◎前言：

社會創新組織以創新的方式或商業模式解決社會問題、達成社會使命，在各種行銷、宣傳、提供商品服務等推廣社會創新的同時，皆涉及大量個人資料（下稱個資）的蒐集、處理及利用，因此需瞭解個人資料保護法（下稱個資法）相關規定，以免造成糾紛。

◎哪些資料會被認為是個資？

 
依個資法第2條規定，個人資料包含：

其中個資法特別規定「其他得以直接或間接方式識別該個人之資料」亦為個資範圍。依個資法施行細則第3條規定，所謂「得以間接方式識別」，指雖然無法從該資料直接識別身分，但如果把該資料與其他資料對照、組合、連結後，仍可識別個人身分。例如：信用卡或金融卡的卡號，因為記名的特性實際可識別特定個人，所以「卡號」本身亦屬於個資。

◎針對個資使用應注意什麼？

個資法賦予非公務機關的法定義務，主要分為蒐集、處理、利用三個層面。

首先必須完成兩步驟：

 
步驟一：告知：明確告知當事人（個資擁有者）下列資訊：

步驟二：獲得當事人同意：

告知並獲得當事人同意後才能開始蒐集、利用、處理個資，以一般個資來說，常見方式為「個資聲明」及「服務條款」，讓使用服務者簽署或勾選同意方格，以便留存相關紀錄，也利於日後發生爭議時可進行舉證。

針對個資的「利用」應注意：

對於個資的利用，原則只能在已告知當事人蒐集個資的特定目的範圍內進行利用，且依個資法第3條規定，當事人就他的個資可隨時「查詢或請求閱覽」、「請求製給複製本」、「請求補充或更正」、「請求停止蒐集、處理或利用」及「請求刪除個資」，這些當事人權利必須於蒐集時為明確告知，亦不能透過合約條款讓人預先拋棄或以其他約定進行限制。

另外需特別注意，有些特別敏感的資料屬於「特種個資」，如病歷、醫療、基因、性生活、健康檢查及犯罪前科等，這些資料除非符合法律規定的例外情形（例如：法律要求提供、當事人自行公開等），否則不得蒐集、處理或利用。

◎社會創新組織利用個資進行網路行銷時會有什麼限制？

電子商務蓬勃發展下，社會創新組織仰賴網路平台進行行銷或商品交易，過程中經手大量個資，如前所述，蒐集預計用於網路行銷的個資時，應告知：

• 蒐集單位，即社會創新組織名稱
• 蒐集目的，即網路行銷、個人資料類別（如電子郵件、電話等）
• 個資利用期間、地區、對象及方式（行銷期間多久、會如何進行行銷等）
• 當事人得行使的權利（如請求停止蒐集、處理或利用或請求刪除個資等）

當事人受告知表示同意並提供其個資後，才能進入個資「利用」的階段，社會創新組織可在「網路行銷」這個特定目的範圍內就所蒐集的個資進行利用，不得將個資用於其他用途，如果日後因商業模式增加其他用途，必須再踐行告知程序(例如：通知變更使用條款等方式)。

什麼是當事人的拒絕行銷權？當事人還有什麼其他權利？

依個資法第20條，個資用於「行銷」目的時有特別規定，舉例來說，首次利用顧客個資行銷時，應表明顧客可以隨時拒絕接受行銷，如於廣告電子郵件中註明可隨時取消訂閱，顧客若按下廣告郵件中「取消訂閱」選項，則不得再寄送行銷廣告郵件。顧客亦可隨時主張前述個資法第3條所賦予的權利，例如請求刪除已蒐集的個資。

◎小結

為進行正常社會活動，不可避免會將個資提供給他人使用，但隨著隱私權意識逐漸抬頭，愈來愈多人關注個資是否受到合理、合法的蒐集或利用，尤其社會創新組織負有社會使命，所以對於涉及隱私權保障的個資議題，更應審慎對待，個資法規定看似複雜，其實最核心的概念就是「告知」以及「同意」，在提供消費者商品或服務時，應隨時檢視遵守個資法規定，避免導致相關民事損害賠償及刑事責任。