金管會於個資法實施後執行情況之觀察

1995年8月1日初次公布之電腦處理個人資料保護法,在2010年5月26日大幅修正,並更名為個人資料保護法(以下稱”個資法”)後,於2012年10月1日正式施行。然而,因為其中第6條規範特種資料之收集、處理、利用,與第54條原規定修法前非由當事人提供之個人資料,應於新法施行後一年內完成告知,因為爭議太大,而將該二條文暫緩施行;2015年12月30日個資法終於再次修正後,而得以完整實施。

台灣之個資法並未規範單一的個資法主管機關,除了法務部負責訂定特定目的及個人資料類別,亦為解釋個人資料保護法之機關之外,是由中央目的事業主管機關或直轄市、縣(市)政府來負責個人資料保護事務之管理及裁罰。由於目前除了金融監督管理委員會(”金管會”)之外,其他主管機關尚未有公布違法個資法裁罰案件之機制,因此甚難知悉或統計其是否確有因為違反個資法之裁罰案件。金管會為金融機構之主管機關,其網站上有就其所作成裁罰案件之定期公告事項,包括違反個資法之案件,研究金管會之該些裁罰案件,可以提供我們對於金融機關牴觸個資法的態樣,及金管會就金融機構違反個資法案件的處罰態度,提供一個參考的基礎,實值得觀察。

裁罰案件數量

金管會設有四個業務局,為銀行局、證券期貨局、保險局及檢查局。由金管會之公布資料顯示,個資法自2012年實施迄今四年多之期間,金管會總共曾有16件因違反個資法之裁罰案件。其中以2016年有5件保險局對保險公司,2件銀行局對銀行,總共7件之裁罰案件,為裁罰案件數最多之一年;而2015整年度則均無任何裁罰案件,為最少的一年。其他2012、2013、2014三個年度則平均一年約為2至3件。值得注意的是,今年(2017)迄今才3月份而已,已經有2件保險局對於保險公司違反個資法的裁罰案件發生,各是南山人壽保險股份有限公司將部分保戶保單資料不當郵寄予第三人,與三商美邦人壽保險股份有限公司以電子郵件洽詢業務相關事宜之頁面,於蒐集客戶個人資料時,違反個資法未向當事人明確告知法定應告知事項之事件。

雖然整體來說,金管會在個資法自2012年開始實施的整個過去4年多期間內,裁罰案件之總數量僅有16件,並不算多;但若觀察自2012至2015年間,違反個資法之裁罰案件總共僅有7件而已,而自2015年底修正後之個資法完整實施後的2016年度(7件),乃至2017年初迄今(2件),已經有9件裁罰案件以觀,金管會針對違反個資法的裁罰案件,顯然有增加的趨勢。此一事實究係表示金管會對於個資法的遵循事項,有加強督導查核之態度,抑或僅是金融機構違反個資法情事增多的偶然結果,不得而知。不過,值得注意的是,在個資法實施之前,金融機構之內控管理機制,與其他各個行業相較,一直本就是較為嚴格的,且金管會依違反內控機制而裁罰金融機構的事件,一向也是稽核較嚴格,處罰金額較高的;既然違反個資法的事實,通常也會同時違反內控管理機制,因此,至少可以說金管會是各行業之個資法主管機關中,對於個資法遵循事項,最為關切,較常祭以裁罰處分的一個。所以,可以預期金管會日後仍會對於個資法的違反案件,繼續積極稽核管理。而,金管會中又以保險局對保險公司的裁罰案件數量最多,銀行局次之,其他部門則目前尚未見有任何裁罰案件。

違反個資法態樣

綜觀金管會自2012年迄今2017年2月裁罰違法個資法的案件,金融機構違反個資法的態樣,歸納大約有以下數種。

一、個資外洩

此為目前裁罰案件中,發法生違反個資法最多見的態樣,亦即金融機構因為內控與稽核機制之設計或維護不佳,或處理業務過程失誤,導致客戶個人資料外洩。裁罰案例包括:2017年1月10日(以下指裁罰時間)南山人壽保險股份有限公司辦理保戶通知信函寄發作業時,因電腦系統執行錯誤程式,使部分保戶保單資料不當郵寄予第三人;2016年4月11日國泰世華商業銀行大安分行,受理客戶申請調閱薪資轉帳資料時,洩漏不屬該名客戶之其他客戶個人資料;及2013年8月22日中國信託商業銀行辦理網路銀行業務發生疏失,使一般網路使用者得以進入瀏覽,並取得該銀行內部目錄網頁所留存之客戶資料,導致客戶個人資料外洩。

二、未經客戶同意

金融機構未經客戶同意,將客戶個人資料提供給第三人使用,也是常見的違法裁罰態樣。案例包括:2016年6月29日兆豐國際商業銀行未經客戶同意,將其基本資料提供予兆豐產物保險股份有限公司進行電話行銷;2013年10月4日南山人壽業務員未經保戶書面同意,逕將客戶個人資料提供予第三人,代向保戶說明保單問題;2013年7月10日彰化商業銀行股份有限公司行員未徵提客戶書面同意,逕予查詢客戶聯徵中心信用資料。

