資安人 Info Security 領航資安‧駕馭風險
作對事、用對方法、找對夥伴
http://www.informationsecurity.com.tw/edm/IS_EDM_140814/
 
首頁 > 焦點新聞
列印
加入我的最愛 轉寄好友 分享 將這篇文章分享到 Plurk 噗浪

賺取暴利! 八達通出售200多萬筆客戶資料

作者:廖珮君 -08/02/2010

香港八達通控股公司傳出售客戶資料,日前,八達通行政總裁陳碧鏵坦承出售客戶資料,將「日日賞計劃」的會員資料賣給兩家日日賞計劃合作廠商,分別是信諾環球保險與CPP Asia,非法獲利4,400萬港幣,全案正由香港個人資料私隱專員公署調查中。

 

綜觀整起事件發生經過,八達通一度以「按日日賞登記表格條款,參加者同意八達通及其附屬公司使用其個人資料進行行銷推廣」為由,規避法律責任,但是,只要企業事先於合約載明有使用權,日後因此而獲取商業利益的行為,真的都不必擔負任何責任嗎?

 

八達通沒有明確告知客戶  恐觸犯香港個資法

資策會法律研究員郭戎晉表示,站在法律的角度來看,八達通與日日賞計劃參與企業屬於策略聯盟的關係,彼此因合作而產生的商業利益,與是否違反個資法沒有直接關聯,八達通販售客戶個人資料的行為有沒有違法,必須看香港個人資料(私隱)條例中有沒有「資料共同利用」與「間接蒐集」的規範。

 

根據香港個人資料(私隱)條例所載保障資料三大原則,蒐集者必須明確告知個人資料當事人,未來個人資料將會用於什麼目的,及可能移轉予什麼類別的人,然而根據香港媒體調查,多數民眾皆不知八達通卡內的個人資料會被移交予第三方作行銷用途,就此點來看,八達通顯然沒有盡到明確告知的義務,有可能觸犯私隱條例。

 

目前,世界各國對於個人資料共同利用的規範皆不一致,以日本個人情報保護法為例,其資料共同利用的要求更為嚴謹,資料蒐集者必須清楚載明合作企業名稱、合作方式、資料使用方式等,等於在一開始蒐集資料時,就告知當事人這些資料可能會提供給哪些企業使用,以八達通事件為例,八達通公司必須在日日賞合約中載明資料將提供給信諾環球保險與CPP Asia使用,如此才能避免觸法。

 

台灣個資法如何規範?

至於台灣,根據新版個資法第八條規定,在蒐集個人資料時,應明確告知當事人蒐集目的與個資利用的期間、地區、對象及方式另外,第九條則規範間接蒐集者在處理或利用前,應向當事人行告知義務,並註明這些資料是從哪一間企業拿到、公司名稱、及如何使用。

 

同樣用八達通的例子來看,八達通本身是客戶資料的直接蒐集者,至於日日賞合作企業則是間接蒐集者,就八達通而言,其須在日日賞合約中註明此份資料將提供給合作廠商作為商業行銷之用,至於信諾環球保險與CPP Asia則應先告知八達通客戶,之後才能利用這些個資進行行銷,如此才合乎法律程序。

 

法務部科長黃荷婷進一步解釋,企業有共同行銷行為,必須註明提供給哪些第三人(機構)及目的,並取得當事人同意,惟因部分產業的營運模式較為特殊,在搜集個人資料的當下,尚無法確認合作廠商是誰,因此,未來在制訂施行細則時可能有比較彈性的作法,允許企業可以先以概括描述的方式告知當事人,等之後確認合作廠商時再通知當事人,其上則須載明合作對象與利用範圍。

 

除了個資法外,台灣的電子票證還受到電子票證發行管理條例規範,其中第21條便要求發行機構不得利用持卡人資料為第三人從事行銷行為,否則將處以新台幣60萬元以上、300萬元以下罰鍰,在電子票證與個資法雙重規範下,悠遊卡公司認為,台灣應該不至於發生此類情況,而就目前悠遊卡公司的實際應用來看,悠遊卡客戶資料僅應用於交通流量統計,如:統計各站點進出人數等,並沒有針對個人資料進行分析或行銷的行為。

 

改變蒐集模式  降低觸法風險

負責調查八達通資料外事件的私隱專員吳斌,於731召開記者會,並提出以下幾點建議:

第一、蒐集必要資訊即可:八達通日日賞計劃沒有必要索取客戶詳細資料,只要客戶提供姓名及八達通卡號碼,就足以識別客戶身份,不需要連身份證字號、生日、地址、電話、E-mail帳號等資料都一併納入。

第二、與個資權益相關條文應放大字體:八達通日日賞計劃的申請表格應詳列資料,讓申請人明確知道此份合約書要求授權個人資料用於行銷用途,此外,合約中有關如何使用會員資料的條款,其字體過小,建議應以合理大小的字體印製。

第三、明確指出個人資料移轉對象:八達通應該明確告訴客戶資料將交給哪些公司,否則就如同「開空頭支票要客戶簽名」般不合常理。

 

這些建議對於台灣企業來說相當實用,在新版個資法上路後,蒐集個人資料的行為也必須隨之改變,才能降低觸法風險,最明顯的就是個人資料量,以前企業在蒐集個人資料時,通常以「越詳細越好」為原則,不太去思考與業務是否相關,例如只是報名參加研討會,卻得填寫生日或地址等資訊,這種做法必須重新檢討其必要性,企業所擁有的個人資料越少,資料外洩的風險與罰責也相對較輕。

 

至於第二點條文字體太小,則是許多企業常見鑽法律漏洞的做法,趁消費者不注意,偷偷把有利企業的條款「偷渡」在其中,對此,黃荷婷指出,新版個資法雖然沒有強制規定告知形式及字體大小,但是可從消保會定型化契約來解套,定型化契約要求與當事人有關的重要權利必須放大及加框,讓當事人知曉,這種利用小字體的作法將不可行。

 

 

 
推薦此文章
 
7
人推薦此新聞
我要回應此文章
您的姓名:
回應內容:
 
  輸入圖片數字  
 

你或許會對這些文章有興趣…
[ 資安人甘苦談 ] - 溝通,也是門教育訓練09/17/2014
Blue Coat 發佈”一日網站”安全風險09/17/2014
TrustView ODP保護,就算外流照片檔案也不擔心!!!09/15/2014
Citrix與Google合作推出專為Chrome專用全新Receiver09/15/2014
Riverbed應用效能平台解決方案獲得VMware Ready – vCloud Air 認證09/15/2014

Information Security 資安人科技網 版權所有,禁止未經授權轉貼節錄
TEL:+886-2-2659-9080 / FAX:+886-2-2659-9069 /
聯絡我們
Globle asmag asmag 台灣 asmag中國
香港商法蘭克福新時代傳媒有限公司台灣分公司
Secutech國際博覽會 Secutech越南 資安人活動網站
  資安人 Info Security