對個資法不熟悉的朋友,聽到法規上路後的反應泰半是,多了一堆要簽署的文件,每一項都是為了符合個資法要求,或是感覺最近的行銷電話好像變得比較少,前不久甚至還傳出某壽險公司裁撤電話行銷部門的新聞,姑且不論電話行銷與個資法之間是否有直接相關,在個資法上路後,我們看到很多業務同仁都有相同疑問—未來是否所有的業務行銷活動都不能進行?接下來我們試著用法條及實際案例來解釋這個問題。
業務活動最常被問到的就是,在社交場合交換名片,是不是違反個資法?根據法務部網站上的解釋,自然人為單純社交活動而蒐集、處理或利用個人資料,係屬單純活動之私生活目的行為,依個資法第51條第1項第1款規定,並不適用個資法。但是,如果業務拿著聚會時所蒐集到的名片,開始強力推銷自家商品,這種行為若沒有經過當事人主動同意,就會違反個資法,因為這不符合當初的蒐集目的,換句話說,交換名片雖然屬於私領域的行為,但並不表示取得個人資料後就可以拿來做行銷使用。
所以對業務人員來說,第一個重要的觀念,就是個人資料的蒐集目的必須和利用目的相符,如果不相符的話,一定要取得當事人同意。
利用個資前 先確認是否與蒐集目的一致
以往許多行業都有蒐集與利用目的不符合的情形,舉例來說,保險業會在人力資源網站尋找合適員工,如果徵員不成,就拿著這份名單轉作行銷,或以仲介業為例,原本只是要確認買賣標的是否存在,到後來卻變成委託賣房的邀約,不但進行電話遊說,甚至還登門拜訪(有關房仲業個資應用盲點,請參考資安人科技網「全國地政資料庫在便民與隱私間平衡」一文)。更不要說直銷公司以聯誼為名,實際卻是進行產品說明會,這些都是以往個資法沒有實施前經常發生的情形,近期還多了電信通路門號商涉嫌利用求職人員的個人資料,辦理無線上網以便提高業績。
上述所談都是蒐集與利用目的不符的案例,但若是業務員收到名片後,並沒有從事行銷活動,而是逢年過節寄張卡片,或是對方生日的時候發個簡訊問候,這樣算不算違反個資法?基本上這些都還是目的範圍內的利用,並不會違反個資法,業務行銷人員要有一個觀念,個資法並不是限制各位什麼事都不能做,最重要還要看當初蒐集目的與利用目的是否相符。
而在發生行銷行為時,當事人隨時都可以要求停止,一旦業務行銷人員接到當事人要求,之後就不可以再對其從事任何的銷售行為。在此要注意的是,很多業務人員過去會購買名單來做陌生拜訪,這樣的行為就違反了個資法,而且在新版個資法中,這種屬於間接取得的個人資料,在首次行銷時必須告知當事人個資來源,如果真的是買名單,這麼做豈不是自己給自己找麻煩?!所以這是業務同仁必須要記住的。
既然買名單不可行,那麼從以前任職公司把客戶名單帶走呢?這種做法同樣也是不可以的,因為依照個資法第8條,在蒐集個人資料的時候,必須清楚告知蒐集單位的名稱,所以當事人是授權原先的單位蒐集個人資料,並不是授權給你個人,所以業務人員在離職時,也不能將前公司的客戶資料一併帶走,這是必須特別注意的。
行銷活動委外 記得做好監督管理責任
前面談到的都是和個人資料蒐集有關,而在蒐集到個資後,業務行銷人員要注意的就是保管責任。以往我們看到很多個資案例,無論是醫院將病患的病歷資料放在地下停車場,或是保險公司營業處將待銷毀的開戶資料棄置於公園,這些幾乎都和保管不當有關。
個人資料的保管,並不只是資訊人員或是高階經理人的責任,而是人人有責,要落實資料保管就得從平日做起,如:含有個資的紙本文件不隨意散落在桌面而是妥善存放,很多業務同仁習慣把含有個人資料的檔案,隨著電子郵件到處寄送、轉傳,這種做法風險很高,因為個人資料散佈在越多的地方,也就越難管理,另外,有些業務人員覺得我只要能達到業績目標,其他的都不需要管,這樣的心態在個資法上路後也必須做調整。
尤其有些企業因為資源有限,而將部份行銷活動委外,此時委外廠商就會接觸到個人資料,業務人員自然得主動做好委外查核,不能什麼都不管。這些委外的行銷活動從贈品寄送、民意調查、網站代管,乃至於軟體開發等,各式各樣的委外廠商都有可能拿到我們手邊的個人資料,由於資料是從企業手中拿出去給委外廠商,企業自然得負起監督委外廠商的義務,並不是資料給出去後就可以麼都不管,倘若真的這麼做,委外廠商就會變成個資外洩的最佳管道。
像最近發生某手機大廠外洩150萬筆個資的案例,就是因為委外給顧問公司負責的行銷網站,遭駭客入侵所造成的,同時駭客還將其中的十幾萬筆資料加以公佈,雖然目前沒有聽到客戶端有什麼實質損失,但對該手機大廠的形象卻已造成很大影響,因此,企業如果有將手邊的個人資料委託給其他業者使用的,對方如何使用、保管,也是需要去瞭解及管理的。
個資法的實施,是要在資訊流通及隱私保護間取得平衡,對於業務人員來說,要謹守三不二要原則,所謂三不就是:不違法取得名單、不攜帶客戶資料投靠競爭同業、沒有經過當事人同意,不得任意進行行銷,至於二要則為:個人資料的蒐集目的與利用目的必須一致,對於個人資料要負保管責任。業務人員只要記住這五大原則,就能在個資法要求與業務推動中找到適當的平衡點,這也才是個資法立法的真正目的。