觀點

旅遊業個資衝擊:不是自己人,誰理你?

2011 / 05 / 30
謝持恆、何依玟
旅遊業個資衝擊:不是自己人,誰理你?

20083月,一位張姓女子委託旅行社辦理一家三口的簽證資料,但該旅行社卻將她先生的證件資料弄丟,張小姐一氣之下,除了告上消保會,也立刻與旅行社解約。試想,事件的主角若換成自己,或是週遭的親朋好友,您當下的反應是如何?


旅行業外洩事件不斷

 

來看看最近幾個旅行社出包案例。2010年8月,一家知名旅行社爆發員工盜刷客人信用卡的事件,根據調查,該名員工係透過客戶回傳的「信用卡交易刷卡確認單」,取得客戶的信用卡卡號、授權碼、有效日期等資料,進行盜刷行為,再將所購得的商品轉賣牟利,估計約有28名受害者,盜刷金額達上百萬。儘管旅行社聲稱已有自行的刷卡保密機制,但由於部分員工未能確實遵守安全機制作業,才導致該名員工得以趁虛而入。

 

無獨有偶,2010年11月,另一家旅行業者再度發生一名劉姓員工,以刷卡預付團費、再刷全額可享有旅遊平安險等理由,請客戶填寫信用卡刷卡確認單,騙取到客戶信用卡卡號等相關資料後,再要求客戶刷卡支付全額團費。除了支付完該團費外,劉姓員工更利用客戶的資料,進行重複刷卡的動作。客戶收到對帳單若覺有異,該員工便謊稱是作業疏失。這起案件,約有20多名的受害者,詐騙金額約200多萬元。對此,出事的旅行社指出,劉姓員工是靠行的導遊,對於客戶遭信用卡盜刷事件,旅行社會做後續的賠償動作,同時亦會尋求法律途徑,控告該名員工。

 

以上的案例雖然手法如出一轍,但仍有不肖員工藉此投機,詐取客戶錢財。而在看完幾個血淋淋的事件後,我們還是要回歸原點,談談旅行業者平日最常接觸且最關切的作業流程。到底該怎麼做,才能避免觸犯「個人資料保護法」?

 

作業流程走一趟 哪裡可能有個資?

 

旅行業的業務大致可以分成兩大類,第一類是由旅行社組團,不論是國內外的旅遊,對外招募旅客,藉以獲得利潤。而另外一類就是販售機票、住宿券等。以旅行團而言,最重要的是要有客戶來源。不管是公司行號、鄰居或是個人,一旦時間、行程可以配合,報名參加了旅行團,旅行業就已經初步取得了旅客的基本資料,包括中英文姓名、出生年月日、身分證字號等。

 

 

 

門檻低造就「靠行」產業  旅行社恐受二次罰

 

談到這,就要先瞭解台灣旅行社的生態,因為旅行業的設立,必須要事先取得核准及申請執照,也正因為有進入門檻的限制,但對於從業人員而言,相對的資格要求較低,在這樣的情形下,很多旅行社都有所謂的「靠行」制度。

 

這些「靠行」的人員,表面上與一般的旅行從業人員相同,對外打著旅行社的名義,同時也有勞健保,甚至人員異動時還要向主管機關申報。唯一不同的是這些人員都各自為政,所有的業務也是自行招攬,每個月只要支付固定的金額給旅行社即可。這些靠行的人員,名單都在各自的手中,甚至在旅行業中還有另外一種人,他們手中握有大批客戶名單,看那家旅行社的條件好就給那一家做,很多傳統的鄰里長,或是地方的樁腳都是這一類型的代表。

 

旅行社對於這些人員沒有實質的管理能力,甚至很多旅行業和這些「靠行」的人員間沒有簽訂任何契約文件。這個現象雖然在旅行業已經行之有年,但在未來「個人資料保護法」實施之後,一旦這些「靠行」人員違反了「個資法」的相關規定,除了所屬旅行社需要接受處罰外,另外依據「個資法」第五十條的規定:「非公務機關之代表人、管理人或其他有權代表人,因該非公務機關依前三條規定受罰鍰處罰時,除能證明已盡防止義務者外,應並受同一額度罰鍰之處罰。」,也就是說除了旅行社要被罰一次,旅行社的負責人同樣還會再處罰一次。而這條規定,勢必也會對未來旅行業的經營有所影響。

 

刷卡資料外洩易引訴訟

 

在旅客報名完畢之後,接下來旅行社就會收取訂金,如果是用現金、匯款、或是支票的方式繳交,這些方式較不容易有個資的問題。比較多的問題在於旅客使用信用卡。站在旅行社的立場,也會擔心收到偽卡,尤其是購買小三通的機票,因為小三通的機票是不具名的,可以立刻求售變現。

 

如果是卡片持有人帶著信用卡,到旅行社進行刷卡作業,透過旅行社的刷卡機,直接將信用卡上的資料傳送到負責收單的銀行,將來收單行就直接將款項撥入旅行社所指定的帳戶中。但現在大多數的人不會親自到旅行社,都是用傳真刷卡的方式,在傳真刷卡單上不但有個人的身分證字號、出生年月日、信用卡卡號、聯絡電話等個人資料。這些個人資料一旦取得,就可以在網路上進行消費。

 

