明確同意

「明確同意」（Unequivocal consent）是源自歐盟《通用資料保護規則》（GDPR）前身《資料保護指令 95/46/EC》的一項關鍵法律概念。它要求資料當事人的同意必須透過一項「清楚的肯定性行動」（clear affirmative action）來表示，不能有任何模稜兩可的空間。根據GDPR第32條釋義（Recital 32），這意味著沉默、預設勾選的方塊或不作為，皆不能構成有效的同意。有效的同意方式包括：在網站上主動勾選一個未預選的方塊、選擇特定的技術設定，或任何其他能清楚表明接受特定資料處理的聲明或行為。在風險管理體系中，它是確保「合法性、公平性與透明性」原則（GDPR第5條）的基石。相較於台灣《個人資料保護法》第7條的「書面同意」，「明確同意」更強調當事人主動、具體的行為證據，對企業的舉證責任要求更高。

在企業風險管理中落實「明確同意」，需建立系統化的同意管理機制，以降低合規風險。具體步驟如下：第一步，進行「資料對應與盤點」，識別所有蒐集個人資料的接觸點（如網站註冊、App、線下活動），並確認各項處理活動所需的法律依據是否為「同意」。第二步，設計「符合規範的同意介面」，在使用者介面（UI）上提供清晰、分層的隱私權告知事項，使用未預設勾選的核取方塊，並針對不同處理目的（如行銷、分析）提供獨立的同意選項。第三步，建立「同意生命週期管理系統」，應採用同意管理平台（CMP）或自行開發工具，詳實記錄同意的版本、時間戳、IP位址及當事人資訊，並提供當事人易於操作的撤回同意管道（GDPR第7條）。導入此類機制的企業，不僅能將隱私相關客訴降低超過30%，更能確保在監管機構審計時，合規舉證率達到95%以上，有效降低法律與商譽風險。

台灣企業導入「明確同意」原則時，主要面臨三大挑戰。首先是「法規認知落差」，許多企業仍依循台灣《個資法》的習慣，認為取得概括性同意即可，未能理解GDPR對同意的顆粒度與舉證責任有更高要求。其次是「技術整合困難」，舊有的資訊系統（Legacy Systems）通常缺乏記錄與管理精細同意選項的功能，改造或導入新系統（如CMP）需要高昂的技術與資金成本。第三是「使用者體驗與轉換率的權衡」，過於繁瑣的同意請求流程可能導致使用者放棄註冊或購買，影響業務目標。為克服這些挑戰，建議的優先行動項目為：一、進行「資料保護衝擊評估」（DPIA），釐清法規適用範圍與風險，作為資源投入的依據（預計時程：1-2個月）。二、分階段導入「同意管理平台」，優先應用於高風險或面向歐盟用戶的業務。三、採納「隱私設計」（Privacy by Design）原則，將使用者友善的同意選項融入服務流程，而非事後強加，以兼顧合規與體驗。

積穗科研股份有限公司專注台灣企業unequivocal consent相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact