美商如新個資授權同意書怎麼寫？健康保健品和陪跑服務的個資蒐集範圍？

壹、案件摘要

委託人擬針對美商如新公司（以下簡稱「如新公司」）之健康保健品及健康陪跑服務，擬定個人資料授權同意書。本案涉及個人資料保護法（以下簡稱「個資法」）之適用，需確保同意書內容符合法定要求，保障當事人權益並使如新公司得合法蒐集、處理及利用個人資料。

貳、法律分析

一、個人資料保護法之適用

依個資法第2條規定：「本法用詞，定義如下：一、個人資料：指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。」

本案涉及健康保健品及健康陪跑服務，蒐集之個人資料可能包括：

（1）一般個人資料：姓名、聯絡方式、出生年月日等基本識別資料

（2）特種個人資料：健康檢查資料、病歷、醫療資料等健康相關資訊

二、非公務機關蒐集個人資料之法定要件

依個資法第19條第1項規定：「非公務機關對個人資料之蒐集或處理，除第六條第一項所規定資料外，應有特定目的，並符合下列情形之一者：一、法律明文規定。二、與當事人有契約或類似契約之關係，且已採取適當之安全措施。三、當事人自行公開或其他已合法公開之個人資料。四、學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。五、經當事人同意。六、為增進公共利益所必要。七、個人資料取自於一般可得之來源。但當事人對該資料之禁止處理或利用，顯有更值得保護之重大利益者，不在此限。八、對當事人權益無侵害。」

本案如新公司蒐集個人資料，應符合「與當事人有契約或類似契約之關係」（第2款）或「經當事人同意」（第5款）之要件，並應有特定目的且採取適當安全措施。

三、特種個人資料之蒐集限制

依個資法第6條第1項規定：「有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得蒐集、處理或利用。但有下列情形之一者，不在此限：一、法律明文規定。二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內，且事前或事後有適當安全維護措施。三、當事人自行公開或其他已合法公開之個人資料。四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內，且事前或事後有適當安全維護措施。六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用，或其同意違反其意願者，不在此限。」

健康檢查、病歷、醫療等資料屬特種個人資料，如新公司若需蒐集此類資料，應取得當事人明確書面同意，且不得逾越特定目的之必要範圍。

四、告知義務之履行

依個資法第8條規定：「公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時，應明確告知當事人下列事項：一、公務機關或非公務機關名稱。二、蒐集之目的。三、個人資料之類別。四、個人資料利用之期間、地區、對象及方式。五、當事人依第三條規定得行使之權利及方式。六、當事人得自由選擇提供個人資料時，不提供將對其權益之影響。」

如新公司應於同意書中明確告知上述六項事項，以符合法定告知義務。

五、當事人權利之保障

依個資法第3條規定：「當事人就其個人資料依本法規定行使之下列權利，不得預先拋棄或以特約限制之：一、查詢或請求閱覽。二、請求製給複製本。三、請求補充或更正。四、請求停止蒐集、處理或利用。五、請求刪除。」

同意書應明確告知當事人得行使上述權利，並提供行使權利之方式及聯絡窗口，且不得以任何方式限制當事人行使此等權利。

六、國際傳輸之限制

若如新公司涉及跨國（境）傳輸個人資料，依個資法第21條規定：「非公務機關為國際傳輸個人資料，而有下列情形之一者，中央目的事業主管機關得限制之：一、涉及國家重大利益。二、國際條約或協定有特別規定。三、接受國對於個人資料之保護未有完善之法規，致有損當事人權益之虞。四、以迂迴方法向第三國（地區）傳輸個人資料規避本法。」

如涉及國際傳輸，應於同意書中明確告知傳輸之國家或地區，並確保符合法定要求。

七、違反個資法之法律責任

（一）民事責任

依個資法第29條第1項規定：「非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。」

如新公司若違反個資法規定，致當事人權益受損，應負損害賠償責任，除非能證明無故意或過失。

（二）刑事責任

依個資法第41條規定：「意圖為自己或第三人不法之利益或損害他人之利益，而違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定，或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分，足生損害於他人者，處五年以下有期徒刑，得併科新臺幣一百萬元以下罰金。」

若意圖不法利益而違反個資法相關規定，可能涉及刑事責任。

（三）行政責任

依個資法第47條規定：「非公務機關有下列情事之一者，由中央目的事業主管機關或直轄市、縣（市）政府處新臺幣五萬元以上五十萬元以下罰鍰，並令限期改正，屆期未改正者，按次處罰之：一、違反第六條第一項規定。二、違反第十九條規定。三、違反第二十條第一項規定。四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。」

