巨量資料應用在台灣個資法架構下的法律風險

106

要合法，必須符合特定目的、具有法定要件與履行告知義務三項前提。案例中資料使

用者所蒐集之個人資料，如屬以往來客戶或是業務範圍內（例如

Google

在線上蒐集

客戶的活動資料），符合特定目的範圍內較無問題，且可視為雙方具有契約或類似契

約之關係，應該可滿足第二個要件，最後一個要件為蒐集前必須履行告知義務。若依

據我國個資法第

8

條規定，資料蒐集時就必須向資料當事人說明至少七項重要事項，

但由統計發現，蒐集之方式雖以直接向資料當事人蒐集者居多（約

73%

）（見表

2

），

但大部分都是在資料當事人不知情或是沒有事先同意情況下所為之蒐集，雖符合我國

個資蒐集前兩項要件，但可能無法滿足個資法第

8

條與第

9

條所要求之告知義務。

我國個資法第

11

條第

3

項，規定當特定目的消失或期限屆滿時，應刪除、停止

處理或利用該個人資料。約六成的案例在契約有效期間內，但其餘

40%

可能涉及過去

客戶的資料。依據規定，除非證明有上述例外之情形（如客戶已事前同意），否則就

不能再繼續保有或是處理利用這些「過去客戶」的資料。顯現這些巨量資料應用案例

中，有不小的比率與我國個資法第

11

條適用有牴觸之疑慮。此外，在這些使用到個

資案例中，大部分被利用來從事商業行銷用途（約

63%

），依據我國個資法第

41

條

罰則規定，意圖為自己或第三人不法之利益或損害他人之利益者罰則將加重。

表

2

屬個人資料個案性質分析表

個資使用狀況

案例數

比率

屬匿名資料

3

5.26%

取得事先同意

7

12.28%

屬行銷個案

36

63.16%

直接蒐集

42

73.68%

屬公開資料

4

7.02%

當事人事先知情

7

12.28%

在契約期間內

34

59.65%

合計

57

100%

二、國內個案適法性分析

本研究另以國內某中大型金融機構

16

對其存款客戶資料進行實際分析個案為例。

本個案資料類別超過

100

項以上，包括

1.

個人基本資料（如

ID

、性別、地址等）。

2.

與本機構之交易資料：包括各項交易之次數、交易時間、交易金額等。

3.

非本機構交

易資料：如薪轉公司、保險交易（產險、壽險）、共同基金交易等。該金融機構整理

16

該金融機構為國內中大型銀行，全國分行數超過

80

個以上，信用發行量為前十名以內之金融機構。