會員卡條款藏玄機?消保官要求限期改善
辦賣場會員卡可省錢,但怎麼會讓個人資料外洩!?觀察辦會員卡的條約,發現幾乎每一家賣場都在條約中註明,「本公司或合約廠商可以使用持卡人的個人資料」,這樣的條款隱藏在密密麻麻的會員條款中,一般消費者根本不會注意到,對此消保官表示不合理,賣場應該在合約中特別標明出來個資條款,讓消費者清楚知道才對,將要求賣場限期改善。(新聞來源:中天新聞,100/9/2)
零售業者若是以辦會員卡的方式,蒐集會員個人資料,則其於蒐集時,應告知特定目的範圍以作為個人資料之蒐集利用範圍,如於特定目的外利用個人資料,如無新版個資法第20條第1項各款,則不得利用或處理,如業者就消費者個人資料有供集團企業內或關係企業進行交叉行銷之用時,亦應於告知條款上清楚表明可能使用之對象或流向,始得進行交叉行銷。
早在民國94年,法務部就指定登記資本額為新台幣1000萬元以上、且採會員制為行銷方式之零售式量販業,為電腦處理個人資料保護法適用範圍,而新版個資法擴大了適用主體及個資客體,也加強對加強業者的行為規範,所以各零售百貨業者仍應調整其營運模式,以遵循新版個資法所課予業者之行為義務。
消費者欲申請成為零售業者之會員時,往往需要填寫會員申請書,其中之內容包含消費者基本資料,諸如姓名、出生日期、身分證、聯絡方式、消費者註冊之帳號及資料等;或零售業者於消費者加入會員後,繼續蒐集消費者之消費記錄(含消費內容、消費區域、消費頻率)或其他保有該資料之零售業者以其他資料對照、組合、連結等,而能間接識別該特定之個人資料,凡此可直接或間接識別特定個人之資料,均屬於新版個資法第二條所稱之個人資料,業者於蒐集時,皆須受新版個資法之規範。
應盡告知義務
新版個資法要求,除有免為告知事由外,首次直接蒐集當事人個人資料時,須以適當方式向當事人告知法定應告知之事項,倘若為間接蒐集,則須以適當方式於首次處理利用時,告知法定應告知之事項。
因此,零售業者於首次蒐集消費者個人資料時,相關業務之表單或網頁,應加註告知條款,告知內容包含個人資料利用之對象、範圍、保存期限,並且讓當事人清楚知悉其個資流向,同時,為因應日後發生爭議時之舉證需求,業者亦應保存履行告知義務之相關記錄,以避免發生爭議時舉證困難。
個資之處理或利用,應在特定目的範圍內
處理或利用個人資料,應於蒐集的特定目的必要範圍內為之,不得與其他目的作不當聯結,以避免資料蒐集者巧立名目或理由,任意地處理或利用。因此,零售業者須審視會員之個人資料蒐集及其後續之處理、利用等,是否與原先蒐集之特定目的間有合理關聯。如業者在處理或利用消費者個人資料時,逾越原先之特定目的,亦需符合新版個資法第20條所列的例外事由,始得為目的外利用。
實務上較常見的情形是,零售業者在取得會員個人資料後,將資料傳給集團內不同企業或外部合作特約商進行交叉行銷,這種個資在不同主體間流通的利用方式,倘若事前沒有另外進行告知,即屬目的外利用,所以零售業者在進行交叉行銷前,必須另外告知消費者會將其個人資料提供給合作特約商或特定關係企業從事行銷,並依新版個資法第8條第1項告知利用對象,否則不得任意將會員個資於集團企業內或關係企業進行交叉行銷。
此外,如零售業者就會員個人資料,欲為特定目的外利用時,依新版個資法第20條1項第6款之規定,應以書面取得其同意,為避免消費者在填寫會員申請表單時,被大量資訊淹沒而未注意相關內容,零售業者可參考法務部之函釋(註1),將需要當事人書面同意的條款以較為顯著字體標示,與申請書中其他條款文句相互區隔,並於獨立顯著位置予當事人表示同意與否之意思,使消費者能仔細注意告知條款之內容,以杜絕爭議。
提供適當管道及程序使消費者行使其權利
新版個資法規定,業者處理或利用當事人個人資料,應於法定期限內提供當事人行使查詢、閱覽、製給複製本、補充或更正、停止蒐集、處理或利用及刪除之權利。因此,零售業者應審視內部是否已建立相關程序,確保當事人之權利行使,並且在消費者行使權利時,依個資法所定期限內提供予會員。
此外,零售業中較常見的個人資料處理或利用方式,就是透過廣發會員電子報或DM方式進行行銷,依個資法規定,零售業者於首次寄發電子報或DM予會員進行行銷時,電子報或DM上應提供當事人得以表示拒絕行銷之方式,並支付相關之費用。再者,零售業者後續進行行銷時,如當事人表示拒絕時,亦應立即停止將會員個人資料再用於行銷。
委外處理利用時,應建立妥善之監督機制
零售業者如委託第三人代為蒐集消費者個人資料,或將會員個人資料委託第三人代為處理或利用時(如:發行會員卡、電子報等),依新版個資法施行細則第8條之規定,應建立適當之監督稽核機制,定期確認受託者蒐集、處理、利用個人資料之狀況,並將確認結果記錄,以備將來有爭議時作舉證之用。
零售業者比較常見委外處理會員個資的情形是,委託第三人代為舉辦抽獎活動或者進行滿意度調查等,此種情形零售業者除需依照前述之規定,建立起適當監督機制並要求第三人負保密義務外,還要注意資料保護範圍。由於此時受託者很有可能因為舉辦活動,而取得原本零售業者所交付會員個資以外的其他衍生資料,因此,零售業者與受託人間的保密義務,亦需擴及因活動所取得之衍生資料。
內部應建立適當安全維護機制
新版個資法亦要求,處理保有個人資料檔案者,應採行適當安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏,並且依新版個資法施行細則第12條規定,業者應配置適當之人力及就相關人員進行教育訓練,或建立事故之預防、通報及應變機制等。另應依據不同資料之敏感性、及各資料所面臨之風險情境與風險程度訂定不同的風險管控措施。同時,業者亦視業務需要建立資料調閱更正之使用記錄與軌跡資料,以利後續發生爭議時舉證之需求。
另外,「百貨公司業及零售式量販業電腦處理個資辦法」之規定,雖已於民國99年11月16日廢除,但其中所列個人資料保護機制,仍頗具參考價值,零售業者亦可依前述辦法,建制內部個人資料之管控機制,例如:零售業者是否已將消費者個人資料建立資料庫,並釐清資料庫使用權限,建立識別碼、及密碼等控管機制;就消費者個人資料儲存於電腦硬碟時,是否在電腦上設有開機密碼或相關安全措施;業者用以建置會員個人資料之相關電腦設備,資料保有單位是否定期保養維護;處理個人資料檔案之人員,其職務異動時,是否將所保管之儲存媒體及有關資料列冊移交,接辦人員應另行設定密碼以利管理;業者是否建立個資交接程序。凡此均可作為零售業者建立企業內部個人資料保護安全機制之參考。
註1:法務部101年12月10日法律字第10103107080號函釋「…個資法施行細則第 15 條規定:「本法第7條第 2項所定單獨所為之書面意思表示,如係與其他意思表示於同一書面為之者,蒐集者應於適當位置使當事人得以知悉其內容並確認同意。」
本文刊載於《深入7大產業 解讀個資法》專刊,如有興趣,請來信詢問:isnews@newera.messefrankfurt.com,謝謝。
(本文作者現為國巨律師事務所律師)