第四章 保險業之個人資料保護
第二節 保險業個人資料使用及限制
第一項 一般性個人資料與敏感性個人資料
根據個人資料保護法第 2 條第 1 款,我國定義之個人資料包括:自然人之姓 名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、
教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財 務情況、社會活動及其他得以直接或間接方式識別該個人之資料;又個人資料中 又區分所謂敏感性個資之個人資料與一般性個資。根據個人資料保護法第 6 條規 定(現行條文):「有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人 資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:一、法律明文 規定。二、公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事 前或事後有適當安全維護措施。三、當事人自行公開或其他已合法公開之個人資 料。四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或 學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別 特定之當事人。五、為協助公務機關執行法定職務或非公務機關履行法定義務必 要範圍內,且事前或事後有適當安全維護措施。六、經當事人書面同意。但逾越 特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或 利用,或其同意違反其意願者,不在此限。 依前項規定蒐集、處理或利用個人 資料,準用第八條、第九條規定;其中前項第六款之書面同意,準用第七條第一 項、第二項及第四項規定,並以書面為之。」,立法理由中稱「病歷、醫療、基 因、性生活、健康檢查及犯罪前科」之個人資料係個人資料中性質較為特殊或具 敏感性的,若任意蒐集、處理或利用,恐會造成社會不安或對當事造成難以彌補 的傷害,故相對於一般個人資料,對敏感性資料採取原則禁止例外允許的立法模
式。此外,若與國外個資保護架構比較,如歐盟 GDPR,我國未將揭露種族、政治 意見、宗教或哲學信仰等類個人資料列為具敏感性之特殊類別資料。
無庸置疑地,個人資料係保險業經營不可或缺的重要一環,相對於產險業,
壽險業又更依賴病歷、醫療、健康檢查等所謂具特殊敏感性之個資,這也衍生後 續爭議,包括:何謂病歷、醫療、健康檢查資料?若一概禁止敏感性個資的蒐集、
處理或利用壽險業又該如何經營?等問題將於本研究後續章節深入的討論。
第二項 個人資料保護法對保險業之影響
個人資料保護法 2010 年公布尚未施行前,保險雜誌就曾以斗大標題揭示
「客戶資料外洩,新個資法 2 億伺候67」,對於這些仰賴大量客戶資料做為業務開 發之基礎的金融保險從業人員,個人資料保護法將是一大挑戰。雖說電腦處理個 人資料保護法時期保險業已受電腦處理個人資料保護法之規範,惟如前所述,受 保護之個體僅限於電腦處理之資料,且並無告知義務、當事人同意等規定,現行 之個人資料保護法不僅擴大保護客體,增加許多行為規範,亦提高罰責,還另公 告其他應遵循之相關辦法。本文參酌現行之個人資料保護法,分析修法後對保險 業經營之影響如下,又壽險業可能涉及之個資使用層面更廣,故特別側重之:
一、保險銷售階段
在個人資料保護法規定之下,以任何方式取得個人資料即屬蒐集68,為防止 道德危險與逆選擇,保險人於核保前,會進行必要之個人資料蒐集以評估風險,
如要保書的填寫、身體檢查、調閱病歷等,皆受個人資料保護法之約束,保險銷 售端首當其衝。根據個人資料保護法第 7 條、第 8 條、第 9 條規定,保險人(業 務員)需履行告知義務,告知內容包括蒐集之目的、蒐集之個人資料類別、個人
67 穆震宇,客戶資料外洩,新個資法 2 億伺候,現代保險健康理財雜誌,第 263 期,2010 年 11 月,頁 34。
68 參考個人資料保護法第 2 條第 3 款。
資料之來源(間接蒐集時)、個人資料利用之期間、對象、地區、方式及依據個 資法第 3 條規定當事人得行使之權利等69,在獲得當事人之同意後,方得對所蒐 集來之個資為特定目的內或特定目的以外之利用,使目前傳統型保單銷售之要保 人與被保險人,比過去需多簽一份蒐集、處理及利用個人資料告知暨同意書。又 因保險契約為附合契約,契約內容早已由保險人製成,為避免保險人利用概括條 款,欲一勞永逸的獲得當事人個資使用的書面同意,個資法第 7 條第 2 項特別強 調為特定目的外之利用,需經保險人明確告知特定目的外之其他利用目的、範圍 及同意與否對當事人權益之影響,並獲得當事人所為單獨之同意意思表示才可,
即加強蒐集目的與保單服務的關聯性,故若保險人要將客戶資料做交叉行銷,或 其他與保單服務無關之商業活動,則必須對其他使用目的另擬一份同意書,由當 事人簽名70。
