在健身中心，如果教練詢問你姓名、年齡、身高、體重等資訊，你不會覺得奇怪，因為可能他想設計一符合需要的課程；至如教練進一步問有那些好友、常與誰通電話，甚至要你提供生活照片，你就會警覺、猶豫，甚至拒絕提供。

另一方面，有趣的是，不少人為了健身，會在網路商店下載App，以最簡單的計步器為例，如有意下載，系統會徵訊對特定事項的存取權，一般人通常就迅速點擊同意，以利下載。但如仔細閱讀，會發現同意存取的範圍除個人資料、位置外，還包括多媒體及照片檔案、WiFi連線資訊、通話資訊，甚至有的還要連絡人資料。計步器App的開發商為何需要有許多與健康不相干資訊的存取權？在數位時代的消費者為何會隨意答應釋出許多有關隱私的資訊？

個資的蒐集、處理、利用，在現代儲存成本降低、分析工具精進、資料來源劇增（大數據）的加持下，可以對社會有正面的貢獻。例如可從事大規模更精確的學術研究、歸納分析消費行為衍生高品質的服務、有效率追查犯罪，增進公共利益等。但隨科技的進步，個資亦有可能被濫用，輕則用以商業行銷騷擾個人生活，重則淪為犯罪工具遂行不法、成為統治工具加強箝制等。

早在二十多年前，當人類社會開始以電腦大量儲存、處理個人資料時，各國就開始對個資保護的立法，例如早期德國的Datenschutzgesetz、歐盟的Data Protection Directive以及我國的「電腦個人資料保護法」皆屬之。

經過多年發展，各國有關個資保護的法律，雖標準不盡一致，但基本上對公務或非公務機關蒐集、處理、利用個人資訊，原則上會遵守兩項遊戲規則，其一是基於特定目的，其二是須經當事人同意。我國前述民國84年的舊法以及民國99年修正並更名的「個人資料保護法」（依第56條規定由行政院另訂施行日期為101年10月），都依循此兩項基本要求。

但在目前以下載App為生活常態的世界，這兩項原則都發生適用上的偏差。首先消費者鮮少看到App開發商有說明要求存取權之目的，而其適用是否涵蓋處理及利用（簡言之，就是整理、分析、出售、行銷等）？但這點廠商尚可補正或辯解。然而對當事人同意一項，就有點不符「誠實信用原則」。

絕大多數的消費者，在下載（購買）App時，是不加思索點擊同意欄，縱然閱讀後有所猶豫，消費者亦只能選擇下載或拒絕安裝，不像平日以書面進行定型化契約時，可以勾選不同意蒐集、利用，但仍然可以完成商品或服務的簽約行為。此外，依個資法第7、8條，蒐集者（廠商）尚應告知本身的名稱、如何行使第3條的權利、資料的類別，以及利用的期間、地區、對象及方式，在實務上這也是多數廠商易於忽略的事項。

其中最嚴肅的是，依第3條規定，消費者有權要求停止蒐集、處理、利用其資訊，亦可要求廠商刪除其資訊，尤其是後者，自從去年5/13歐盟法院肯定Right to be forgotten後，已是國際個資保護的基本權，但在目前App使用實務上，消費者根本不知廠商的名稱、地址及通知方式，而且在跨國因素的障礙下，消費者維護個資，恐怕相當辛苦。

兩年多前的史諾登事件，以及上個月發生的巴黎恐攻事件，都引發西方國家熱烈討論隱私與國家安全平衡的議題，台灣在討論此等高層次問題前，應該先練些基本功夫，包括如何落實個資法第3條的權利，廠商也應思考Privacy by Design，也就是在個資蒐集利用的系統設計上，就預設最大限度的保護，而對PIA（隱私衝擊評估）也應列為業務推展的優先基礎工作。

新聞出處：本文刊載於2015.12.22經濟日報