發文字號:
法務部 102.06.11 法律字第10203503280號函
發文日期:
民國 102 年 06 月 11 日
要 旨:
個人資料保護法第 8、9 條等規定參照,非公務機關除有得免為告知情形 者外,非公務機關向當事人蒐集個人資料時,均應使當事人明瞭所列應告 知事項,俾使當事人能知悉其個人資料被他人蒐集之情形,如非公務機關 未為告知,或為不完整告知,均屬違反規定
主 旨:有關貴會函送中華民國○○商業同業公會全國聯合會所擬該會會員「履行 個人資料保護法第 8 條第 1 項告知義務內容參考範本」一案,復如說 明二至四,請查照參考。 說 明:一、復貴會 102 年 1 月 17 日金管銀合字第 10200006710 號函。 二、按個人資料保護法(以下簡稱本法)第 8 條第 1 項規定:「公務 機關或非公務機關依第 15 條或第 19 條規定向當事人蒐集個人資料 時,應明確告知當事人下列事項:一、公務機關或非公務機關名稱。 二、蒐集之目的。三、個人資料之類別。四、個人資料利用之期間、 地區、對象及方式。五、當事人依第 3 條規定得行使之權利及方式 。六、當事人得自由選擇提供個人資料時,不提供將對其權益之影響 。」準此,非公務機關除有本法第 8 條第 2 項所列得免為告知情 形者外,非公務機關向當事人蒐集個人資料時,均應使當事人明瞭本 法第 8 條第 1 項所列應告知事項,俾使當事人能知悉其個人資料 被他人蒐集之情形。非公務機關未為告知,或為不完整之告知,均屬 違反本法第 8 條第 1 項規定(本部 102 年 3 月 12 日法律字 第 10100250980 號函參照)。合先敘明。 三、貴會來函所詢中華民國○○商業同業公會全國聯合會(以下簡稱○○ 公會)所擬該會會員「履行個人資料保護法第 8 條第 1 項告知義 務內容參考範本」(以下簡稱本參考範本),本部意見分述如下,提 供貴會參考: (一)按本法第 8 條所定告知義務,其「告知」之方式,包括任何足以 使當事人知悉或可得知悉之方式,例如言詞、書面、電話、簡訊、 電子郵件、傳真、電子文件等方式,均屬之(本法施行細則第 16 條規定參照)。故銀行履行告知義務之方式,並不限於以書面方式 。如銀行以書面方式履行告知義務,並請當事人於該書面簽名,係 為取得當事人知悉告知內容之紀錄,與其是否同意個人資料之蒐集 或處理無涉,銀行不得因當事人拒絕簽署告知書,而拒絕其業務之 申請(貴會 101 年 10 月 24 日金管銀合字第 10130002690 號 函參照)。 (二)本參考範本本文: 1.建議修正第 3 點第 1 款:建議於「得向本行查詢、請求閱覽 或請求製給複製本」前,增列「依個資法第 10 條」文字。 2.建議修正第 3 點第 3 款:為使當事人明確知悉其得行使之權 利內容,建議參酌本法第 11 條第 4 項條文,酌修文字。 3.為保障當事人個人資料自主權,以供當事人獲得充分資訊,據以 決定是否提供具自由選擇性質(例如:本法第 19 條第 1 項第 5 款)之相關個人資料,各機關於蒐集上開性質之個人資料時, 應告知當事人所得自由選擇提供之個人資料範圍,以及不提供將 對其權益之影響,俾使當事人獲得充份資訊,據以決定是否提供 相關個人資料(本法第 8 條第 1 項第 6 款規定參照)。至 於本參考範本本文第 4 點,似在告知當事人基於契約關係本應 提供金融業務上所必要之個人資料,否則銀行無法辦理相關業務 ,其與本法第 8 條第 1 項第 6 款規定具自由選擇性質之意 旨有間,爰建議酌予修正文字。 (三)本參考範本附表: 1.蒐集之目的、個人資料之類別部分: 銀行履行告知義務時,告知之內容應明確告知當事人蒐集該個人 資料之特定目的,且所蒐集之資料類別及利用對象,應於該蒐集 特定目的之必要範圍內,並與蒐集之目的具有正當合理之關聯。 告知之內容如過於概括,未依實際執行情形告知蒐集之目的,恐 未符合「明確告知」之要件(貴會 101 年 10 月 24 日金管銀 合字第 10130002690 號函參照)。本參考範本所列特定目的及 個人資料類別是否符合銀行實際執行業務情形,且屬該特定目的 之必要範圍?依來函附件之附表所示,似過於籠統,例如:存匯 、授信業務是否涵蓋信用卡、現金卡之特定目的?外匯業務是否 涵蓋核貸與授信業務之特定目的?授信業務是否涵蓋外匯業務之 特定目的?存匯、授信、信用卡、外匯及有價證券業務是否涵蓋 行銷或商業與技術資訊之特定目的?所列「自臺端或第三人處所 實際蒐集之個人資料為準」之個人資料類別是否明確?因涉貴會 監管事項,仍應由貴會本於權責重新逐一審認,如非屬該業務之 特定目的,應予刪除。 2.利用對象部分: (1)按本法第 4 條規定:「受公務機關或非公務機關委託蒐集、 處理或利用個人資料者,於本法適用範圍內,視同委託機關。 」故受銀行委託蒐集、處理及利用個人資料者,應視同銀行, 而非利用個人資料之對象。 (2)次按非公務機關對於個人資料之利用(如機關內部使用或提供 當事人以外之第三人),自須於蒐集之特定目的必要範圍內為 之(本部 99 年 8 月 9 日法律字第 0999032891 號函參照 ),例如於銀行於其與當事人間所定契約之必要範圍內利用個 人資料。如為特定目的外之利用,則須合於個資法第 20 條第 1 項但書所列各款情形之一,始得為之。是以,特定目的內利 用與特定目的外利用之要件並不相同,爰建議對可能已知之利 用對象宜予區分,以茲明確。 3.利用方式等部分: 本參考範本所列「符合個人資料相關法令以自動化機器或其他非 自動化之利用方式」之個人資料利用之方式,其內容過於模糊、 概括,應予修正,俾使當事人明確知悉其利用方式為何。 四、至於各非公務機關於各種類型業務中蒐集個人資料所為之告知,是否 符合本法第 8 條、第 9 條告知義務之規定?仍須依具體事實認定 ,無法僅以個案之告知內容符合本參考範本所列之參考文字,遽認蒐 集者已使當事人明瞭本法第 8 條、第 9 條所列應告知事項,亦即 應視具體個案所欲進行之蒐集、處理及利用行為而為告知。是以,本 件參考範本內容仍宜依各類型申辦之業務而予以調整因應,以符本法 第 8 條第 1 項所定「應明確告知當事人」之意旨。因此,有關貴 管非公務機關履行本法告知義務之個案認定事項,仍請貴會依具體事 實本於權責審認之。 正 本:金融監督管理委員會 副 本:本部資訊處(第 1 類)、本部法律事務司(4 份)