Sidebar

週五, 17 七月 2015 14:40

金融業敏感個資處理經驗分享

 

金融業敏感個資處理經驗分享

 

有鑑於近期,個人敏感性資料之重要性逐步提升,所有客戶端對於自己的資料,如何保管與存放,EasyUse 在這裡提供相關處理經驗與法令規範,與大家分享

法令規範部分:

一、擴大適用的主體及保護的客體:

   (一)新版個資法通過後,金融業並非最主要受影響者

   個資法規範的主體,由原本舊法的八大類事業(徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業)及經指定之非公務機關,變更為二分法的公務機關及公務機關以外的自然人、法人或其他團體(非公務機關)。由此可以觀察到,金融業原本就是舊法規範對象;此外,金融業在金融監督管理委員會的嚴格監督下,本來就具有高度的內部控制以及個資保護的制度。因此,在個資法通過後,金融業是從既有的規範中更深入的加強保護個人資料,而非從無到有的建立一個制度,真正受影響的,是前開八大類事業外的非公務機關。

   (二)保護客體擴張,更全面保護個人資料

   由法規名稱可知,舊法與個資法最大的不同在於所規範的客體,由原本的「電腦資訊」變為「全面資料」。也就是舊法只規範「經電腦處理的個人資料」部分,新法尚包括「以其他方式處理、足以直接或間接識別個人的資料」。

二、將個資區分為特種個資與一般個資:

   個人資料,指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。其中,醫療、基因、性生活、健康檢查、犯罪前科等資料是參考歐盟個資指令(歐盟的個資法規範),新增該等敏感性資料,除非法律明文規定、履行法定義務且有適當之防護措施、自行公開或已合法公開、統計或學術研究,否則不得蒐集、處理、利用(個資法第6條)。

   敏感性個資除了性生活、基因較容易理解之外,病歷、醫療及健康檢查在區別上說明如下:

   所謂「病歷」之個人資料是指下列各款資料:(1)醫師依醫師法執行業務所製作之病歷。(2)各項檢查、檢驗報告資料。(3)其他各類醫事人員執行業務所製作之紀錄。

   所謂「醫療」之個人資料,指病歷及其他由醫師或其他之醫事人員,以治療、矯正、預防人體疾病、傷害、殘缺為目的,或其他醫學上之正當理由,所為之診察及治療;或基於以上之診察結果,所為處方、用藥、施術或處置所產生之個人資料。

   所謂「健康檢查」之個人資料,指非針對特定疾病進行診斷或治療之目的,而以醫療行為施以檢查所產生之資料。

   其中,健康檢查與其餘二者無交集。醫療與病歷之關係,以條文文字觀之,醫療之個人資料已將病歷包含其中。

   另外,實務上金融業或保全業等行業,對於從業人員的選擇上,均會要求提供良民證,也就是刑事紀錄證明,此將涉及犯罪前科的蒐集,尤其是銀行業直接接觸法定貨幣之行業,對於從業人員的選任又必須謹慎的情況下,該條條文確實可能有窒礙難行之處,因此目前最新公布的個資法第6條並未施行,相信未來會有適度的調整(例如經當事人書面同意而提供亦應列為除外之事項)。

三、告知義務的要求:

   依據個資法第8條,除了符合法定的要件外,原則上都必需要明確告知當事人下列事項:

   1.公務機關或非公務機關之名稱。例如:個資同意書的表頭顯示為:「○○銀行蒐集、處理與利用個人資料告知暨同意書」。

   2.蒐集之目的。請參考法務部發佈訂定之「個人資料保護法之特定目的及個人資料之類別」。以銀行、證券而言,應將:001人身保險、036存款與匯款、037有價證券與有價證券持有人登記、040行銷  (包含金控共同行銷業務)、059(金融服務業依法令規定及金融監理需要,所為之蒐集處理及利用)、063、067、068、069、090、129、181、C182(不一一列舉)…等,置於告知事項內(以上所舉例者是針對金融業的客戶個資之蒐集,至於事業單位對其所屬員工個資蒐集之目的,所需告知項目不完全相同,請特別注意)。惟各機關所選擇告知之目的係依實際執行之業務種類而定,然依筆者觀察,在告知目的或類別事項中,通常是寧可多列,也不要不小心遺漏導致挨罰。

   3.個人資料之類別。同上參考「個人資料保護法之特定目的及個人資料之類別」。

   4.個人資料利用的期間、地區、對象及方式。

   5.當事人得行使之權利與方式。

   6.當事人得自由選擇提供個資時,不提供將對其權益之影響等事項。

   另外,個資法第9條對於間接蒐集得到之個人資料,亦要求告知前開個資的當事人,其個資來源及第8條第1款至第5款所列事項。例如:當事人於授信申請時,填寫其配偶之姓名、身分證統一編號及財力狀況者,即為間接蒐集之資料;應徵時,於人事資料表中填入父、母及兄弟姐妹資料等亦屬之。

