OO銀行報廢電腦委外銷燬未全程監督,客戶個資外洩
OO銀行去年把計畫要銷毀的電腦委外處理,但銷毀過程中,OO銀行人員沒有全程監控,導致部分電腦的硬碟資料外流到二手市場,金管會裁定OO銀行200萬元罰鍰。金管會委官員說,OO銀行計畫銷毀27台個人電腦,並將電腦設備委外給外部廠商銷毀,OO銀行的人員沒有全程監控,其中11台個人電腦的硬碟外流到二手市場;這凸顯銀行在汰換電腦時,內稽內控出現缺失,該銀行並沒有建立妥適的資訊安全管控程序。(聯合報/20120601)。
依據金管會函示(金管銀國字第09900252970號),為落實個人資料保護及保障消費者權益,銀行委外銷毀客戶資料,應注意其委外作業程序及運送方式,並「參考」檔案法及機關檔案管理作業手冊相關規定辦理,且指派專責單位監毀。在本案例中,OO銀行對於電腦設備之汰換,未建立妥適之安全控管程序,導致部分電腦的硬碟資料外流到二手市場,且對於電腦設備交付外部廠商銷毀,未指派專責單位監毀,核有未建立及未落實執行內部控制制度之缺失,故OO銀遭金管會以違反銀行法第45條之1第1項之規定,依據同法第129條第7款核處該行新臺幣200萬元罰鍰。
在新版個資法上路前,金融業便已有電腦處理個人資料保護法之適用,除此之外,許多金融法規亦有相關個人資料保護條款。以銀行業為例,相關金融法規例如「銀行法」、「銀行間徵信資料處理交換服務事業許可及管理辦法」、「金融控股公司法」、「金融控股公司及銀行業內部控制及稽核制度實施辦法」、「金融控股公司子公司間共同行銷管理辦法」、「金融業個人資料檔案安全維護計畫標準」、「金融業接受個人資料查詢閱覽製給複製本之程序及收費標準」、「金融機構作業委託他人處理內部作業制度及程序辦法」等,皆課予銀行業者就客戶提供之個人資料採取一定保護措施或負有保密義務等。
因應新版個資法施行,針對客戶資料,除擴大個人資料保護範圍,不侷限於以電腦處理的個人資料外,亦增訂關於告知義務、個資事故通知行為義務等,且就個資安全維護措施亦有詳盡之規範。銀行業者針對過去作業流程,於內部規章、內控制度、作業手冊、表單資料,勢必皆須重新檢視,以符合新版個資法之要求。
消金業務禁止委託境外業者辦理
金融業常有業務委外的情形,為使金融機構作業委託他人辦理之作業品質及客戶權益保障更臻完善,並減低可能造成之風險,金管會於民國95年9月18日訂定「金融機構作業委託他人處理內部作業制度及程序辦法」(下稱本辦法),規範金融機構作業委託他人辦理之委託事項範圍、客戶權益保障、風險管理及內部控制原則之內部作業制度及程序等事宜。依照本辦法第3條銀行業得將資料處理之業務(包含資料系統之監控、維護等)委託他人處理。
此外,銀行業過去針對消費金融業務亦可委託境外業者辦理,然金管會考量到本國銀行既為依台灣法律設立登記,應具有在台灣境內提供客戶即時、完整及正確服務之能力,且為降低資訊系統集中境外及資料國際傳輸所衍生之風險,並強化對客戶個人資料之保護,金管會於民國101年2月8日修正公告本辦法,增訂主管機關得限制國際傳遞之明文規定,依據所增訂之第18條第5項規定:「本國銀行不得將消費金融業務相關資訊系統之資料登錄、處理、輸出等事項委託至境外辦理。」
故本國銀行就消費金融業務相關資訊系統之作業,日後均僅能在台灣境內辦理,藉以確保主管機關對於銀行處理民眾消金資料之監督能力,又依照同條第6項規定,本國銀行須自本辦法修正施行起4年內調整作業至符合上開規定,否則於4年緩衝期間經過後,若仍有消金資料跨境委外作業情事,將遭主管機關依銀行法第129條第7款,以未確實執行內部作業制度與程序,處新臺幣200萬元以上1000萬元以下罰鍰;除此之外,主管機關並可依個資法第47條之規定以違反中央目的事業主管機關限制國際傳輸之命令或處分核處5萬元以上50萬元以下罰鍰。
銀行業法規遵循小體檢
銀行業在處理、利用客戶之個人資料時,可參照下表1進行系統性盤點,以確實掌握保有的個資範圍與個資流動情形,進而落實新版個資法課予的各項義務。
表1:新版個資法 VS 銀行業特殊規定之體檢表
新版個資法體檢項目
|
銀行業特別規定
|
體檢重點
|
個人資料範圍之界定:任何直接或間接可得識別特定個人之資料,均屬個人資料。
|
|
l 界定為個人資料者,均有新版個資法適用,確認是否包含任何直接或間接可得識別特定個人之資料?
|
告知義務:除有免為告知事由外,首次直接蒐集當事人個資時須以適當方式向當事人告知法定應告知之事項;間接蒐集當事人個資時,須以適當方式於首次處理利用時,告知法定應告知之事項。
|
l 銀行業依「銀行、證券商及保險公司等機構合作推廣他業商品或提供相關服務規範」第4條與他業機構進行合作推廣商品或提供相關服務,於揭露、轉介或交互運用客戶資料時,應先經客戶書面同意。
l 銀行業依「金融控股公司子公司間共同行銷管理辦法」第13條為客戶資料之處理、儲存、整合或交互運用資料進行行銷,得交付客戶資料予同一金融控股公司之其他子公司。
l 銀行業依「金融控股公司法」第43條第2項規定共同使用客戶資料時,除個人基本資料外,其往來交易資料及其他相關資料,應先經客戶書面同意。
|
l 首次蒐集客戶個資之相關業務表單或網頁,是否已加註告知條款,或以適當方式個別向當事人進行告知?為便利處理爭議時之舉證需求,是否有保存履行告知義務之相關紀錄?
l 於異業合作推廣而須交互運用客戶資料時,是否已取得客戶書面同意?
l 於金控公司子公司間共同行銷而交互運用客戶資料時,如屬於往來交易資料及其他相關資料,是否已先經客戶書面同意?
|
特定目的外利用:應符合新版個資法第20條其一事由。
|
l 銀行業依「金融控股公司子公司間共同行銷管理辦法」第11條規定,不得為使用目的範圍外之蒐集或利用。
|
l 於金控公司子公司間共同行銷而交互運用客戶資料時,是否有逾越使用目的範圍外之蒐集或利用?
|
其他體檢項目還包括:當事人權利行使、適當安全維護義務、個資事故應變處理、銀行業務委外處理、限制國際傳輸,完整表格刊載於《深入7大產業 解讀個資法》專刊,如有興趣,請來信詢問:
isnews@newera.messefrankfurt.com,謝謝。
(本文作者現為國巨律師事務所律師)