依個資法第48條第1項規定：「非公務機關有下列情事之一者，由中央目的事業主管機關或直轄市、縣（市）政府限期改正，屆期未改正者，按次處新臺幣二萬元以上二十萬元以下罰鍰：一、違反第八條或第九條規定。二、違反第十條、第十一條、第十二條或第十三條規定。三、違反第二十條第二項或第三項規定。」

如新公司若未依法履行告知義務或違反蒐集限制，可能面臨行政罰鍰。

參、處理建議

一、同意書應包含之必要內容

建議個資授權同意書應包含以下要素，以符合個資法之要求：

（一）公司資訊

• 完整公司名稱：美商如新華茂股份有限公司台灣分公司
• 公司地址及聯絡電話
• 個資保護負責人或聯絡窗口資訊

（二）蒐集目的

明確列出蒐集個人資料之特定目的，建議參考個資法施行細則附表所列目的代號，例如：

• 健康保健品之銷售、配送及售後服務（代號040：行銷）
• 健康管理服務之提供（代號051：會計與相關服務）
• 客戶管理與服務（代號090：消費者、客戶管理與服務）
• 行銷業務（代號069：契約、類似契約或其他法律關係事務）

（三）個人資料類別

應明確區分一般個人資料與特種個人資料：

1. 一般個人資料：姓名、性別、出生年月日、國民身分證統一編號、聯絡方式（電話、地址、電子郵件）等

2. 特種個人資料：健康檢查資料、過敏史、疾病史、用藥紀錄、運動習慣、飲食習慣、身體質量指數（BMI）等健康相關資訊

（四）利用期間、地區、對象及方式

• 期間：建議明確載明「自同意日起至契約終止後○年」或「至當事人撤回同意時止」
• 地區：台灣地區及如新公司集團所在地區（如涉及國際傳輸，應明確列出國家或地區）
• 對象：如新公司及其關係企業、合作之醫療機構、物流配送業者、資訊服務提供者等
• 方式：以自動化機器或其他非自動化方式進行蒐集、處理及利用

（五）當事人權利告知

應明確告知當事人依個資法第3條得行使之權利：

• 查詢或請求閱覽個人資料
• 請求製給個人資料複製本
• 請求補充或更正個人資料
• 請求停止蒐集、處理或利用個人資料
• 請求刪除個人資料
• 行使權利之方式及聯絡窗口

（六）不提供個人資料之影響

應明確告知當事人若不提供個人資料，可能產生之影響：

• 無法購買或使用健康保健品
• 無法參加健康陪跑服務
• 無法享受個人化健康管理建議
• 無法接收產品資訊及優惠訊息

二、特別注意事項

（一）特種個人資料之處理

針對健康相關之特種個人資料，建議：

1. 單獨設置勾選欄位，取得當事人明確書面同意，不宜與一般個人資料混同

2. 明確說明蒐集健康資料之必要性及用途

3. 承諾採取適當之安全維護措施，例如資料加密、存取權限控管等

4. 限制利用範圍，避免過度蒐集或超出特定目的之必要範圍

（二）撤回同意機制

應明確告知當事人得隨時撤回同意，並說明：

• 撤回同意之方式（例如書面通知、電子郵件或線上申請）
• 撤回同意後之效果（例如停止提供服務或刪除個人資料）
• 撤回同意前已進行之資料處理不受影響

（三）資料安全維護

依個資法第27條規定，應採取適當之安全措施，建議於同意書中承諾：

• 資料加密傳輸及儲存
• 存取權限控管機制
• 定期備份及復原機制
• 人員教育訓練及保密義務
• 定期檢視及更新安全維護措施

（四）跨境傳輸（如涉及）

若個人資料將傳輸至台灣以外地區，應：

1. 明確告知傳輸之國家或地區

2. 說明該地區之個資保護規範

3. 確保符合個資法第21條之要求，避免因接受國保護不足而損害當事人權益

三、同意書格式建議

建議採用以下架構：

個人資料蒐集、處理及利用同意書

一、公司資訊

美商如新華茂股份有限公司台灣分公司

地址：（填入完整地址）

聯絡電話：（填入聯絡電話）

個資保護聯絡窗口：（填入聯絡方式）

二、蒐集目的

本公司為提供健康保健品銷售及健康陪跑服務，需蒐集、處理及利用您的個人資料，蒐集目的包括：

• 健康保健品之銷售、配送及售後服務
• 健康管理服務之提供
• 客戶管理與服務
• 行銷業務及產品資訊提供

三、個人資料類別

（一）一般個人資料

姓名、性別、出生年月日、國民身分證統一編號、聯絡方式（電話、地址、電子郵件）等

（二）特種個人資料（健康相關資料）

健康檢查資料、過敏史、疾病史、用藥紀錄、運動習慣、飲食習慣、身體質量指數（BMI）等

四、利用期間、地區、對象及方式

• 期間：自同意日起至契約終止後五年或至您撤回同意時止
• 地區：台灣地區及如新公司集團所在地區（如涉及跨境傳輸，將另行告知）
• 對象：本公司及其關係企業、合作之醫療機構、物流配送業者、資訊服務提供者等
• 方式：以自動化機器或其他非自動化方式進行蒐集、處理及利用