壽險業銷售保險時尤重被保險人的健康資訊之取得,為核保之精確,要求被 保險人對於自身健康狀態履行據實說明義務,而過去電腦處理個人資料保護法並 無所謂的特種資料的區分,但根據最初個人資料保護法頒布後,個人資料保護法 第 6 條規定之特種個資,有關「醫療、基因、性生活、健康檢查」之個人資料不 得蒐集、處理或利用,除非符合但書情形。因此,若照此規定,將會對壽險業造 成嚴重影響,故此條未公布施行日期,係考量一旦直接施行,壽險業若不能取得 上開資料,保險人即無從得知被保險人身體健康狀況,又如何評估風險或預防道 德危險?也因此,保險法緊急於個人資料保護法第 6 條施行前增訂第 177 條之 1 以為因應。
69 參考壽險業履行個人資料保護法告知義務內容參考範本、產險業履行個人資料保護法告知義 務內容參考範本。此外上開個資法告知義務內容參考範本亦說明各公司履行告知義務,不限取得 當事人簽名,縱無簽署亦不影響告知效力。各公司應採下列方式之一保全履行告知義務之證明:
一、電話行銷之電話錄音檔。二、當事人表明已受告知之書面文件或註明當事人已收受告知書之 保單、契約變更或理賠等簽收回條。三、將告知書內容與要保書或保險契約相關申請文件合併列 印。
70 穆震宇,個資同意書,包山包海問題多,現代保險健康理財雜誌,第 288 期,2012 年 12 月,
頁 86。
此外,假若壽險公司已先行開始蒐集、處理相關被保險人姓名、身分證字號、
病歷、醫療等資料,但後續發現被保險人應加費投保遭拒,或被保險人係在拒保 範圍內,依法務部行政函釋71所示,除非有個人資料保護法第 11 條第 3 項但書規 定情形,應主動或依當事人請求刪除、停止利用該資料,既無後續履約問題,不 得廣泛的認為為預防日後訴訟或證據保全之需要,而不刪除該等蒐集之特定目的 消失或期限屆滿之個人資料,否則於訴訟或相關保險爭議確實產生前,保險業均 得無限期保存該等個人資料,應視具體個案情況,依保險相關法規規範判斷保存 個人資料適當年限,避免業者無限期保存該等資料,以實踐資料保存期間最小限 度原則。
就電話行銷部分,過去保險公司會利用客戶資料庫,甚至透過交易而來之個 資進行電話行銷保單,看準電話行銷成本低,時間投入較少,比起傳統保單銷售 型態能省下親自會晤要保人的時間成本,因此電話行銷是保險公司重要業績來源 之一。電話行銷講求以精簡的話術吸引客戶的注意,在短時間內讓客戶產生興趣 至最後同意訂約,然而在個人資料保護法上路以後,保險業者面臨的是成本驟升,
不僅有多款告知事項需一一說明,在告知完畢前客戶早已失去興趣,造成成交量 銳減,並且依規定電話行銷全程都需錄音,客戶個資若以交易取得更有觸法之虞。
目前不只一家保險公司曾受處罰72,在收入不敷成本之下,電話行銷似乎失其便 利性,甚至有保險業者直接裁撤電話行銷部門73,可見電話行銷保單因個資法所
71 法務部,法律字第 10403509510 號函釋,發文日期:2015 年 9 月 7 日。
72 2013 年 11 月 26 日保誠人壽保險股份有限公司受裁罰。該公司電話行銷錄音紀錄,查有未完 整備份存檔;2014 年 3 月 31 日國際康健人壽保險股份有限公司辦理電話行銷業務,有錄音檔 但未依規定完整留存而受裁罰;2014 年 2 月 24 日新光人壽保險股份有限公司辦理電話行銷業 務,因全程錄音未取得客戶同意及個人資料詢問未取得同意;2016 年 1 月 12 日國泰人壽保險 股份有限公司因辦理電話行銷業務,未於通話之初告知受話人全程錄音並經其同意者而受裁 罰。資料來源:金融監督管理委員會裁罰案件查詢,網址:
https://www.fsc.gov.tw/ch/home.jsp?id=131&parentpath=0,2。(最後瀏覽日:2018 年 5 月 20 日)
73 個資法衝擊 南山裁電話行銷部,民視新聞,網址:
https://tw.news.yahoo.com/%E5%80%8B%E8%B3%87%E6%B3%95%E8%A1%9D%E6%93%8A- %E5%8D%97%E5%B1%B1%E8%A3%81%E9%9B%BB%E8%A9%B1%E8%A1%8C%E9%8A%B7%E9%83%A8-061320287--finance.html。(最後瀏覽日期 2018 年 5 月 20 日)
受之衝擊。
二、核保階段
如前所述,保險係將風險分類後進行危險分散與轉嫁的機制,以分攤個別損 失,核保在這機制中扮演非常重要的角色,目的在於保險公司要決定是否接受投 保人的申請,將其歸類於何風險群體,以確定適當合理的費率計算保費;又不同 的保險人會有不同的核保原則,但核保的基本原理大致相同,係根據不同險種有
如前所述,保險係將風險分類後進行危險分散與轉嫁的機制,以分攤個別損 失,核保在這機制中扮演非常重要的角色,目的在於保險公司要決定是否接受投 保人的申請,將其歸類於何風險群體,以確定適當合理的費率計算保費;又不同 的保險人會有不同的核保原則,但核保的基本原理大致相同,係根據不同險種有