【從法規面解讀 7大產業如何遵循個資法】系列~~電信業：如何落實告知義務是關鍵

通傳會公告禁止通訊傳播事業將用戶個資傳輸至大陸地區

○○電信疑似將台灣電信用戶服務業務外包給中國大陸的公司，可能導致數百萬用戶個人資料外洩，引發主管機關國家通訊傳播委員會(以下簡稱「通傳會」)的關切。通傳會考量到大陸地區之個人資料保護法令尚未完備，為避免接受國家或地區對於我國電信用戶個人資料保護不足，於民國101年9月25日公告明訂限制通訊傳播事業經營者將所屬用戶之個人資料傳遞至大陸地區。

電信業若將涉及用戶個資之用戶資料庫、客服及帳務等系統傳輸至大陸或移往大陸設置時，將因違法國際傳輸，遭通傳會處5萬至50萬元罰鍰。此外，當電信業者違法國際傳輸用戶個資至大陸地區，致用戶權利受有損害時，不僅面臨通傳會依新版個資法裁罰及主管機關以違反臺灣與大陸地區人民關係條例，處5萬至2500萬元罰鍰，並可能遭受用戶提起團體訴訟，若個資侵權訴訟或行政處分，對公司財務或業務有重大影響，上市櫃之電信業者，尚應透過公開資訊觀測站向證交所申報重大訊息。

然而，通傳會對於所謂「禁止國際傳輸至大陸地區的用戶個人資料」，並未明確界定範圍，可能衝擊電信業提供國際漫遊服務。例如，我國電信業者A與中國大陸電信業者B合作，提供當地門號轉接至用戶的臺灣門號，並將用戶於中國大陸的通話費用併入臺灣門號繳費，由A公司代收處理，若用戶與電信業者B間對於資費計算發生爭議，我國電信業者A能否提供用戶通信紀錄與帳單明細予中國大陸業者B查證確認？傳輸此類用戶個人資料，是否有違反通傳會此命令？此類問題即有可能待日後目的事業主管機關加以釐清。

電信業是電腦處理個人資料保護法明訂應適用之產業，亦須遵循「電信業及傳播業電腦處理個人資料管理辦法」(已於民國99年10月19日廢止)與「電信業及傳播業受理當事人查詢或請求閱覽個人資料或製給複製本收費標準」，原本即受到較為嚴密的規範。

惟新版個資法定義的個人資料，乃是任何「得以直接或間接方式識別該個人之資料」，相較於舊法更為廣泛，除使用者資料與通信記錄外，用戶行動裝置識別碼、SIM卡號碼或用戶行動位址等資訊，都因「可得識別特定當事人」，而納入個資法保護之範圍，加上新法課予個資蒐集者個資蒐集之告知義務，對於業務運作經常需核對、確認用戶身分或進行用戶資料交換之電信業而言，如何落實於實際作業，更是一大挑戰。

例如客服人員接獲用戶故障報修時，為提供維修服務，請用戶提供聯絡人姓名與手機，若用戶本人與聯絡人非屬同一人，電信業者於到府維修時，是否應依個資法第9條規定，向聯絡人進行間接蒐集之告知？

再者，若客服人員接聽、對話均進行全程錄音，並涉及聯絡人資料核對，依法務部101年11月22日法律字第10103104550號函，此錄音檔案亦為個人資料。在適用個資法之前提要求下，於電話錄音過程所蒐集之聯絡人資料，是否應向當事人盡告知義務，以及得否主張當事人明知應告知內容，此部份尚有待目的事業主管機關釐清「當事人明知應告知內容」之涉入範圍，以確認告知義務之啟動時點。

以上僅是從維修服務的聯繫作業，提供電信業因應個資法上應考量的調整面向。電信業雖為舊法適用行業，仍有整備因應新版個資法的必要，應盡快針對各作業流程涉及之個人資料進行盤點，確認利用型態符合特定目的範圍，並依個資法相關規定調整作業流程與採取適當安全維護。

電信業法規遵循小體檢

電信業涉及大量用戶資料的蒐集處理及利用，建議依照表1進行系統性盤點，確實掌握保有的個資範圍與流動情形，進而落實新版個資法課予的各項義務。 

表1：新版個資法 VS 電信業特別規定之體檢表

其他體檢項目還包括：告知義務、當事人權利行使、適當安全維護義務、個資事故應變處理、銀行業務委外處理、維持資料之正確性，完整表格刊載於《深入7大產業 解讀個資法》專刊，如有興趣，請來信詢問：isnews@newera.messefrankfurt.com，謝謝。

（本文作者現為國巨律師事務所律師）