https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

個資蒐集愈少愈好 「必要性」為最高指導原則

2011 / 11 / 17
魯智深
個資蒐集愈少愈好  「必要性」為最高指導原則

最近配合公司亞太總部的需要,有了一趟長時間的商務旅行,出發前密集的工作,直到最後一刻才開車趕到機場,心中還慶幸使用信用卡買機票,可以享有機場免費停車的優惠,車子緩緩駛進停車場,服務人員熟練地協助搬運行李,例行性地問了些車子有沒有暗鎖、何時回來等問題,但是,接下來的對話卻讓我充滿了問號。

「請問你使用那一家的信用卡?」
「XX銀行。」
「請問你的身分證字號?」
「為什麼我停車還要報身分證字號?」
「因為要確認一下是不是有免費停車的資格,否則取車的時候還要再收取費用,怕有些客人會感受不好,同時也避免增加我們作業的時間。」
這個答案也還算合理,就隨口多問了一句「那是不是這樣就好了?」
「沒有喔!還要請你出示身分證明文件,以及信用卡號。」
「為什麼還要信用卡號?」
「這是要確認你有使用這張卡刷團費或是買機票,同時每張卡的優惠天數都不一樣,所以必須要有信用卡號。」
「但是,為什麼需要這麼多資料?你不能直接拿信用卡號向銀行確認我的身分嗎?為什麼還要身份證明文件,更何況我怎麼知道你拿了這些個人資料還會怎麼用。」
「資料就給銀行啊,還能怎麼用?身分證字號是看你一年可以停幾天,信用卡號是看你當次可以停幾天,各有各的用途,不然你說我們該怎麼辦?」

這又是一個金融業蒐集過多個人資料的例子。在申請信用卡時,一定都會附上個人身分資料,銀行業者也很清楚客戶的持卡狀況,為什麼運用到行銷作業時,又要再一次蒐集個資,有沒有去思考蒐集的必要性?亦或這是不願意修改作業流程,只好拼命疊床架屋的結果呢?甚至將風險都推給委外廠商,一旦真有個資外洩的情形,就推說銀行有很好的內控機制,都是委外廠商控管不當所致。

這些金融機構真的有去思考個資作業流程?還是靜觀其變,等到主管機關要開罰了再做做樣子,畢竟過往的罰金對金融業而言不過是九牛一毛,你罰你的,我做我的,如果真的是這樣,那可能要凝聚更強大的消費者意識,有了高額賠償案例後,這些業者才會真正靜下心來思考個資保護的問題。