1. 控管者处理个人资料之目的非为识别资料主体,或不再需要由控 管者识别资料主体时,该控管者应无义务维护、取得或处理依照本规 则以识别该资料主体为唯一目的之额外资讯。
2. 本条第一项所定情形,如控管者得证明其非立于识别该资料主体 之地位者,该控管者应于可能范围内通知该资料主体。于此情形,第 15 条至第 20 条规定应不予适用,但资料主体依该等规定,为行使其 权利之目的,提供得识别其身份之额外资讯者,不在此限。
(57) 于经资料控管者处理之个人资料不允许其识别该当事人时,资料 控管者即不得单独为达成本规则之任何条款之目的,为识别资料主体 而获取额外资讯。但控管者不得拒绝接受资料主体为行使其权利所提 供之额外资讯。识别应包括资料主体之数位辨识在内,例如透过资料 主体登入资料控管者提供之网络服务时所使用之相同凭证等认证机 制。
(64) 控管者应使用所有合理手段以验证请求接近使用资料之资料主 体的身份,尤其是在网络服务或网络识别工具之情形。控管者不得为 了回应潜在请求之单独目的而获取个人资讯。