「小姐好,我是XX銀行理財專員,敝姓吳,由於您是我們的貴賓客戶,我們特別推出了理財A套餐…」這樣的電話內容對你我而言並不陌生,現代生活中充斥著各種行銷電話,幾乎隔一陣子就會收到來自銀行、保險或是其他公司打來,推銷某種產品或服務的電話,但是新版個資法通過後,企業若再維持這種亂槍打鳥式的電話行銷手法,小心有觸法風險。
新版個資法的立法目的,主要是希望建立「個資有價」的觀念,企業除了做好個資保護、避免不當洩露之外,還得在合理範圍內應用個資,如此才算是不違反個資法。因此,新版個資法第3條規定,個資當事人可行使查詢、製作複本、補充/更正、停止蒐集/處理/利用、及刪除的權利;第8條規定,應告知當事人有關個資的蒐集目的及利用方式;第16條更規定,除了特殊狀況外,必須取得當事人書面同意,才能做特定目的外的利用;至於第29條則指出,非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。
綜上所述,企業的損害賠償責任,不只是個資外洩而已,倘若沒有在蒐集目的內使用個資,或個資錯誤致當事人權益受損,或沒有落實個資當事人提出的請求權(如:停止蒐集、請求刪除),都有面臨個資訴訟的風險。以前述電話行銷為例,金融業的電話行銷名單多由申辦信用卡、理財投資、貸款、開戶…等業務而來,民眾可以提出停止將個資用於行銷的要求(因為此乃蒐集目的外的利用),如果企業沒有刪除仍舊持續發送行銷訊息,就已觸法。
香港個資私隱專員公署(以下簡稱PCPD)自1997年至2011年共出版了23份調查報告(表1),用以說明自身所接獲民眾投訴企業侵犯個資案件的調查狀況,其中投訴比例最高的原因,是企業沒有取得當事人同意,就將個資做為蒐集目的外的利用(如:提供給第三方機構做行銷),或因內部作業流程失誤,未依照個資當事人的請求刪除個資。也因為電話行銷比例太高,PCPD更出版「根據《個人資料(私隱)條例》作出拒絕直接促銷活動的要求」單張,教導民眾如何拒絕企業的行銷訊息,以及提出要求後,若仍持續收到相關訊息的蒐證與投訴方式。
表1、香港民眾投訴企業侵犯個資的原因
投訴原因
|
家數
|
在沒有取得當事人同意下,將個資用於搜集目地以外的用途,或提供給第三方機構
|
10
|
未依照當事人請求查閱、更正或刪除個資,或要求當事人必須付費才能行使請求權
|
4
|
蒐集過多個人資料
|
3
|
以針孔攝影機不當搜集個資
|
2
|
個人資料外洩事件
|
2
|
個資保留期間太長未適時刪除
|
1
|
沒有確保個資正確性,以致當事人權益受損
|
1
|
資料來源:香港個資私隱專員公署調查報告,《資安人》整理,2012/1
新版個資法需要民眾一同參與,才能確立個資有價的觀念,立法只是第一步,如何教育消費者才是重點。然而,台灣並沒有類似香港PCPD的組織,誰該負責教育消費者,讓他們瞭解個資法的規範及如何主張自身權益?這個問題只怕找不到正確答案,在沒有明文規定下,每個主管機關都有責任卻也都無力(甚至是不願意)負責。
資安人科技網「多頭馬車管理不易 日本擬成立個資專責委員會」一文中提到,日本正計劃成立個資保護專責單位,反觀台灣也應該思考成立專責單位的必要性,不只是企業,民眾也需要被教育,建立個資屬於自身資產的觀念,透過全民監督的力量才能促使企業重視個資有價。