傳銷事業舉辦活動蒐集個人資料的注意事項

換言之，若 A 業者為舉辦此競賽而與醫療院所合作，透過醫師或其他醫事人員取得會員之生理數據資訊，則所得資訊可能屬於特種個人資料，否則，如是由會員自行操作器材所取得的生理數據，應屬一般個人資料。

告知與同意之落實

依據「多層次傳銷業訂定個人資料檔案安全維護計畫及業務終止後個人資料處理方法作業辦法」規定，多層次傳銷事業於完成報備後二個月內，應訂定個人資料檔案安全維護計畫及業務終止後個人資料處理方法。

故目前大部分的傳銷事業應該都訂有相關規定，執行時也應該都會依個人資料保護法第 8 條第 1 項，在蒐集傳銷商的個資前，告知相關事項並取得同意。

但需注意，一般業者在訂定相關規定時，通常都是在「行銷」及「履約」等目的下，並以蒐集、處理、利用「一般個人資料」為範圍。比較少見在傳銷商申請加入時，業者就會告知兼含以「研發產品」為目的蒐集個資。

因此，就上開案例而言，當業者隨著業務推展，欲於舉辦競賽時，同時將研發產品作為生理數據蒐集目的之一時，業者就有必要再一次向傳銷商告知本次蒐集個資目的包含「研發產品」，才會符合個人資料保護法的要求。

又業者在明確告知後，依個人資料保護法第 19 條第 1 項第 5 款規定（在上開案例情境下，較難適用同條項其他款事由），應取得當事人之「同意」。雖然依同法第 7 條第 3 項規定，業者在告知後，如當事人未表示拒絕並已提供個資時，推定當事人已表示同意。

但由於此僅有「推定」效力，且主管機關認為業者應以個別通知之方式使當事人知悉，不得以單純擺設（張貼）公告或上網公告之概括方式為之[2]。故實務上，為避免爭議，可見業者是乾脆將告知事項及同意與否製作成書面或電子文件，讓傳銷商簽字，作為自保存證之方式。

至於若業者是要取得「特種個人資料」時，依個人資料保護法第 6 條第 1項第 6 款規定（在上開案例情境下，較難適用同條項其他款事由），更要取得當事人之「書面同意」（依據個人資料保護法施行細則第 14 條，此項書面同意得以電子文件為之）。

AI 運用及國際傳輸之因應

此外，依照上開案例，A 傳銷公司蒐集個資的目的包含分析、研擬將來的行銷策略。目前由於使用 AI 作為策略分析工具益發普遍，又或者有越來越多企業選擇將檔案資料上傳雲端儲存。但由於 AI 或雲端服務業者未必有在台灣落地，故當 A 傳銷公司使用他們提供的服務時，其實很可能相關資料是會被傳送到國外，而此時就會涉及個人資料的國際傳輸。

再者，A 傳銷公司在會員參加之初蒐集其等個資時，也未必會告知將來會將所蒐集到的個資交付給第三人（AI 或雲端服務業者），且該第三人未在國內落地。

依據個人資料保護法第 8 條第 1 項第 4 款規定，告知事項包含個人資料利用之期間、地區、對象及方式。又依據多層次傳銷業訂定個人資料檔案安全維護計畫及業務終止後個人資料處理方法作業辦法第 6 條之 2 規定：「多層次傳銷事業進行個人資料國際傳輸前，應檢視有無本會依本法第二十一條規定所為國際傳輸之限制，並告知傳銷商其個人資料所欲國際傳輸之區域，同時對資料接收方為下列事項之監督：一、預定處理或利用個人資料之範圍、類別、特定目的、期間、地區、對象及方式。二、當事人行使本法第三條所定權利之相關事項。」

從而，業者以往若未曾告知傳銷商，其所蒐集到的個資可能會交付給第三人，且該第三人未在國內落地，但嗣後卻有此需求時，例如上開案例中 A 傳銷公司，則 A 傳銷公司在傳銷商報名時，即應告知將來相關資料可能會提供給雲端服務業者且可能會涉及國際傳輸。

告知時只需將已知資訊進行適度描述已足，尚無須詳列未知之資訊，亦即，蒐集者應就其利用個人資料之範圍及可能將資料移轉對象之類別，提供合理程度之確定性[3]。最後當然仍須依個人資料保護法第 19 條第 1 項第 5 款規定，取得傳銷商同意。而最佳的存證方法，就是在報名的書面文件或電子文件中有相關的記載，並有傳銷商的簽字或點選同意的紀錄，以避免爭議發生。

此外，如涉及使用電腦或自動化機器相關設備蒐集、處理或利用個人資料時，例如使用 AI 進行個人資料的分析等，則應注意依多層次傳銷業訂定個人資料檔案安全維護計畫及業務終止後個人資料處理方法作業辦法第 6 條第 1 項第 1 款規定，另應訂定使用可攜式設備或儲存媒介物之規範。

陳一銘

現任：萬國法律事務所合夥律師、中華直銷法律學會理事、台北地方法院勞動調解委員、桃園地方法院勞動調解委員。

專長：多層次傳銷、商業及經營權紛爭、勞資權益、證券及信託事件、一般民刑事及行政訴訟。

國家發展委員會107年11月21日發法字第1072002136號函。