法》的個資告知與聲明，小心不誤踩界線了。

國內外指標個資法「告知義務」一覽表

針對企業應善盡個資告知之義務，實務上若有所疏忽，對於企業將有重大影響，台灣企業究竟該注意些什麼？以下分別就《台灣個資法》、《國際標準 ISO 27701》及《中國個人信息保護法於個資告知義務之要求》三者進行說明。

法令/標準	我國《個人資料保護法》	《ISO 27701 隱私保護國際標準》	《中華人民共和國個人信息保護法》
告知義務	於蒐集、處理及利用個資時，應履行告知義務，明確告知個資當事人蒐集機關的名稱、蒐集目的、資料類別、利用期間、地區、對象、方式及當事人可以主張的權利等。	個資處理目的、PII控制者或其代表之聯絡細節、關於處理之法律依據、何處間接取得 PII資訊、未能提供 PII的可能後果、對 PII當事人義務之資訊及當事人權益(請求存取、修改、更正、抹除、取得副本、反對處理)、PII當事人如何當事人如何撤回同意之資訊、PII傳輸之資訊、PII接收者之資訊、PII保存期限、PII自動化處理與決策之資訊、提出抱怨之權利及如何提出之資訊等	境外接收方的名稱或者姓名、聯繫方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式和程序等事項，並取得個人的單獨同意。
法條＆條文	第3條 當事人就其個人資料依本法規定行使之下列權利，不得預先拋棄或以特約限制之： 一、查詢或請求閱覽。 二、請求製給複製本。 三、請求補充或更正。 四、請求停止蒐集、處理或利用。 五、請求刪除。	A.7.3 對 PII 資料主體的義務 A.7.3.1 確認並履行 PII 資料主體義務 A.7.3.2 確認 PII 資料主體的資訊 A.7.3.3 提供資訊給 PII 資料主體 A.7.3.4 提供修改或撤回同意的機制 A.7.3.5 提供對處理其 PII 反對的機制 A.7.3.6 近用、修正及 / 或刪 除 A.7.3.7 PII 控制者通知第三 方之義務 A.7.3.8 提供 PII 處理的複製本 A.7.3.9 要求處理 A.7.3.10 自動化決策	第17條 個人信息處理者在處理個人信息前，應當以 顯著方式、清晰易懂的語言真實、準確、完整地向個人告知下列事項： （1）個人信息處理者的名稱或者姓名和聯繫方式； （2）個人信息的處理目的、處理方式，處理的個人信息種類、保存期限； （3）個人行使本法規定權利的方式和程序； （4）法律、行政法規規定應當告知的其他事項。 前款規定事項發生變更的，應當將變更部分告知個人。 個人信息處理者通過制定個人信息處理規則的方式告知第一款規定事項的，處理規則應當公開，並且便於查閱和保存。
	第8條 蒐集個人資料時告知義務及告知事項： 一、公務機關或非公務機關名稱。 二、蒐集之目的。 三、個人資料之類別。 四、個人資料利用之期間、地區、對象及方式。 五、當事人依第3條規定得行使之權利及方式。 六、當事人得自由選擇提供個人資料時，不提供將對其權益之影響。	-	第39條　 個人信息處理者向中華人民共和國境外提供個人信息的，應當向個人告知境外接收方的名稱或者姓名、聯繫方式、處理目的、處理方式、個人信息的種類以及個人向境外接收方行使本法規定權利的方式和程序等事項，並取得個人的單獨同意。

個資告知義務的3大重點

參酌上述 ISO 顧問所整理的個資保護法令及標準，可理解到國際趨勢皆強烈管控個資當事人權益，亦即 當事人有權決定是否、在何種範圍、何時、以何種方式、向何人揭露其個人資料。換言之，台灣企業在蒐集資料前，必須向當事人善盡告知義務。

1. 充分告知的重要性
   以本文開頭提及 Google 因逕自處理其個資並用於發送個人化廣告而遭法國資料主觀機關判罰5千萬歐元為例，無論蒐集個資之當事人是境內或境外之自然人，應於蒐集、處理(利用)個資時，履行告知義務，應明確告知個資當事人蒐集機關的名稱、蒐集目的、資料類別、利用期間、地區、對象、方式及當事人可以主張的權利等。
2. 內容須明顯、清晰易懂
   在進行告知時務必留意是否內容及形式易於讓個資當事人理解，以本月(8月)剛通過的《中華人民共和國個人信息保護法》為例來說，當中亦要求 ”應當以顯著方式、清晰易懂的語言真實、準確、完整地向個人告知”，現行台灣個資法未如此細緻的要求，建議台灣企業應多加留意現行之隱私權政策及聲明是否符合要求。
3. 取得個資當事人書面同意
   可參照台灣個資法施行細則第16條：「得以言詞、書面、 電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。 」，因此，蒐集、處理及利用個資時，必須先依個資法第8、9條規定，明確告知當事人法定告知事項後，並取得當事人之書面同意，同意的形式應避免只有當事人口頭同意，確保雙方權益。

了解更多 ISO 27701 個資保護規範

領導力企管提供 ISO/IEC 27701：2019 的全方位解決方案，包括 ISO/IEC 27701 條文教育訓練（Training）、ISO/IEC 27701 程序書建置（Implementing）、 驗證（Certification）、維護（Maintaining）4大完整流程，協助建立一套專屬的  ISO/IEC 27701 個資隱私保護國際標準。最終產出符合規定的程序書、紀錄等相關文件，順利通過第三方驗證機構認證後，取得國際公信力的 ISO/IEC 27701：2019 證書。 歡迎立即 與我們聯繫。