但這樣的處理方式,真的是吾輩透過個人資料保護法擬「重建社會信任」應有之詮釋嗎?筆者認為「主管機關」應該在這個個人資料蒐集、處理及利用過度泛濫的年代裡,應該從消費者個人資料權益保護的立場,扮演更重要的角色。個人資料保護法第25條:「Ⅰ非公務機關有違反本法規定之情事者,中央目的事業主管機關或直轄市、縣(市)政府除依本法規定裁處罰鍰外,並得為下列處分:一、禁止蒐集、處理或利用個人資料。二、命令刪除經處理之個人資料檔案。三、沒入或命銷燬違法蒐集之個人資料。四、公布非公務機關之違法情形,及其姓名或名稱與負責人。Ⅱ中央目的事業主管機關或直轄市、縣(市)政府為前項處分時,應於防制違反本法規定情事之必要範圍內,採取對該非公務機關權益損害最少之方法為之。」條文中明確規定「非公務機關有違反本法規定之情事」,並未限於特定條文,亦即,行動支付業者倘涉及違反第5條有關未尊重當事人之權益、未依誠實及信用方法為之、已逾越特定目的之必要範圍、與蒐集之目的不具有正當合理之關聯,主管機關本即得「主動」為行政指導,或事先邀集相關業者進行溝通,而非靜待消費者個人向業者主張權利。
從新修正個人資料保護法的架構觀察,由事前許可制轉變為事後管制,考量到一般民眾對於個人資料仍然處於相同弱勢的地位,筆者認為這樣的架構調整,對於行政機關而言,不應直接解讀為由「主動」轉變為「被動」,個人資料保護法第5條既已規定要求進行個人資料蒐集、處理及利用的組織或個人,應「自我抑制」以對當事人影響較小之方式為之,而行動支付業者蒐集、處理及利用個人資料,屬於對個人影響較大(例如:信用卡資料,如果手機遺失,則顯然會造成消費者的困擾及實際的權益損害),行政機關在此類較敏感的服務推出時,若能適時扮演其「主管機關」應有之角色,依第22條第1項規定,以「有違反本法規定之虞」派員進行調查,並予以適當之行政指導。
事實上,跨服務或事業的資料共同使用行為之限制,本即為個人資料保護法制發展之重心,早期個人資料保護法制發展即有部分國家係為對抗國家這個蒐集、處理及利用個人資料最嚴重的「組織」為其目的。筆者認為比較可惜的是在個人資料保護立法政策似轉向以建立「個人資料權」為方向時,忘卻在個人資料蒐集、處理及利用最嚴重的這種跨資料庫的利用行為進行適當的管制,乃是新修正個人資料保護法在改採事後管制的機制最重要的立法缺漏,在商業組織的力量幾與國家併駕齊驅的環境下,預期也勢將造成個人資料蒐集、處理及利用的浮濫。
筆者認為在兼顧個人資料合理利用及個人資料權益保護之情形下,對於這樣的問題,可以金融控股公司法為例,將個人基本資料與往來交易資料區分層級管制。金融控股公司法第43條第2項規定:「金融控股公司之子公司間進行共同行銷,其營業、業務人員及服務項目應使客戶易於識別。共同使用客戶資料時,除個人基本資料外,其往來交易資料及其他相關資料,應先經客戶書面同意,且不得為使用目的範圍外之蒐集或利用;客戶通知不得繼續共同使用其個人基本資料、往來交易資料或其他相關資料時,應即停止共同使用。」亦即,金控公司的子公司之間,就有關個人資料共同行銷的利用行為,亦僅限「個人基本資料」的部分可以共同使用,就往來交易資料及其他相關資料,還是應該先經客戶書面同意,且不得為使用目的範圍外之蒐集或利用。
以現行個人資料保護法並無單一主管機關,而是以各目的事業主管機關為「主管機關」的情形下,筆者建議各目的事業主管機關在進行個人資料宣導或行政指導時,應就大型業者跨服務類別之個人資料蒐集、處理及利用,要求建置獨立的個人資料檔案(資料庫),並要求不同服務的個人資料檔案之間,除個人基本資料外,不得由不同部門之人員進行內部的「流用」;行動支付業者若為電信或網路業者,NCC除應主動就其個人資料之安全維護進行查核外,亦應公告電信或網路業者在涉及此類金融服務的合作時,應遵守相關告知消費者之程序,提供消費者選擇的機會;金管會則應要求相關之信用卡業者(銀行)或電子票證的業者,禁止在此類合作時,允許行動支付業者留存消費者個人之消費資訊等。讓消費者儘可能還是維持在不同業者或不同服務間,個人資料相對獨立的狀態,相信對於業者雖會增加成本,但業者可以透過更嚴謹的方式取得消費者就個人交易資料的流用,才能確保消費者在現行環境下真正的個人資料的自主權。
個人資料保護法Q&A-從NFC手機談個人資料的管制(上)、(中)、(下)
同系列文章
黃曉薇律師,個人資料保護法Q&A-書面同意是否一定要以紙本為之?
賴文智律師,個人資料保護法Q&A-敏感性個人資料禁止蒐集的效力?
賴文智律師,個人資料保護法Q&A-網友「人肉搜索」的合法性?
賴文智律師、蕭家捷律師,個人資料保護法Q&A-僱主臉書(Facebook)洩個資,當然不行!
賴文智律師、蕭家捷律師,個人資料保護法Q&A-可否要求網路業者刪除網友張貼之個人資料?
賴文智律師、蕭家捷律師,從南韓控蘋果集體訴訟案看我國個資法團體訴訟制度
賴文智律師,個人資料保護法Q&A-從NFC手機談個人資料的管制
賴文智律師,個人資料保護法Q&A-企業上雲端,個資保護責任誰負?
賴文智律師,個人資料保護法Q&A-依法股東名冊絕不能外流?
賴文智律師,個人資料保護法Q&A-拒絕電話行銷後,仍然不斷收到相同業者的電話?
賴文智律師,個人資料保護法Q&A-與當事人約定永久保留、使用其個人資料,是否有違反法律?