| 要旨 |
一、健身OO會員合約書(範本),僅記載「…會員收到會員卡後,同意讓櫃臺服務人員照相存檔,以便於每次進入會所時核對身份。」故除「照片」外,應依個資法第8條第1項規定完整向當事人告知其他蒐集之個人資料類別(如生物特徵資料)。
二、健身OO與會員間訂立契約,基於會員服務及會所管理之特定目的,得依個資法第19條第1項第2款及第20條第1項本文規定,於履行契約必要範圍內蒐集、處理及利用會員之個人資料。惟該公司蒐集會員臉部辨識資料,是否確實為履行雙方契約必要之事項,應由主管機關本於權責審認。
|
| 主 旨 |
有關貴署所詢健身OO蒐集會員臉部辨識資料涉及個人資料保護法之適用一事,復如說明,請查照。 |
| 說 明 |
一、復貴署109年7月20日臺教體署設(三)字第1090023069A號函。
二、謹就貴署函詢重點及本會意見,說明如次:
(一)健身OO會員入會時之個資告知事項,僅說會蒐集電話、地址、姓名等資料,並未提及「照片」及「生物特徵」之蒐集,其告知書所揭露之利用對象亦僅提及「健身OO及其子公司」,未有第三方OO系統公司,其是否有違反個資法之虞?
1.按個資法第8條規定「公務機關或非公務機關依第15條或第19條規定向當事人蒐集個人資料時,應明確告知當事人下列事項:…三、個人資料之類別。四、個人資料利用之期間、地區、對象及方式。…(第1項)有下列情形之一者,得免為前項之告知:…五、當事人明知應告知之內容。…(第2項)」。
2.查來函所附之健身OO會員合約書(範本),僅4.(2)記載「…會員收到會員卡後,同意讓櫃臺服務人員照相存檔,以便於每次進入會所時核對身份。」故除「照片」應屬會員簽訂合約時即明知將蒐集之個人資料外,健身OO應按其蒐集、處理及利用個人資料之實際情形,依個資法第8條第1項規定完整向當事人告知其他蒐集之個人資料類別(如生物特徵資料);如有違反,依同法第48條第1款規定,應命限期改正,屆期未改正者,按次處新臺幣2萬元以上20萬元以下罰鍰。
3.至於OO系統公司究係受健身OO委託蒐集、處理及利用會員個人資料,而視同委託機關?(個資法第4條規定參照),抑或係立於蒐集機關之地位,自健身OO間接蒐集會員個人資料?應由貴署調查相關事實予以釐清,始得判斷是否屬應告知當事人事項(個資法第8條第1項第4款)。
(二)如會員不同意蒐集臉部特徵,健身OO是否應維持刷條碼進場的方式供會員使用?在可人工核身的情形下,刷臉進場是否與蒐集目的具正當合理關連、且具必要性?健身OO可否要求會員續約時必須同意蒐集臉部特徵,否則一概不得入會?
1.按個資法第19條第1項規定「非公務機關對個人資料之蒐集或處理,除第6條第1項所規定資料外,應有特定目的,並符合下列情形之一者:…二、與當事人有契約或類似契約之關係,且已採取適當之安全措施。…五、經當事人同意…」第20條第1項本文規定「非公務機關對個人資料之利用,除第6條第1項所規定資料外,應於蒐集之特定目的必要範圍內為之。…」
2.本案健身OO與會員間訂立契約,基於會員服務及會所管理之特定目的,得依個資法第19條第1項第2款及第20條第1項本文規定,於履行契約必要範圍內蒐集、處理及利用會員之個人資料。惟該公司蒐集會員臉部辨識資料,是否確實為履行雙方契約必要之事項,涉及事實認定及主管機關之監督管理,應由貴署本於權責審認。
3.倘經貴署審認蒐集會員臉部辨識資料非屬履行契約所必要,則健身OO得另基於當事人同意,依個資法第19條第1項第5款規定蒐集其臉部辨識資料,且應依個資法第8條規定踐行告知義務。至於會員續約時倘不同意健身OO蒐集其臉部辨識資料,則雙方是否締約應回歸契約自由原則。
|