新版個資法還未正式上路,台灣民眾個資保護的意識卻已抬頭,日前台灣人權促進會(以下簡稱台權會)於網站上動員,號召民眾集體向聯徵中心要求刪除個資。
整起事件起因於ECFA開放兩岸金融業務,陸銀辦事處只要在台設立超過一年,就可升格為「陸銀在台分行」,並有可能加入財團法人金融聯合徵信中心(以下簡稱聯徵中心),進一步取得台灣民眾的財務資料。台權會認為聯徵中心的稽核機制不夠完善,對會員銀行的查詢使用行為沒有明確規範,過往本土銀行就曾經發生過多起違法查詢、外洩個資給合作廠商的案例,一旦開放陸資銀行可以查詢,民眾個資將更加沒有保障。
我們從新版個資法的角度來看,台權會集體訴訟的成功關鍵在於:
第一、聯徵中心搜集個資行為是否合法;
第二、聯徵中心搜集個資行為是否取得當事人同意。
先就第一點來討論,銀行法第47條之3第2項規定,及銀行間徵信資料處理交換服務事業許可及管理辦法,其實已經明確點出聯徵中心搜集民眾個資的合法性。
再就第二點來看,聯徵中心透過會員銀行取得民眾個資,資安顧問謝持恆表示,這是屬於「間法取得」的一種,根據新版個資法第九條規定,間接蒐集者在處理或利用前,應向當事人行告知義務,並註明這些資料是從哪一間企業拿到、公司名稱、及如何使用,聯徵中心必須取得個資當事人的同意,才能提供給其他會員銀行查詢。
通常銀行只有在進行信用卡或貸款業務上,才需要使用聯徵中心的資料庫,而目前在信用卡或貸款申請書上,多含有此類條款:「申請人瞭解並同意,聯徵中心在法令許可範圍內,對申請人資料進行蒐集、處理、傳輸及利用,」謝持恆認為,這種做法原則上等同於己經取得當事人的書面同意,但若聯徵中心資料保留期限與銀行不同的話,還是容易引起爭議。
其實,聯徵中心的存在,乃是讓銀行可以降低徵信成本,這樣的立意是好的,而就法規來看似乎也沒有爭議之處,只是過往太多違規洩密的案例,難免讓人質疑其未善盡管理責任,即便聯徵中心在官方網站上發出新聞稿,宣稱已設置嚴謹的資安管控機制,也很難取信於人。
而且民眾多半不知道信用卡/貸款申請書存在上述所說的「同意條款」,自然容易引人爭議。在2010年香港八達通個資外洩事件時,負責調查的私隱專員吳斌曾經建議企業,應該放大合約中與個資權益相關之條文,聯徵中心應該鼓勵會員銀行仿效辦理,讓民眾清楚知道,另一方面還要加強對會員銀行的稽核,一旦發現違規使用,立即給予嚴格懲處,而不是只有停權一段時間,藉由嚴懲提高會員銀行的自律意識,確保其使用符合規範,才能降低外界反彈聲浪。