資料當事人同意

「資料當事人同意」是個人資料保護法規中，處理個人資料最重要且最普遍的法律基礎之一。根據歐盟《一般資料保護規則》（GDPR）第4條第11款的定義，同意必須是資料當事人「自由提供、具體、知情且毫不含糊的」意思表示，透過聲明或清晰的肯定行動（clear affirmative action）來表達。這意味著企業不得使用預設勾選的選項或含糊不清的條款來取得同意。在台灣《個人資料保護法》第7條及第19條中，同樣強調「當事人同意」是蒐集、處理及利用非特種個資的主要合法事由。在ISO/IEC 27701（隱私資訊管理系統）的控制項中，管理與記錄有效的同意是確保組織問責性與合規性的核心要求。它與「履行契約所必需」、「法律明文規定」等其他法律基礎有別，賦予當事人最大的自主控制權。

在企業風險管理中，落實「資料當事人同意」機制是降低法規裁罰與商譽損失風險的關鍵。具體導入步驟如下：第一步，「設計顆粒化同意介面」：針對不同的資料處理目的（如行銷、數據分析、第三方共享），設計獨立的勾選選項，並提供連結至清晰易懂的隱私權政策，避免綑綁式同意。第二步，「建置同意記錄與管理系統」：導入同意管理平台（Consent Management Platform, CMP），或自行開發系統，以安全方式記錄每位用戶同意的版本、時間、方式與範圍，並確保記錄的可稽核性，以符合GDPR第7條第1款的舉證責任。第三步，「提供易於執行的撤回機制」：用戶應能隨時以和當初提供同意一樣簡便的方式撤回其同意。例如，在會員中心提供一鍵取消訂閱電子報的功能。台灣某大型電商平台導入CMP後，不僅合規率提升至99%，因同意爭議引發的客訴案件也減少了60%，成功通過年度外部隱私稽核。

台灣企業導入有效的「資料當事人同意」機制時，主要面臨三大挑戰：一、法規認知不足：許多企業仍沿用舊式「一攬子同意」條款，未意識到GDPR與台灣新法趨勢對「具體」、「知情」的高標準要求。二、技術整合困難：舊有IT系統缺乏管理用戶同意生命週期的功能，難以追蹤同意狀態，也無法在用戶撤回同意時，即時停止後端所有相關的資料處理活動。三、使用者體驗與合規的平衡：過於繁瑣的同意請求可能導致用戶反感或產生「同意疲勞」，反而降低了用戶的信任感。對策：針對挑戰一，應定期舉辦內部教育訓練，並委請專家進行隱私衝擊評估（PIA），釐清法規要求。針對挑戰二，優先導入同意管理平台（CMP），並規劃分階段的系統API對接，預計6個月內完成核心系統整合。針對挑戰三，採用「分層式隱私聲明」與「即時（Just-in-Time）通知」，在用戶即將提供資料的當下才跳出簡潔的同意請求，提升透明度與使用者體驗。

積穗科研股份有限公司專注台灣企業Data Subject Consent相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact