首頁 ﹥ 法律資訊 > 個人資料保護法 > ●從中信金資料外洩事件看個資法的相關規定 2017-07-06
從中信金資料外洩事件看個資法的相關規定
黃于珊律師
根據媒體報導,民國(下同)102年5月13日晚上9點有網友在PTT網站上表示,其接到不明房仲業者的行銷電話,經詢問該房仲業者資料來源後,才知道是中國信託商業銀行網路銀行(以下簡稱中信金網銀)繳費中心的網頁洩漏了他的電話、姓名等個人資料,而且還發現這些遭外洩的個人資料,已經被Google搜尋引擎擷取到暫存網頁和索引中,所以一般人都可以從Google網站搜尋到這些資料。又由網路上所流傳的網站畫面截圖可以看出,許多客戶姓名、手機、市內電話,甚至是信用卡卡號等資料,都可以在Google搜尋網站搜尋的到。
中信金隨後於晚間10點,在網銀的網站首頁公告:「由於目前交易量大,交易回應速度稍慢,若有無法登入網路銀行的情況,請您稍後再試,造成不便,敬請見諒」,並於隔天發布新聞稿證實其網銀繳費中心的網頁出錯,並表示發生異常的經查為網銀「繳費中心」常用帳號設定功能,凌晨已恢復正常,此設定功能是專供客戶自行設定透過網路繳交電費、電信費、有線電視費等繳費項目及代號,與其他網銀功能無關,因此網銀等交易資訊等均未受此事件影響,客戶姓名、帳號等個人資料並未外洩
金管會於102年5月14日表示,經初步了解中信金外洩的資料範圍約在3萬3000筆左右,不過,由於是繳費中心系統出問題,所以外洩的資料主要是登入繳費代號及項目,客戶姓名及帳號等應不至於外洩,除非客戶在備註欄加註個人資料如連絡電話號碼等個人資料。但金管會也已經要求中信金一周內提出報告,包括說明事件發生原因及如何確保客戶資料安全等補救措施,若經查內控有疏失,導致資訊安全出現漏洞,最高可處新台幣(下同)1000萬元罰鍰。
關於此資料外洩事件,本文依2012年10月施行的新版個人資料保護法(下稱個資法)及其相關規定分析如下。
一、中信金所外洩者是否為個人資料
個人資料保護法(下稱個資法)第2條規定:個人資料是指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。
因此中信金所外洩者,若確如中信金及金管會所言,僅有「繳費項目及代號」等資料,則因該資料並無法以直接或間接方式識別出特定個人,所以不會是個資法所稱的個人資料,而不須適用個資法的相關規定。然而,若中信金所外洩的資料,是如網路流傳的網站畫面截圖所示,包含許多客戶姓名、手機、市內電話,甚至是信用卡卡號等資料,因該資料可以直接或間接方式識別出特定個人,故屬個資法所定義的個人資料,而有個資法相關規定之適用。
二、房仲業者利用該個人資料的適法性
又依網友在PTT網站所稱,有房仲業者在中信金網銀繳費中心的網頁查詢到相關人的姓名、電話等個人資料,而後再利用這些資料來進行電話行銷,則其行為是否符合個資法的規範?
首先,因姓名、電話等資料可以直接或間接方式識別出特定個人,故屬個資法所定義的個人資料,而有個資法相關規定之適用。
其次,因為該房仲是由網際網路取得相關人等的姓名、電話等資料,似乎符合個資法第19條第7款本文「個人資料取自於一般可得之來源」之規定,而可認為具備合法蒐集或處理這些個人資料的要件。
然而,因該條款的立法理由為「由於資訊科技及網際網路之發達,個人資料之蒐集、處理或利用甚為普遍,尤其在網際網路上張貼之個人資料其來源是否合法,經常無法求證或需費過鉅,為避免蒐集者動輒觸法或求證費時,明定個人資料取自於一般可得之來源者,亦得蒐集或處理」,因此當蒐集者清楚知道網際網路上的資料來源是非法的時候,應該不能蒐集或處理這些資料,才能符合該條款的立法意旨。本案中,因該房仲是到中信金網銀繳費中心的網頁取得這些資料,應該可以知道這些資料是非法外洩的個人資料,所以仍不應蒐集或處理這些資料,否則還是會構成個資法的違反。
三、主管機關可行使的權力
個資法第22條第1、2項規定:中央目的事業主管機關或直轄市、縣(市)政府為執行資料檔案安全維護、業務終止資料處理方法、國際傳輸限制或其他例行性業務檢查而認有必要或有違反本法規定之虞時,得派員攜帶執行職務證明文件,進入檢查,並得命相關人員為必要之說明、配合措施或提供相關證明資料。中央目的事業主管機關或直轄市、縣(市)政府為前項檢查時,對於得沒入或可為證據之個人資料或其檔案,得扣留或複製之。對於應扣留或複製之物,得要求其所有人、持有人或保管人提出或交付;無正當理由拒絕提出、交付或抗拒扣留或複製者,得採取對該非公務機關權益損害最少之方法強制為之。
此外,個資法第48條第1項第4款規定:非公務機關保有個人資料檔案者,未採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏時,由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者,按次處2萬元以上20萬元以下罰鍰。
因此,金管會除可命中信金於一周內提出報告,說明事件發生原因及如何確保客戶資料安全等補救措施外,並可直接派員進入該公司內部,進行行政檢查,甚至可以對於可沒入或可為證據之個人資料或其檔案,進行扣留或複製,同時若發現該公司未採行適當的安全措施,此外亦可命其限期改善,且若屆期未改正,還能按次處2萬元以上20萬元以下罰鍰。
去年10月個資法施行以來,個資外洩的事件仍層出不窮,公司內部對於個人資料安全維護的輕忽,是造成個資外洩的最主要原因,對此行政機關似可發揮更積極的作用,派員進行行政檢查,以查核各企業落實個人資料保護的程度,同時敦促各企業積極落實個人資料的安全維護。