書面授權

「書面授權」或稱「書面同意」，是指資料當事人透過簽署實體或電子文件，針對特定目的，自由且明確地表示同意其個人資料被蒐集、處理或利用的一種法律形式。此概念是資訊隱私權中「當事人自主決定」原則的具體實踐。依據台灣《個人資料保護法》第6條，原則上不得蒐集、處理或利用病歷、基因、性生活等敏感性個資，但「經當事人書面同意」者不在此限，足見其為處理敏感資料的合法性基礎。在國際法規中，歐盟GDPR第7條雖未強制「書面」，但要求同意必須是「明確肯定的行動」（clear affirmative action）並可供證明，書面形式是最強力的證據之一。在風險管理體系中，有效的書面授權是關鍵的控制措施，用以降低法規遵循風險，並在發生爭議時作為企業已盡告知義務與取得同意的直接證據，其法律效力遠高於默示同意或單純勾選方塊。

企業應將書面授權管理制度化，以有效控制個資處理的合規風險。第一步為「設計與審查」，需根據《個資法》第8條的告知義務，設計包含蒐集目的、資料類別、利用期間與地區等法定事項的授權同意書，並由法務審查確保文義清晰無歧義。第二步為「執行與記錄」，在蒐集個資前主動提供同意書，並取得當事人親筆簽名或符合《電子簽章法》效力的電子簽署。所有授權紀錄應依循ISO 27701控制項A.7.3.1「同意的取得與記錄」要求，建立集中化管理系統，詳實記錄授權時間、版本與範圍。第三步為「管理與撤回」，必須建立便利的管道，如線上隱私中心，讓當事人能隨時查詢、閱覽或依據GDPR第7(3)條行使其撤回同意的權利，且撤回程序應與同意程序同樣簡易。透過此流程，企業可將因授權爭議引起的客訴率降低約40%，並顯著提升內部稽核與外部驗證的通過率。

台灣企業在導入書面授權制度時，主要面臨三項挑戰。其一，「法規認知模糊」，許多企業誤解《個資法》要求，使用「一概而論」的概括式同意條款，此類授權因目的不明確而可能被認定無效。對策是委請法務或外部顧問，針對不同業務場景設計專屬的同意書範本，並對第一線人員進行教育訓練，預計30天內完成。其二，「紙本與數位記錄整合困難」，行銷活動的紙本問卷與網站會員的線上註冊，其授權記錄分散兩處，難以統一管理與舉證。解決方案是導入同意管理平台（Consent Management Platform, CMP），將紙本授權掃描歸檔，並與線上同意記錄整合，建議資訊部門於90天內完成評估與導入。其三，「撤回權利機制闕如」，多數企業未提供當事人簡易的撤回同意管道，違反GDPR等國際主流法規。應對之道是在官網或App建立隱私管理專區，提供一鍵撤回功能，此專案應由IT與行銷部門協作，於60天內上線。

積穗科研股份有限公司專注台灣企業written authorization相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact