讓專業的來 - 做 Big Data 誤踩個資法紅線？國巨律師事務所傳授保身之道

資料等同於企業的 現金，兼有正面與負面意涵。一方面，懂得善用資料的企業，便可望藉由海量資料 (Big Data) 擄獲巨大商機，但另一方面，若因蒐集與利用外部資料誤觸個資法，恐面臨法律究責而致現金減損；如何趨吉避凶？無疑是重要課題。

根據研究機構調查，凡是全方位利用資料的企業，即能從資料資產中實現額外 60% 報酬率，此報酬包含額外營收、成本撙節或生產力提升，無論成果為何，皆可通稱為「資料紅利」(Data Dividend)；意謂企業若能善用新的分析技術，藉由不同資料集而產生業務洞察，就可望躋身 Big Data 龐大商機的得利者。

在此前提下，海量資料躍為當今顯學，企業莫不期盼借助全新資料存取與分析系統，妥善駕馭愈趨複雜的結構資料或非結構資料，從中挖掘營運致勝線索。例如微軟甫推出的 SQL Server 2014，除擅於整合多種資料結構、內建 In-Memory 高速運算效能，更提供與 Microsoft Office 連結的分析工具，使企業員工可輕鬆將周遭資訊轉換為環境智慧，便堪稱是驅動海量資料應用普及化的助力之一。

但問題來了，企業在採用強大工具、推動海量資料應用的同時，為充實資料分析的養分，亦將不可免俗蒐集大量外部資料，相關種種舉措是否合乎個資法？著實有待商榷。

下面的篇幅，將由對個資法鑽研甚深的國巨律師事務所現身說法，從不同角度剖析企業蒐集行為的適法性，並剖析企業在推展資訊分析應用業務下，應注意的個資法規遵循面向。

蔡文玲建議，企業在評估個資遵循上，應考量四大面向，一是個資蒐集依據及告知事項是否完整說明，例如特定目的或提供利用對象是否盡可能羅列；二是利用個資的型態或活動是否符合特定目的範圍，甚至，若企業實務上有將個人資料再提供第三人利用，是否符合個資法第 20 條第 1 項所列事由；三是企業是否建立處理當事人權利行使事件的流程，以確保於法定期限內因應或答覆，而符合法律要求；四是從企業本身資料管理機制切入，確保委外監督事項具體約定與安全維護措施的落實，始能夠全面提升企業內部個資安全

蒐集利用個資　可憑四步驟檢證合法性

企業不可不知，若被認定為違法蒐集或逾越特定目的而利用個資，並涉及營利行為，從事該業務者即可能遭處最高五年有期徒刑，企業亦可能遭主管機關裁處罰鍰或負有民事損害賠償責任；所以可以肯定，一旦企業沈浸海量資料淘金美夢，卻觸犯個資法而不自知，唯恐未蒙其利、先受其害，使大好美意折損殆盡，不容掉以輕心。

國巨律師事務所合夥律師朱瑞陽表示，企業進行海量資料應用而衍生之個資侵權疑慮，多來自公開或封閉式社群網站、政府開放資料 (Open Data) 的間接蒐集行為，所以務先釐清蒐集資料來源與屬性，再依此對應不同的適用規範。

譬如 Open Data、LinkedIn 專業社群或臉書粉絲團的使用者公開資料，屬於「當事人自行公開或其他已合法公開之個人資料」，企業蒐集此類資料即可依據個資法第 9 條第 2 項規定而得免為在處理或利用前向當事人進行告知；同樣是臉書，若企業加入具隱私權設定的封閉社群，縱然可憑合法帳號進入社群獲取個資，然畢竟此社群使用者資料非屬公開，企業一旦逕自使用其個資，即可能構成違法蒐集與利用行為而負有法律責任。

國巨律師事務所初級合夥人蔡文玲建議，企業在評估個資遵循上，應考量四大面向，一是個資蒐集依據及告知事項是否完整說明，例如特定目的或提供利用對象是否盡可能羅列；二是利用個資的型態或活動是否符合特定目的範圍，甚至，若企業實務上有將個人資料再提供第三人利用，是否符合個資法第 20 條第 1 項所列事由；三是企業是否建立處理當事人權利行使事件的流程，以確保於法定期限內因應或答覆，而符合法律要求；四是從企業本身資料管理機制切入，確保委外監督事項具體約定與安全維護措施的落實，始能夠全面提升企業內部個資安全。

綜合前述原則，朱瑞陽強調提醒，即使企業確認其間接蒐集行為，確實合乎免告知規定，但並不表示可就此完全脫離個資法約束，仍須在特定目的範圍內從事資料處理或運用，採取適當安全維護措施並提供個資當事人權利行使管道。若遇應當事人提出刪除或停止處理、利用之要求，自身又無拒絕事由，即需在期限內回應處理，以免受罰。

以民間企業經營的評律網為例，其大量連結比對司法院法學資料檢索系統、法務部律師查詢系統的公開資料，進一步分析歸納，以利民眾查詢特定律師及其經手案件之審判結果，假如其間涉及個資揭露、而當事人要求刪除的話，評律網即有義務加以刪除；此一模擬情境，頗值得企業參考。