五、當事人權利

您就個人資料享有以下權利：

• 查詢或請求閱覽個人資料
• 請求製給個人資料複製本
• 請求補充或更正個人資料
• 請求停止蒐集、處理或利用個人資料
• 請求刪除個人資料

如欲行使上述權利，請聯絡本公司個資保護聯絡窗口。

六、不提供個人資料之影響

若您選擇不提供個人資料，可能無法：

• 購買或使用本公司健康保健品
• 參加健康陪跑服務
• 享受個人化健康管理建議
• 接收產品資訊及優惠訊息

七、資料安全維護措施

本公司承諾採取以下安全措施保護您的個人資料：

• 資料加密傳輸及儲存
• 存取權限控管機制
• 定期備份及復原機制
• 人員教育訓練及保密義務

八、撤回同意機制

您得隨時以書面、電子郵件或其他方式撤回本同意書之全部或一部。撤回同意後，本公司將停止蒐集、處理或利用您的個人資料，但撤回前已進行之資料處理不受影響。

九、同意聲明

□ 本人已詳閱並瞭解上述內容，同意提供一般個人資料供美商如新公司蒐集、處理及利用

□ 本人已詳閱並瞭解上述內容，同意提供特種個人資料（健康相關資料）供美商如新公司蒐集、處理及利用

立同意書人：___________（簽名或蓋章）

身分證字號：___________

日期：中華民國 年 月 日

四、後續建議

1. 定期檢視更新：配合個資法修正及業務需求，建議每年檢視同意書內容是否符合最新法規要求

2. 留存紀錄：妥善保存當事人簽署之同意書正本或電子檔案，保存期限應符合相關法令規定

3. 教育訓練：定期對相關人員進行個資法教育訓練，確保正確執行個資保護措施

4. 建立標準作業程序：針對個資蒐集、利用、當事人權利行使等建立標準作業程序（SOP）

5. 投保責任保險：考慮投保個資外洩責任保險，以分散可能之法律風險

6. 定期稽核：建立內部稽核機制，定期檢視個資保護措施之執行情形

五、法律風險提醒

如新公司若未依個資法規定處理個人資料，可能面臨以下法律風險：

（一）行政罰鍰

• 違反第6條第1項（特種資料蒐集限制）或第19條（蒐集限制）規定：可處新台幣5萬元以上50萬元以下罰鍰
• 違反第8條（告知義務）規定：限期改正，屆期未改正者，按次處新台幣2萬元以上20萬元以下罰鍰

（二）民事損害賠償

依個資法第29條規定，若違反個資法致當事人權益受損，應負損害賠償責任。賠償金額依個資法第28條第3項至第5項規定，每人每一事件可請求新台幣500元以上2萬元以下，同一原因事實造成多數當事人權利受侵害者，合計最高總額以新台幣2億元為限。

（三）刑事責任

若意圖為自己或第三人不法之利益或損害他人之利益，而違反個資法相關規定，足生損害於他人者，可能涉及刑事責任，處5年以下有期徒刑，得併科新台幣100萬元以下罰金。

肆、結論

考量如新公司擬蒐集之個人資料涉及健康相關之特種資料，建議於擬定個資授權同意書時，應特別注意以下事項：

1. 確實履行個資法第8條之告知義務，明確告知蒐集目的、資料類別、利用方式等法定事項

2. 針對特種個人資料，應依個資法第6條第1項第6款規定，取得當事人明確書面同意，並單獨設置勾選欄位

3. 明確告知當事人依個資法第3條得行使之權利及行使方式

4. 建立撤回同意機制，保障當事人得隨時撤回同意之權利

5. 採取適當之安全維護措施，確保個人資料之安全

6. 若涉及跨境傳輸，應符合個資法第21條之規定

建議如新公司於正式使用同意書前，應諮詢專業律師進行審查，確保內容完全符合個資法及相關法令之要求，以避免可能之法律風險。本意見書僅供參考，實際處理仍應視具體情況調整。

您可以：

1. 點擊下方「複製本頁連結」按鈕

2. 加入法速答的官方LINE帳號

3. 將連結傳送給我們，即可免費與法速答的專業法務進行諮詢！