第三章 客戶資訊在我國法上之保護
第一節 個人資料保護法的保護
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
第三章 客戶資訊在我國法上之保護
我國法針對客戶個人資訊隱私,有統一之成文法「個人資料保護法」加以保
護,且該法之規範對象不限於公務機關,非公務機關亦包含在內;而本章之主題 將集中在非公務機關之部分,探討其應如何蒐集、保存、利用、傳輸客戶之個人 資訊,方符合該法之要求,以降低企業之違法風險。
另外,當客戶資訊符合營業秘密之要件時,亦受我國「營業秘密法」及「公 平交易法」之保護。本章除討論其個別之法律要件及違反之法律效果外,更對兩 項法規之間的競合問題進行探討,使企業將來遵循法規時有所依據。
第一節 個人資料保護法的保護
壹、客戶資訊為個資法之保護標的
個人資料保護法第1 條規定:「為規範個人資料之蒐集、處理及利用,以避免 人格權受侵害,並促進個人資料之合理利用,特制定本法。」由此可知,該法所 欲保護之法益乃隱私權內涵中之「個人資料自主控制權95」。
依個人資料保護法第2 條第 1 款,「個人資料」係指:自然人之姓名、出生年 月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、
病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會 活動及其他得以直接或間接方式識別該個人之資料。同條第2 款,「個人資料檔案」
指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集 合。客戶資訊乃涉及客戶之姓名、聯絡方式等特徵,在不同行業有不同的面向,
95 詳參司法院釋字第 603 號。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
例如:醫療業多涉及病歷、健康檢查等;金融業則涉及財務情況及社會活動等,惟 皆符合上述「個人資料」之定義,且皆以系統集結多數個人資料,而形成得以自 動化或非自動化之方式檢索、整理之個人資料檔案。因此,「客戶資訊」理應屬我 國個人資料保護法之保護標的。
然而,就特定具有高度私密性質之個人資料,其蒐集、處理或利用亦較為受 管制,以保障個人隱私權。依同法第6 條第 1 項之規定,有關醫療、基因、性生 活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之 一者,不在此限:
(一)法律明文規定。
(二)公務機關執行法定職務或非公務機關履行法定義務所必要,且有適當安全維 護措施。
(三)當事人自行公開或其他已合法公開之個人資料。
(四)公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術 研究而有必要,且經一定程序所為蒐集、處理或利用之個人資料。
至於何謂「當事人自行公開」,個人資料保護法施行細則第 13 條另有規定:
本法第六條第一項第三款、第九條第二項第二款、第十九條第一項第三款所稱當 事人自行公開之個人資料,指當事人自行對不特定人或特定多數人揭露其個人 資料之情形96。蓋此時應認已不具「合理之隱私期待」97,自不受個人資料保護法 之特別保護。
因此,就涉及醫療、基因、性生活、健康檢查及犯罪前科等客戶資訊,若當 事人自行對不特定人或特定多數人揭露,企業自得就該等資料加以蒐集、處理或 利用。另外,私立學術研究機構基於醫療、衛生或犯罪預防目的,為統計或學術 研究之必要,且經一定之蒐集、處理、利用客戶資訊程序者,或企業履行法定義
96參酌司法院釋字第145 號解釋意旨,所謂多數人,係包括特定之多數人在內。至於特定多數人
之計算,自應視其相關法規之立法意旨及實際情形已否達於公開之程度而定。
97參酌司法院釋字第603 號解釋意旨,基於人性尊嚴與個人主體性之維護及人格發展之完整,並
為保障個人生活私密領域免於他人侵擾及個人資料之自主控制,隱私權乃為不可或缺之基本權 利,而受憲法第二十二條所保障。由此可知,個人資料之自主控制權亦為隱私權之一環,自應符 合「合理之隱私期待」要件。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
務所必要,且有適當安全維護措施者,亦得為客戶資訊之蒐集、處理及利用。反 之,若無法律明文准許,則不得蒐集、處理或利用上述涉及高度私密性質之客戶 資訊。
貳、資訊蒐集者之告知義務
依個人資料保護法第 8 條第 1 項:公務機關或非公務機關依第十五條或第十九 條規定向當事人蒐集個人資料時,應明確告知當事人下列事項:
(一)公務機關或非公務機關名稱。
(二)蒐集之目的。
(三)個人資料之類別。
(四)個人資料利用之期間、地區、對象及方式。
(五)當事人依第三條規定得行使之權利及方式。
