觀點

【從法規面解讀 7大產業如何遵循個資法】系列~~保險業:核保理賠可免告知

2013 / 05 / 10
朱瑞陽
【從法規面解讀 7大產業如何遵循個資法】系列~~保險業:核保理賠可免告知

○○人壽違法蒐集個人資料從事電話行銷,遭金管會重罰
○○人壽保險事業股份有限公司自甲、乙兩家保險經紀人股份有限公司蒐集未經當事人同意之個人資料,進行電話行銷業務,與電腦處理個人資料保護法第18條規定不符,核處負責人新臺幣10萬元罰鍰,並自金管會文到日起停止該公司電話行銷業務一個月。(金管會20120308新聞稿)。

 

在新版個資法施行後,保險公司自其他保險經紀人處取得個人資料進行電話行銷,屬於間接蒐集行為,除應事先取得客戶書面同意之方式以符合個資法第19條要求外,尚須履行個資法第9條告知義務。保險公司為進行保險商品行銷,在與其他保險經紀人簽訂合作推廣契約時,可於契約中明訂要求保險經紀人於首次蒐集客戶資料時即對客戶履行相關告知說明且一併取得客戶同意,作為保險公司將來進行保險行銷目的之資料交互運用之合法依據,以確保所取得之個人資料已經客戶授權進行電話行銷,藉以符合法令要求並釐清責任歸屬。

過去「電腦處理個人資料保護法」已將保險業納為規範對象,且相關保險法規,例如「保險法」、「金融控股公司法」、「金融控股公司子公司間共同行銷管理辦法」、「保險業作業委託他人處理應注意事項」、「人身保險業辦理資訊公開管理辦法」、「保險業內部控制及稽核制度實施辦法」、「保險業辦理電話行銷業務應注意事項」、「保險業個人資料檔案安全維護計畫標準」等,亦為保險業蒐集、處理或利用個人資料時應遵循之規範,保險業對於個人資料之保護,理論上應非完全陌生。

本次新修正之個資法,除將舊法時期未受規範之保險經紀人、保險代理人納入成為規範對象外,並增訂包含告知義務、個資事故通知義務等規範,以新法第6條為例,其將關於個人醫療及健康檢查等資料列為特種資料,原則上禁止蒐集、處理或利用,本條於施行後勢必對保險業日常業務包含核保、理賠等作業產生重大衝擊與影響(本條現暫緩實施,惟依行政院院會於民國101年8月30日通過「個人資料保護法部分條文修正草案」,其修正方向擬新增「為維護公共利益所必要」與「經當事人書面同意」兩款規定,作為得合法蒐集、處理或利用特種個資之事由)。

基於保險業經營之需要及民眾投保、理賠考量,並為爭議處理、車禍受害人補償等目的,保險法增訂第177條之1之規定(本條施行日由行政院另行公布),賦予保險業及其輔助人、受保險業委託之法人(例如醫療院所或依法設立之醫事檢驗機構)、財團法人保險事業發展中心、財團法人汽車交通事故特別補償基金等組織可以蒐集特種資料,並配合保險實務作業於同條第3項規定:「保險業為執行核保或理賠作業需要,處理、利用依法所蒐集保險契約受益人之姓名、出生年月日、國民身分證統一編號及聯絡方式,得免為個人資料保護法第9條第1項之告知。」使保險業於間接蒐集受益人個人資料得免除告知義務。


保險業法規遵循小體檢

話雖如此,保險業仍須重新評估作業流程,全盤檢視內部規章、內控制度、作業手冊、表單資料等,並依照個資生命流程進行系統性盤點,確實掌握保有的個資範圍與流動情形,才能落實新版個資法課予的各項義務(表1)。

表1:新版個資法 VS 保險業特殊規定體檢表 

新版個資法體檢項目

保險業特別規定

體檢重點

個人資料範圍之界定:任何直接或間接可得識別特定個人之資料,均屬個人資料。

 

l 界定為個人資料者,均有新版個資法適用,確認是否包含任何直接或間接可得識別特定個人之資料?

告知義務:除有免為告知事由外,首次直接蒐集當事人個資時須以適當方式向當事人告知法定應告知之事項;間接蒐集當事人個資時,須以適當方式於首次處理利用時,告知法定應告知之事項。

l 保險業依「銀行、證券商及保險公司等機構合作推廣他業商品或提供相關服務規範」第4條與他業機構進行合作推廣商品或提供相關服務,於揭露、轉介或交互運用客戶資料時,應先經客戶書面同意

l 保險業依「金融控股公司子公司間共同行銷管理辦法」第13條為客戶資料之處理、儲存、整合或交互運用資料進行行銷,得交付客戶資料予同一金融控股公司之其他子公司。

l 保險業依「金融控股公司法」第43條第2項規定共同使用客戶資料時,除個人基本資料外,其往來交易資料及其他相關資料,應先經客戶書面同意。

l 保險業依保險法第177-1條(註1)第三項規定蒐集受益人資料可免除告知義務。(本條尚未施行)

l 首次蒐集客戶個資之相關業務表單或網頁,是否已加註告知條款,或以適當方式個別向當事人進行告知?

l 為便利處理爭議時之舉證需求,是否有保存履行告知義務之相關紀錄?

l 於異業合作推廣而須交互運用客戶資料時,是否已取得客戶書面同意?

l 於金控公司子公司間共同行銷而交互運用客戶資料時,如屬於往來交易資料及其他相關資料,是否已先經客戶書面同意?

特定目的外利用:應符合新版個資法第20條其一事由。

l 保險業依「金融控股公司子公司間共同行銷管理辦法」第11條規定,不得為使用目的範圍外之蒐集或利用。

l 於金控公司子公司間共同行銷而交互運用客戶資料時,是否有逾越使用目的範圍外之蒐集或利用?

l 是否已與客戶之往來契約或客戶資料使用條款中訂定讓客戶選擇是否同意提供往來交易資料或其他相關資料作為行銷建檔、揭露、轉介或交互運用之欄位及簽名處?。

 

其他體檢項目還包括:告知義務、當事人權利行使、適當安全維護義務、個資事故應變處理、銀行業務委外處理、維持資料之正確性,完整表格刊載於《深入7大產業 解讀個資法》專刊,如有興趣,請來信詢問:isnews@newera.messefrankfurt.com,謝謝

 

(本文作者現為國巨律師事務所律師)