照旅行業的說法,僅有少數銀行要取得交易授權時才需要核對資料,但旅行業大多會要求顧客全部都要填寫。同時旅行社在取得傳真刷卡單後,只要在刷卡機上自行輸入信用卡卡號、有效日期即可,一旦取得授權資料,這些傳真刷卡單就沒有任何功用。

 

大部分的旅行社對於傳真刷卡單的處理並沒有很嚴格的要求,甚至對於已經完成授權的刷卡單也沒有任何強制性銷毀的動作,對於有心人士而言,這就是取得個資的大好機會。如果因此而造成個資的外洩,依照「個資法」第二十八條,當事人可以要求新台幣五百元以上,二萬元以下的損害賠償。如果同一事件造成多數人權利受侵害,最高總額以新台幣二億元為限。(註:針對傳真刷卡機制,詳見資安人73期「旅行業個資法衝擊-千頭萬緒先從傳真刷卡控管」)

 

 

 

不是自己人 風險加倍

 

接下來旅行社就會對旅客收取證件,包括了護照、身分證影本、聯絡資料,有些國家的簽證還會要求附上財力證明或是在職證明。如果是新辦護照還會需要身分證正本及戶口名簿。在收到這些證件之後,旅行社會依據是否自行出團,或是與其他旅行社合併出團而有不同的作業程序。如果是採數個旅行社合併出團的方式,那麼收到的所有證件,都會轉交給負責出團的旅行社。

 

自行出團則是將所收到證件送去辦理簽證。一般大的旅行社會有自己的部門專門負責簽證,但大多數的旅行社會委由簽證中心代辦。這些簽證中心很多也都是「靠行」的個體戶,專門處理各家旅行社的簽證業務,然後依照人頭收錢。現行作業不論是那一種方式,都很容易和「個資法」的第八條相抵觸。而違反「個資法」第八條,則依照「個資法」第四十八條的規定,是可以按次處新臺幣二萬元以上二十萬元以下罰鍰。

 

接下來就是收尾款及辦理說明會,這部分的作業流程和收取訂金差不了多少。但旅行社內部作業還是沒有停下來。包括將個人資料送給保險公司辦理團險,或是將旅客的中英文姓名、護照號碼等資料傳送給當地負責接待的旅行社,還要將旅客的中英文姓名、出生年月日、證件號碼等資料,製作旅客名單給領隊。最後再將這些資料,轉交給送機公司,由送機公司負責在機場協助辦理登機事宜。

 

同樣的,送機公司和前面所述的簽證中心一樣,有許多「靠行」的人員,領隊也有可能不是自己公司的人員。注意到這整個作業流程,都會有各式不同的個人資料分送給不同的人員,自然就會增加個人資料外洩的風險。同時依照現行的做法,也都和前面所講的個資法第八條(1)相違背,同樣可以依「個資法」第四十八條予以懲處。對於旅行社而言,由於以往對個人資料保護這塊較為不重視,但這樣的行為,就非常容易觸犯個資法第二十七條(2)的規定。而違反第二十七條的規定,則同樣可以引用個資法第四十八條(3)及五十條(4),分別處罰兩萬以上,二十萬元以下的罰鍰。

 

別以為旅行業對於個人資料的運用就到此為止,很多旅行社會要求領隊請旅客協助填寫問卷調查表,或是以製作通訊錄的名義,藉以取得客戶的資料,以便下次行銷使用。但這樣的做法,同樣會涉及到「個資法」第八條,這部分必須要向當事人清楚的告知蒐集資料的目的、使用期限。如果將取得的個人資料移作其他的用途,同樣也可以依照「個資法」第四十八條的規定加以處罰。至於直客購買機票、住宿券的部分,這部分作業就單純許多,旅行社收錢、開票,然後交由快遞或郵局寄送。有關個資的問題,也就和前述出團收款的情形類似。

 

個資法推動後隱憂

 

總括而言,旅行業有太多的人員可以直接接觸到個人資料,同時又可以取得證件的正本,而以往旅行業對於個人資料保護相對沒有那麼重視。這兩個因素,都是未來旅遊業在推動個人資料保護時的隱憂。也由於旅行業的行業特性,與旅館業、遊樂園區業所面臨的個資問題截然不同。如果負責的主管機關沒有這方面的認知,事前沒有妥善的規劃與輔導、推動,甚至認為這項業務事不關己的話,那麼一旦個資法正式實施以後,可以預期的是,會有許多與旅行業有關的個資問題,如雨後春筍般不斷得冒出。

 

註:個資法條文簡介

(1)第八條:公務機關或非公務機關依第十五條或第十九條規定向當事人蒐集個人資料時,應明確告知當事人下列事項:

一、公務機關或非公務機關名稱

二、蒐集之目的

三、個人資料之類別

四、個人資料利用之期間、地區、對象及方式

五、當事人依第三條規定得行使之權利及方式

六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響

 

(2)第二十七條: 非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。

 

(3)第四十八條: 非公務機關有違反規定之情事者,由中央目的事業主管機關或直轄市、縣()政府限期改正,屆期未改正者,按次處新臺幣二萬元以上二十萬元以下罰鍰

 

(4)第五十條: 非公務機關之代表人、管理人或其他有代表權人,除能證明已盡防止義務者外,應並受同一額度罰鍰之處罰。