三、個人資料檔案安全維護作業不周全

此態樣案例包括:2016年11月16日保誠人壽保險股份有限公司辦理104年度個人資料盤點作業有未落實,致未依保存期限刪除個人資料;2016年11月11日三商美邦人壽保險股份有限公司辦理資訊作業,因為整體個人資料保護措施未臻周延,且欠缺有效內控機制,而被裁罰;以及2016年9月8日,富邦人壽保險股份有限公司客訴人員未採行適當之安全措施,未以加密處理方式,將保戶Call-in卡申請書影本郵寄至個人電子信箱。

四、未盡告知義務

個人資料法規定非公務機關向當事人蒐集個人資料時,應明確告知當事人一定的事項,2017年2月14日三商美邦人壽保險股份有限公司之官網,提供客戶以電子郵件洽詢業務相關事宜之頁面,但於蒐集客戶個人資料時,並未向當事人明確告知法定應告知事項,因而受到裁罰。

五、未即時通報個資外洩事件

前述2017年南山人壽保險股份有限公司辦理保戶通知信函寄發作業時,因電腦系統執行錯誤程式,使部分保戶保單資料不當郵寄予第三人,南山人壽除了個資外洩外,亦因其通報時程延遲,致被認定內部重大偶發事件之通報作業未臻周延,核有礙公司健全經營之虞而被裁罰。

裁罰內容

根據個資法之規定,非公務機關違反個資法,得由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者,按次處新臺幣(下同)2萬元以上50萬元以下罰鍰。此處罰標準若與違反金融機關內控相關法令之標準比較,顯然輕微許多。既然違反個資法之事實,通常均亦違反內控相關法令,金管會在裁罰違反個資法事件時,顯然多半傾向依照違反金融機關內控法令之罰則,處罰違法之金融機關,至於違反個資法之部分,幾乎多半均僅核處以限期改正而已。

目前所有裁罰案件中,金管會單純依照違反個資法而處罰的案件,僅有三件,即1) 2016年兆豐國際商業銀行未經客戶同意,將其基本資料提供予兆豐產物保險股份有限公司進行電話行銷;2) 2013年南山人壽業務員未經保戶書面同意,逕將客戶個人資料提供予第三人,代向保戶說明保單問題;與3) 2013年彰化商業銀行股份有限公司行員未徵得客戶書面同意,逕予查詢客戶聯徵中心信用資料之三個案件。上述違反個資法之三個公司各被處以5萬元,2萬元與5萬元之罰鍰。而此三個案件均為未經客戶同意,將客戶個人資料提供第三人使用之態樣。

其他金管會除了依違反內控相關法令之外,也兼依違反個資法處罰之案件,就違反個資法部分,金管會大多均僅處罰限期一個月內改正,較少情節較嚴重者也有核處在7日或10日內改正者;而違反內控法令的處罰部分,則一般大部分均處罰60萬元罰鍰。僅有情節較嚴重之三個案件,各為2016年保誠人壽保險未依保存期限刪除個人資料之案件,被處罰120萬元,與另外兩件個資外洩之案件,即1) 2014年國泰世華商業銀行離職員工,將客戶個人資料下載至私人外接儲存裝置案件,處罰300萬元,與2) 2013年中國信託商業銀行辦理網路銀行業務發生疏失,導致客戶個人資料外洩,被處罰400萬元。這三個案件是個資法實施以來,金管會裁罰金額最高的案件,但是這些罰鍰均不是依據違法個資法而處罰的,而是依據違反內控法令而做的處罰。甚至其中除了2016年保誠人壽保險,未依保存期限刪除個人資料乙案,有兼依違法個資法核處限期一個月內改正之裁罰外,其他兩件2014年國泰世華商業銀行,與2013年中國信託商業銀行之2件個資外洩案件,金管會均僅依違反內控相關法令處罰而已,而並未同時依違反個資法予以任何處罰。

結語

由上述金管會自個資法實施迄今之裁罰案件的處罰數量,以及裁罰內容觀察,似乎個資法在金融機構的稽核控管上,其所能發生之效力,明顯低於金融機構之內控相關法令。例如:依據個資法能課以處罰之罰鍰金額,最高僅為50萬元而已,嚇阻效力顯然不夠。因此金管會多半選擇以違反內控機制開罰,而不依賴個資法之處罰規定,是有原因道理的。則,個資法究竟會不會只是沒有牙齒的老虎?至少在主管機關的行政裁罰部分,看起來似乎是這樣的。

如果您想知道更多有關台灣資料保護或隱私權法規事宜,請聯絡陳絲倩律師,電子郵件為cchen@winklerpartners.com,或電話+886 223118307。