法律小常識

電子商務交易過程常需要顧客輸入個人資料，如何使商家合理取得、使用該等交易上必要資訊，又能兼顧顧客之隱私權，在網路交易頻繁之今日益顯重要。

早期的電腦處理個人資料保護法，已於民國99年5月26日經總統公布修正，並將名稱修改為「個人資料保護法」，並於民國101年10月1日開始施行。參照修正後的個人資料保護法，於第2條第1款明確定義個人資料「指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。」
已施行之個人資料保護法擴大適用範圍，包括公務機關以外的自然人、法人或其他團體等非公務機關，因此商家在網路上要求顧客提供個人資料，都要受個人資料保護法之規範，在蒐集、處理或利用個人資料時，應尊重當事人之權益，依誠實及信用方法為之，不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯。
商家要求顧客提供個人資料時，應先明確告知中小企業商家名稱、蒐集之目的、個人資料之類別、利用之期間、地區、對象及方式、商家不得事先約定要求拋棄對自己個人資料查詢或請求閱覽、請求製給複製本、請求補充或更正、請求停止蒐集、處理或利用及請求刪除之權利，及得自由選擇提供個人資料時，不提供將對其權益之影響等事項後，並得被蒐集者書面同意，始得為之，且須注意這邊所稱的書面同意，指當事人經蒐集者告知上述法定應告知事項後，所為允許之書面意思表示。
為便利資料蒐集者履行上述告知義務暨取得當事人同意，個人資料保護法施行細則第16條規定，依告知之方式，得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。施行細則第14條並規定，書面意思表示之方式，依電子簽章法之規定，得以電子文件為之，所以當事人可利用網際網路及資訊通信設備表示其同意之意思表示。
而在利用個人資料的目的為「行銷」時，資料蒐集者須踐行告知義務並取得當事人書面同意，法律上更要求此處的書面同意，須當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後，單獨所為之書面意思表示。且依施行細則第15條，單獨所為之書面意思表示，如係與其他意思表示於同一書面為之者，蒐集者應於適當位置使當事人得以知悉其內容並確認同意，以避免當事人疏忽而為概括同意。
舉例而言，中小企業若請民眾體驗試用品並協助填寫線上問卷，而問卷中除詢問民眾使用心得外，也會一併蒐集基本資料，若中小企業不但要利用這些資料作市場調查統計，也希望供其行銷之用，就要明確告知所蒐集資料不止用於原本蒐集的目的，日後還會利用這些資料寄發行銷訊息，然後讓當事人選擇是否接受。
此外，個人資料保護法第20條第2項、第3項規定當事人表示拒絕接受行銷時，應即停止利用其個人資料行銷。且於首次行銷時，應提供當事人表示拒絕接受行銷之方式，並支付所需費用。中小企業對於已蒐集的個人資料發送優惠與活動訊息或廣告電子郵件等，務請留意上述規定。
當商家保有顧客個人資料檔案時，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。若商家違反個人資料保護法的規定，導致顧客個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。此外，若無故洩漏因利用電腦或其他相關設備知悉或持有他人之秘密，也有可能涉及刑法第318條之1的刑事責任，不可不慎。

參考資料：
• 個人資料保護法（99.05.26）第2條、第3條、第5條、第7條、第8條、第19條、第20條、第27條、第29條
• 個人資料保護法施行細則（101.09.26）第14條、第15條、第16條
• 刑法（100.11.30）第318條之1