(六)當事人得自由選擇提供個人資料時,不提供將對其權益之影響。
同條第 2 項:有下列情形之一者,得免為前項之告知:
(一)依法律規定得免告知。
(二)個人資料之蒐集係公務機關執行法定職務或非公務機關履行法定義務 所必要。
(三)告知將妨害公務機關執行法定職務。
(四)告知將妨害第三人之重大利益。
(五)當事人明知應告知之內容。
依同法第 9 條第 1 項:公務機關或非公務機關依第十五條或第十九條規定蒐集 非由當事人提供之個人資料,應於處理或利用前,向當事人告知個人資料來源及 前條第一項第一款至第五款所列事項。同條第3 項:第一項之告知,得於首次對當 事人為利用時併同為之。
同條第 2 項:有下列情形之一者,得免為前項之告知:
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
(一)有前條第二項所列各款情形之一。
(二)當事人自行公開或其他已合法公開之個人資料。
(三)不能向當事人或其法定代理人為告知。
(四)基於公共利益為統計或學術研究之目的而有必要,且該資料須經提供 者處理後或蒐集者依其揭露方式,無從識別特定當事人者為限。
(五)大眾傳播業者基於新聞報導之公益目的而蒐集個人資料。
其中,告知之方式為何,在施行細則有詳細規定。個人資料保護法施行細則 第16 條:依本法第八條、第九條及第五十四條所定告知之方式,得以言詞、書面、
電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之 個別通知方式為之。蓋個人資料之蒐集和使用,事涉當事人之隱私權益。為使當 事人明知其個人資料被何人蒐集及其資料類別、蒐集目的等,本法規定告知義務,
俾使當事人能知悉其個人資料被他人蒐集使用之情形,以落實個人資料之自主控 制98。而依同法第17 條:本法第九條第二項第四款、第十六條但書第五款、第十九 條第一項第四款及第二十條第一項但書第五款所稱資料經過處理後或依其揭露方 式無從識別特定當事人,指個人資料以代碼、匿名、隱藏部分資料或其他方式,
無從辨識該特定個人之情形。
又依個人資料保護法第 12 條:公務機關或非公務機關違反本法規定,致個人 資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。此規 定對企業課以通知義務,要求其於查明客戶資訊被侵害之情形後,以適當方法通 知當事人,使當事人得了解其個資被侵害之情形,便利其行使權利。
因此,當企業向當事人蒐集客戶資訊時,除客戶資訊之蒐集係企業履行法定 義務所必要,或告知將妨害第三人之重大利益,或其他法律明訂得免為告知之情 形外,應明確告知當事人蒐集者名稱、蒐集目的、客戶資訊類別、客戶資訊利用 之期間、地區、對象及方式、當事人得行使之權利、當事人不提供客戶資訊將對 其權益之影響等。
98參考法務部法令字第10103107360 號令,電腦處理個人資料保護法施行細則修正總說明,頁 16。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
若企業蒐集非由當事人提供之客戶資訊時,除客戶資訊之蒐集係企業履行法 定義務所必要,或告知將妨害第三人之重大利益,或係蒐集當事人自行公開、其 他合法公開之客戶資訊,或大眾傳播業者基於新聞報導之公益目的而蒐集客戶資 訊,或基於公益為統計、學術研究目的而有必要所為蒐集,且依該資料揭露方式 已無從識別特定當事人,或其他法律明訂得免為告知之情形外,應於處理或利用 前,向當事人告知客戶資訊來源及前述其他應行告知事項。
參、資訊蒐集者之答覆查詢及補充更正義務
個人資料保護法第 10 條:公務機關或非公務機關應依當事人之請求,就其蒐 集之個人資料,答覆查詢、提供閱覽或製給複製本。但有下列情形之一者,不在 此限:
(一)妨害國家安全、外交及軍事機密、整體經濟利益或其他國家重大利益。
(二)妨害公務機關執行法定職務。
(三)妨害該蒐集機關或第三人之重大利益。
依施行細則第 18 條之規定:本法第十條第三款所稱妨害第三人之重大利益,
指有害於第三人個人之生命、身體、自由、財產或其他重大利益之情形。
個人資料保護法第 11 條第 1 項:公務機關或非公務機關應維護個人資料之正 確,並應主動或依當事人之請求更正或補充之。同條第2 項:個人資料正確性有爭 議者,應主動或依當事人之請求停止處理或利用。但因執行職務或業務所必須並 註明其爭議或經當事人書面同意者,不在此限。同條第5 項:因可歸責於公務機關 或非公務機關之事由,未為更正或補充之個人資料,應於更正或補充後,通知曾 提供利用之對象。
依施行細則第 19 條之規定:當事人依本法第十一條第一項規定向公務機關或 非公務機關請求更正或補充其個人資料時,應為適當之釋明。此係指當事人應舉
依施行細則第 19 條之規定:當事人依本法第十一條第一項規定向公務機關或 非公務機關請求更正或補充其個人資料時,應為適當之釋明。此係指當事人應舉