個人資料保護法(PDPA)與名單蒐集注意事項

以下以臺灣《個人資料保護法》(常稱個資法,您提到的 PDPA 在臺灣語境通常對應個資法)整理名單蒐集時的重點注意事項:先確認目的與法源、再做告知、最後控制用途與保存,這三步最關鍵。

  • 先確認蒐集目的是否明確且必要:個資的蒐集、處理或利用,必須符合特定目的,且不得逾越該目的之必要範圍,並應與蒐集目的具有正當合理關聯。
  • 先確認是否可以合法蒐集:蒐集名單前,應確認是否有法律明文、法定職務/法定義務、契約關係、當事人同意或其他法定事由可作為依據;若涉及特種個資,原則上不得蒐集、處理或利用,除非符合例外情形。
  • 如果是向當事人直接蒐集,必須明確告知:應告知蒐集者名稱、蒐集目的、個資類別、利用期間/地區/對象/方式,以及當事人可行使的權利與方式。
  • 如果是間接取得名單,也要補行告知:例如從第三方取得名單時,原則上仍需在處理或利用前告知當事人資料來源及前述法定事項。
  • 不得把名單拿去做超出原目的的用途:例如原本是活動報名名單,就不能未經適法依據直接轉作行銷、再行銷售或其他與原目的無合理關聯的用途。
  • 要建立最小化與保存紀錄:蒐集程序應以最小且必要範圍為原則,並保存相關紀錄;若有刪除、銷毀或業務終止,也應有合法程序處理。
  • 特種個資要特別小心:病歷、醫療、基因、性生活、健康檢查、犯罪前科等資料原則上禁止蒐集、處理或利用,只有在法定例外下才可能合法。

實務上,名單蒐集常見的合規檢查可以這樣做:

  • 蒐集前:先寫清楚目的、使用範圍、保存期間、對象、是否會轉委外或第三方。
  • 蒐集中:使用清楚的告知文字,避免預設勾選、模糊同意或一併授權過多用途。
  • 蒐集後:只讓必要人員接觸名單,限制下載、匯出、轉傳與再利用。
  • 名單來源不是本人時:先確認來源是否合法,並補足告知義務。
  • 到期後:依保存期限刪除或銷毀,留下可稽核紀錄。

如果您要的是「行銷名單蒐集」、「活動報名名單」或「會員資料蒐集表」的具體範本,我也可以直接幫您整理成一份可用的告知聲明/蒐集同意書重點清單。

來自網路的圖片