販賣機個資保護：人臉辨識、消費紀錄的隱私合規指南

當販賣機從投幣式進化到刷臉辨識、行動支付、會員系統，一個過去從未被重視的問題浮上檯面：這些機器到底收集了多少你的個人資料？

這不只是消費者的疑慮，更是每一位智慧販賣機營運商必須面對的法律責任。本文從台灣個資法與國際 GDPR 的角度，提供完整的合規指南。

---

販賣機會收集哪些個人資料？

先搞清楚範圍。一台現代智慧販賣機可能收集的資料類型：

資料類型	收集方式	敏感程度	法律分類
人臉影像	攝影鏡頭	極高	生物特徵（特種個資）
消費紀錄	支付系統	中	一般個資
行動支付帳號	NFC/QR Code	高	金融個資
位置資訊	機台 GPS	中	一般個資
互動行為	觸控螢幕	低	可能為個資
停留時間	感測器	低	匿名化後非個資

「很多營運商以為販賣機只是賣東西，不會碰到個資問題。但只要你的機器有攝影機、有行動支付、有會員系統，你就是個資法定義下的『個資蒐集者』。」——李奇申

---

台灣個資法的基本要求

台灣《個人資料保護法》對販賣機營運商的關鍵要求：

1. 告知義務（第 8 條）

在收集個資前，必須告知當事人：

• 蒐集機關名稱（你的公司名）
• 蒐集目的（營運分析、行銷、安全監控等）
• 個資類別（消費紀錄、影像等）
• 利用期間、地區、對象及方式
• 當事人權利（查詢、更正、刪除）

實務做法：在販賣機螢幕顯示隱私告知，並在機身張貼 QR Code 連結完整隱私政策。

2. 同意取得

• 一般個資：可採「默示同意」（告知後未表示反對）
• 特種個資（如人臉）：必須取得書面同意或符合法定例外

3. 安全維護（第 27 條）

營運商必須採取適當的安全措施：

1. 建立個資管理制度
2. 指定專人負責
3. 定期教育訓練
4. 設定存取權限
5. 建立事故通報機制

---

GDPR 對海外佈局的影響

如果你的販賣機服務歐盟公民（例如設置在國際機場、觀光區），就可能適用 GDPR：

GDPR 核心原則

1. 目的限制：收集的資料只能用於告知的目的
2. 資料最小化：只收集必要的資料
3. 儲存限制：不需要的資料必須刪除
4. 當事人權利：被遺忘權、資料可攜權
5. 隱私設計（Privacy by Design）：從系統設計階段就內建隱私保護

罰則比較

法規	最高罰鍰	適用範圍
台灣個資法	2,000 萬 TWD	台灣境內
GDPR	2,000 萬 EUR 或全球營收 4%	涉及歐盟公民

---

人臉辨識：最敏感的地雷區

許多智慧販賣機標榜「刷臉支付」或「人臉推薦」，但這是個資保護中最敏感的領域：

台灣法規現況

• 人臉屬於「生物特徵」，歸類為特種個資
• 非經當事人書面同意，原則上不得蒐集
• 例外：法律明文規定、維護公共利益、學術研究

合規建議

1. 能不用就不用：如果年齡驗證可以用身分證掃描替代，就不要用人臉
2. 必須用時做到位：明確告知、取得同意、加密儲存、定期刪除
3. 邊緣運算優先：人臉辨識在機台端完成，不上傳雲端
4. 去識別化：只保留特徵值，不保留原始影像

「我們在設計 IoT 管理平台時，一直堅持『能在端點處理的資料，就不送上雲端』。這不只是隱私考量，也是效能和成本的最佳化。」——李奇申，龍雲數位

---

實務合規清單

作為販賣機營運商，以下是你應該逐項完成的合規事項：

第一階段：基礎建設

• 制定販賣機隱私政策（中英文版本）
• 在每台機器標示隱私告知（螢幕+實體貼紙）
• 指定個資管理負責人
• 建立資料存取權限制度

第二階段：技術措施

• 消費紀錄加密儲存（AES-256 以上）
• 傳輸過程全程 TLS 加密
• 設定資料自動刪除期限（建議消費紀錄 2 年）
• 影像資料保存不超過 30 天（除非有法律需求）

第三階段：持續維護

• 每年至少一次個資保護教育訓練
• 每季檢視資料存取紀錄
• 建立資料外洩通報流程（72 小時內通報）
• 回應當事人行使權利的 SOP

龍雲數位官網的 IoT平台 在設計時已將上述安全架構納入考量，協助營運商從技術層面達到合規要求。

---

消費者的自保指南

如果你是消費者，面對智慧販賣機時可以注意：

1. 確認有無隱私告知：合規的販賣機會清楚標示
2. 選擇匿名支付：現金或不記名悠遊卡最為隱私
3. 拒絕不必要的會員註冊：不需要為了一瓶水提供手機號碼
4. 行使個資權利：你有權要求業者提供、更正或刪除你的資料

---

結語

智慧販賣機的進化帶來便利，也帶來責任。個資保護不是阻礙創新的絆腳石，而是建立消費者信任的基石。在這個數據為王的時代，尊重隱私的企業才能走得長遠。

對營運商而言，現在就開始建立合規架構，遠比事後被裁罰來得划算。更多關於智慧販賣機的產業洞察，歡迎參考成功案例。