法務部 99.08.09 法律字第0999032891號函

民國 99 年 08 月 09 日

保險公司既屬電腦處理個人資料保護法所適用之非公務機關，則其對於個
人資料之利用，無論係機關內部使用抑或提供當事人以外之第三人，均須
於蒐集之特定目的必要範圍內為之，如欲為特定目的外之利用，亦須合於
該法第 23 條但書規定之情形，始得為之

主    旨：關於保險公司提供保戶之個人資料予非服務該保戶之其他人員利用之情事
          ，是否違反電腦處理個人資料保護法第 23 條之規定一案，復如說明二至
          四，請  查照參考。
說    明：一、復  貴會 99 年 7  月 20 日金管保理字第 09902557920  號函。
          二、按現行電腦處理個人資料保護法（以下簡稱「個資法」）第 17 條規
              定：「公務機關保有個人資料檔案者，應指定專人依相關法令辦理安
              全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏。」又
              非公務機關依個資法第 26 條第 1  項準用上開規定，故保險公司既
              屬本法適用之非公務機關，應要求所屬員工符合該公司個人資料檔案
              安全維護計畫，以免違反上開規定，合先敘明。
          三、次按個資法第 23 條規定：「非公務機關對個人資料之利用，應於蒐
              集之特定目的必要範圍內為之。但有左列情形之一者，得為特定目的
              外之利用：一、為增進公共利益者。二、為免除當事人之生命、身體
              、自由或財產上之急迫危險者。三、為防止他人權益之重大危害而有
              必要者。四、當事人書面同意者。」保險公司對於個人資料之利用（
              如機關內部使用或提供當事人以外之第三人），自須於蒐集之特定目
              的必要範圍內為之。如為特定目的外之利用，則須合於個資法第 23 
              條但書規定之情形，始得為之。
          四、本件來函所指「真正服務之業務員將保戶資料告知其他業務員」乙節
              ，是否合於蒐集特定目的之必要範圍，事實尚非明確，有無違反個資
              法第 26 條第 1  項、第 17 條及第 23 條規定，宜請  貴會本於職
              權依個案事實認定。
正    本：行政院金融監督管理委員會
副    本：本部資訊處（第 1  類）、本部法律事務司（4 份）