https://www.informationsecurity.com.tw/seminar/2024_Finance/
https://www.informationsecurity.com.tw/seminar/2024_Finance/

觀點

【從法規面解讀 7大產業如何遵循個資法】系列~~電信業:如何落實告知義務是關鍵

2013 / 06 / 07
朱瑞陽
【從法規面解讀 7大產業如何遵循個資法】系列~~電信業:如何落實告知義務是關鍵

通傳會公告禁止通訊傳播事業將用戶個資傳輸至大陸地區

○○電信疑似將台灣電信用戶服務業務外包給中國大陸的公司,可能導致數百萬用戶個人資料外洩,引發主管機關國家通訊傳播委員會(以下簡稱「通傳會」)的關切。通傳會考量到大陸地區之個人資料保護法令尚未完備,為避免接受國家或地區對於我國電信用戶個人資料保護不足,於民國101年9月25日公告明訂限制通訊傳播事業經營者將所屬用戶之個人資料傳遞至大陸地區。

電信業若將涉及用戶個資之用戶資料庫、客服及帳務等系統傳輸至大陸或移往大陸設置時,將因違法國際傳輸,遭通傳會處5萬至50萬元罰鍰。此外,當電信業者違法國際傳輸用戶個資至大陸地區,致用戶權利受有損害時,不僅面臨通傳會依新版個資法裁罰及主管機關以違反臺灣與大陸地區人民關係條例,處5萬至2500萬元罰鍰,並可能遭受用戶提起團體訴訟,若個資侵權訴訟或行政處分,對公司財務或業務有重大影響,上市櫃之電信業者,尚應透過公開資訊觀測站向證交所申報重大訊息。

然而,通傳會對於所謂「禁止國際傳輸至大陸地區的用戶個人資料」,並未明確界定範圍,可能衝擊電信業提供國際漫遊服務。例如,我國電信業者A與中國大陸電信業者B合作,提供當地門號轉接至用戶的臺灣門號,並將用戶於中國大陸的通話費用併入臺灣門號繳費,由A公司代收處理,若用戶與電信業者B間對於資費計算發生爭議,我國電信業者A能否提供用戶通信紀錄與帳單明細予中國大陸業者B查證確認?傳輸此類用戶個人資料,是否有違反通傳會此命令?此類問題即有可能待日後目的事業主管機關加以釐清。

電信業是電腦處理個人資料保護法明訂應適用之產業,亦須遵循「電信業及傳播業電腦處理個人資料管理辦法」(已於民國99年10月19日廢止)與「電信業及傳播業受理當事人查詢或請求閱覽個人資料或製給複製本收費標準」,原本即受到較為嚴密的規範。

惟新版個資法定義的個人資料,乃是任何「得以直接或間接方式識別該個人之資料」,相較於舊法更為廣泛,除使用者資料與通信記錄外,用戶行動裝置識別碼、SIM卡號碼或用戶行動位址等資訊,都因「可得識別特定當事人」,而納入個資法保護之範圍,加上新法課予個資蒐集者個資蒐集之告知義務,對於業務運作經常需核對、確認用戶身分或進行用戶資料交換之電信業而言,如何落實於實際作業,更是一大挑戰。

例如客服人員接獲用戶故障報修時,為提供維修服務,請用戶提供聯絡人姓名與手機,若用戶本人與聯絡人非屬同一人,電信業者於到府維修時,是否應依個資法第9條規定,向聯絡人進行間接蒐集之告知?

再者,若客服人員接聽、對話均進行全程錄音,並涉及聯絡人資料核對,依法務部101年11月22日法律字第10103104550號函,此錄音檔案亦為個人資料。在適用個資法之前提要求下,於電話錄音過程所蒐集之聯絡人資料,是否應向當事人盡告知義務,以及得否主張當事人明知應告知內容,此部份尚有待目的事業主管機關釐清「當事人明知應告知內容」之涉入範圍,以確認告知義務之啟動時點。

以上僅是從維修服務的聯繫作業,提供電信業因應個資法上應考量的調整面向。電信業雖為舊法適用行業,仍有整備因應新版個資法的必要,應盡快針對各作業流程涉及之個人資料進行盤點,確認利用型態符合特定目的範圍,並依個資法相關規定調整作業流程與採取適當安全維護。

 

電信業法規遵循小體檢

電信業涉及大量用戶資料的蒐集處理及利用,建議依照表1進行系統性盤點,確實掌握保有的個資範圍與流動情形,進而落實新版個資法課予的各項義務。 

1:新版個資法 VS 電信業特別規定之體檢表

新版個資法體檢項目

電信業特別規定

體檢重點

個人資料範圍之界定:任何直接或間接可得識別特定個人之資料,均屬個人資料

l 手機使用者之所在位置及通信紀錄,均屬於使用者社會活動之個人資料範圍(法務部法律字第0980043029號、法務部法律字第0910037677號函參照)

界定為個人資料者,均有新版個資法適用,確認是否已包含:

l 用戶資料(含服務申請文件、繳費紀錄與金融機構帳戶)、使用者帳號及註冊資料

l 通聯記錄與行動位址

l 得以連結至特定用戶之設備識別碼

l 客服專線有關核對用戶基本資料等通話內容之錄音檔案

告知義務:除有免為告知事由外,首次直接蒐集當事人個資時須以適當方式向當事人告知法定應告知之事項;間接蒐集當事人個資時,須以適當方式於首次處理利用時,告知法定應告知之事項

l 若有將用戶資料提供與第三人,應告知利用對象(例如號碼可攜服務管理辦法第17條:「行動經營者與其用戶訂定之服務契約,應以顯著方式載明下列事項:二、行動經營者為提供號碼可攜服務得依本辦法規定將必要之用戶資料提供予其他經營者、第二類電信事業及集中式資料庫管理者」)

 

l 首次蒐集用戶個資之相關業務表單或網頁,是否已加註告知條款,或以適當方式個別向當事人進行告知?

l 是否揭露個資利用對象範圍,已讓當事人知悉個資流向?

l 告知之特定目的是否涵蓋嗣後利用型態?

l 考量到爭議處理時之舉證需求,是否有保存履行告知義務之相關紀錄?

特定目的外利用:應符合新版個資法第20條其一事由

l 電信事業處理有關機關(構)查詢電信使用者資料實施辦法

l 電信事業處理有關機關查詢電信通信紀錄實施辦法

l 將使用者行動位址或發話內容提供予第三人追蹤、利用,應合乎特定目的外利用之其一事由 (法務部法律字第0980043029)

l 有關機關查詢通信紀錄或使用者資料應備正式公文或制式查詢單,送交電信業者受理單位辦理

l 是否有將用戶手機號碼或行動位址等個人資料提供予第三人之情形?

l 提供LBSGPS加值應用服務,是否涉及將用戶資料提供予合作業者?


 

其他體檢項目還包括:告知義務、當事人權利行使、適當安全維護義務、個資事故應變處理、銀行業務委外處理、維持資料之正確性,完整表格刊載於《深入7大產業 解讀個資法》專刊,如有興趣,請來信詢問:isnews@newera.messefrankfurt.com,謝謝。

(本文作者現為國巨律師事務所律師)