四、當事人得主張之權利:

   個資法第3條賦予當事人之權利如下

   1.得查詢或請求閱覽或請求製給複製本,但是金融業還是可以酌收必要合理費用。

   2.得請求補充或更正,依個人資料保護法施行細則第19條,當事人應為適當之釋明。

   3.除公務或非公務機關因職行執務或業務所必須者外,得請求停止蒐集、處理或利用及請求刪除個人資料。

五、團體訴訟之增訂:

   個資法第34條新增團體訴訟求償的規定,財團法人或公益社團法人得代受害之當事人向違反個資法的企業提起團體訴訟,以協助當事人救濟遭侵害之隱私權益。受害當事人每人每次可求償新臺幣(以下同)500至20,000元,相同原因產生的賠償金額合併計算,最高可以達到2億元(個資法第28、29條)。如此的金額是非常可觀的數字,因此不論是企業或團體,應保留完整的書面紀錄,以防在未來有心人士故意興訟或濫用此制度之人出現時,能夠有效的防禦、舉證,以釐清事實真相。

六、主管機關之監督、罰則的提高、賠償責任的增加:

   依據個資法中央目的事業主管機關(如:金管會)或直轄市、縣(市)政府,發現企業違反規定或認有必要時得派員檢查(個資法第22條以下),如發現有違法情況,除了可以扣留違法使用的個人資料外,主管機關還可以限期要求企業改善,若不改善則按次罰鍰,依違反情節不同,從2萬元到50萬元不等(個資法第47、48條)。此外如果情節重大者可能會被列為黑名單公布負責人姓名及違法情形,對企業之形象殺傷力甚大。

   個資法第41條規定,企業違法使用個人資料造成當事人損失,除賠償當事人外,經手個人資料的員工也要面臨2年刑期或20萬元以下罰金,若是意圖營利違法利用個人資料來營利,刑期更是加重到5年以下有期徒刑,或併科罰金1百萬元。如果企業負責人(代表人、管理人或其他有代表權人)未能證明已盡防止義務,主管機關除了對企業先行開罰外,亦會對負責人作同一額度之處罰。

   ■ 個資法的因應對策

   由於金融業在主管機關的高度監督下,對於個人資料的保護,可以認為是各大行業類別中最為周到的,因此本文嘗試以非金融業之企業或團體為例,模擬所應注意之事項。

   一、個資盤點:掌握企業或團體內部,到底擁有多少個資(包括電腦儲存資料或紙本資料),瞭解保護的標的後,才能有效分配保護個資所須耗費的資源。由於個資的數量龐大,在盤點時建議先將類別確定,再分工執行會更有效率。

   二、制度化:確認在企業或團體的業務流程中(包括公司配發之筆電、公司所有使用之表單),所有可能接觸個人資料的作業,將個資保護內化,並使之符合法令規範。如果行有餘力,亦應訂定個資規章,規範事故預防、通報及應變機制,以及對於設備安全管理之措施。

   三、配置個資管理的專責人員:依個資法施行細則第12條,尚需配置管理之人員,因此企業團體必須要選任專責人員,以示該企業團體對於個資之保護確實有投入一定比例資源。

   四、教育訓練:必須對於個資保護為認知宣導及教育訓練。

處理經驗部分:

   依據《個人資料保護法》之要求,目前採行「舉證責任倒置原則」,組織應留存有「證據能力」之紀錄與稽核日誌紀錄,以作為提供無故意與無過失重要證據。

   包含以下內容:

   1.內部使用者存取應用系統之行為若涉及個人資料蒐集、處理及利用,其新增、變更、刪除及查詢(含產製報表/匯出/下載/列印)等行為 :

   2. 系統稽核日誌留存之內容建議,應符合人、事、時、地及物之原則進行規劃與設計。

   3. 由於系統稽核日誌改善需要花費成本與時間,因此建議可分階段改善進行。

適用範圍與通則:

   1. 適用範圍:於個人資料管理體系範圍內,涉及個人資料蒐集、處理及利用之系統,且此應用系統所提供之功能具備個人資料呈現或輸出介面(排除批次程式執行後未有資料輸出之相關功能)。

   2. 內部使用者存取應用系統之行為若涉及個人資料蒐集、處理及利用,其新增、變更、刪除及查詢(含產製報表/匯出/下載/列印)等行為,不論系統處理結果是成功或失敗,皆應記錄使用者之存取行為。

   3. 針對不能配合軌跡日誌要求(如屬套裝軟體),應提出其他補償性措施,如資料遮蔽機制、加強存取權限控管、縮減存取權限等控管機制。

EasyUse EasyUse 在於自行開發系統 Mailhunter ultimate 與 BillHunter ulitmate 已經受到各大金融業稽核認可,相關處理經驗,可直接與負責業務人員聯繫,我們將竭誠為您服務。

相關資料出處:金融業工會《個人資料保護法》在金融業的適用及介紹。