【讓專業的來】做Big Data、玩資料庫、不怕誤踩個資法地雷！

sql 軟體 windows server database microsoft 資料庫

luckymei 2014-05-14 17:23:42 ‧ 4700 瀏覽

分享至

做Big Data誤踩個資法紅線？
國巨律師事務所傳授保身之道

資料等同於企業的現金，凡是懂得善用資料的企業，可望藉由海量資料(Big Data)擄獲巨大商機，但企業若因資料蒐集、處理或利用而誤觸個資法，恐面臨法律究責，並負擔賠償責任，等於未蒙其利、反受其害；如何趨吉避凶？無疑是重要課題！

為此，對個資法鑽研甚深的國巨律師事務所，從不同角度剖析企業蒐集行為的適法性，以利企業在符合個資法相關規定下推展分析應用。該事務所合夥律師朱瑞陽表示，企業進行海量資料應用而衍生個資侵權疑慮，多來自公開或封閉式社群網站、政府開放資料(Open Data)的間接蒐集行為，所以務先釐清蒐集資料來源與屬性，再依此對應不同的適用規範。

國巨律師事務所初級合夥人蔡文玲則建議，企業在蒐集外部個資的同時，不妨從四個面向進行簡易評估，首先是否應進行告知及其內容，其次是個資利用型態是否符合經告知之範圍或個資法第20條第1項所列事由，另當事人權利處理程序是否建置，以及企業本身落實適當安全維護與委外監督的程度，以檢視適法性。

國巨律師事務所
提供海峽兩岸訴訟、非訟案件，最高品質的一站式法律服務

台北市八德路三段30號敦北長城大樓9樓
TEL: (02) 2577-6123
FAX: (02) 2577-6133
來信洽詢

系列全文閱讀
讓專業的來！值得倚靠的資料庫顧問團隊巡禮
 讓專業的來！值得倚靠的資料庫顧問團隊

做Big Data誤踩個資法紅線？國巨律師事務所傳授保身之道

資料等同於企業的現金，兼有正面與負面意涵。一方面，懂得善用資料的企業，便可望藉由海量資料(Big Data)擄獲巨大商機，但另一方面，若因蒐集與利用外部資料誤觸個資法，恐面臨法律究責而致現金減損；如何趨吉避凶？無疑是重要課題。

根據研究機構調查，凡是全方位利用資料的企業，即能從資料資產中實現額外60%報酬率，此報酬包含額外營收、成本撙節或生產力提升，無論成果為何，皆可通稱為「資料紅利」(Data Dividend)；意謂企業若能善用新的分析技術，藉由不同資料集而產生業務洞察，就可望躋身Big Data龐大商機的得利者。

在此前提下，海量資料躍為當今顯學，企業莫不期盼借助全新資料存取與分析系統，妥善駕馭愈趨複雜的結構資料或非結構資料，從中挖掘營運致勝線索。例如微軟甫推出的SQL Server 2014，除擅於整合多種資料結構、內建In-Memory高速運算效能，更提供與Microsoft Office連結的分析工具，使企業員工可輕鬆將周遭資訊轉換為環境智慧，便堪稱是驅動海量資料應用普及化的助力之一。

但問題來了，企業在採用強大工具、推動海量資料應用的同時，為充實資料分析的養分，亦將不可免俗蒐集大量外部資料，相關種種舉措是否合乎個資法？著實有待商榷。

下面的篇幅，將由對個資法鑽研甚深的國巨律師事務所現身說法，從不同角度剖析企業蒐集行為的適法性，並剖析企業在推展資訊分析應用業務下，應注意的個資法規遵循面向。

蒐集利用個資可憑四步驟檢證合法性
企業不可不知，若被認定為違法蒐集或逾越特定目的而利用個資，並涉及營利行為，從事該業務者即可能遭處最高五年有期徒刑，企業亦可能遭主管機關裁處罰鍰或負有民事損害賠償責任；所以可以肯定，一旦企業沈浸海量資料淘金美夢，卻觸犯個資法而不自知，唯恐未蒙其利、先受其害，使大好美意折損殆盡，不容掉以輕心。

國巨律師事務所合夥律師朱瑞陽表示，企業進行海量資料應用而衍生之個資侵權疑慮，多來自公開或封閉式社群網站、政府開放資料(Open Data)的間接蒐集行為，所以務先釐清蒐集資料來源與屬性，再依此對應不同的適用規範。

譬如Open Data、LinkedIn專業社群或臉書粉絲團的使用者公開資料，屬於「當事人自行公開或其他已合法公開之個人資料」，企業蒐集此類資料即可依據個資法第9條第2項規定而得免為在處理或利用前向當事人進行告知；同樣是臉書，若企業加入具隱私權設定的封閉社群，縱然可憑合法帳號進入社群獲取個資，然畢竟此社群使用者資料非屬公開，企業一旦逕自使用其個資，即可能構成違法蒐集與利用行為而負有法律責任。

國巨律師事務所初級合夥人蔡文玲建議，企業在評估個資遵循上，應考量四大面向，一是個資蒐集依據及告知事項是否完整說明，例如特定目的或提供利用對象是否盡可能羅列；二是利用個資的型態或活動是否符合特定目的範圍，甚至，若企業實務上有將個人資料再提供第三人利用，是否符合個資法第20條第1項所列事由；三是企業是否建立處理當事人權利行使事件的流程，以確保於法定期限內因應或答覆，而符合法律要求；四是從企業本身資料管理機制切入，確保委外監督事項具體約定與安全維護措施的落實，始能夠全面提升企業內部個資安全

綜合前述原則，朱瑞陽強調提醒，即使企業確認其間接蒐集行為，確實合乎免告知規定，但並不表示可就此完全脫離個資法約束，仍須在特定目的範圍內從事資料處理或運用，採取適當安全維護措施並提供個資當事人權利行使管道。若遇應當事人提出刪除或停止處理、利用之要求，自身又無拒絕事由，即需在期限內回應處理，以免受罰。

以民間企業經營的評律網為例，其大量連結比對司法院法學資料檢索系統、法務部律師查詢系統的公開資料，進一步分析歸納，以利民眾查詢特定律師及其經手案件之審判結果，假如其間涉及個資揭露、而當事人要求刪除的話，評律網即有義務加以刪除；此一模擬情境，頗值得企業參考。