新版個人資料保護法 對金融業衝擊及因應之道

兼論美國FATCA下之個資保護

德 勤 商 務 法 律 事 務 所 林 瑞 彬 律 師

2 0 1 1 年 5 月 1 7 日

簡報大綱 Contents



新版個資法與現行法之差異



新版個資法對金融業之衝擊



金融業如何因應新版個資法



個資保護之因應策略與執行方式概覽圖



具體化適當安全維護措施之參考



美國FATCA遵循與個資保護



Q&A

新版個資法與現行法之差異



擴大非公務機關適用範圍

非公務機關：指依法行使公權力之中央或地方機關或行政法人以外 之自然人、法人或其他團體。 

增加特種個資及修正概括條款定義

一般個資：自然人之姓名、出生年月日、國民身分證統一編號、 護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、聯絡 方式、財務情況、社會活動 特種個資：醫療、基因、性生活、健康檢查及犯罪前科 概括條款：其他得以直接或間接方式識別該個人之資料 ©2011 勤業眾信版權所有 保留一切權利

新版個資法與現行法之差異



增加當事人書面同意

蒐集個資者必須先告知當事人法定告知事項後，取得當事人之書 面同意（依施行細則草案，書面同意限於紙本及電子簽章，不包 含網路勾選或email回覆） 

增加法定告知事項：

（1）蒐集者名稱（2）蒐集目的（3）個人資料之類別（4）個人 資料利用之期間、地區、對象及方式（5）當事人得請求查詢或閱 覽、製給複製本、補充或更正、停止蒐集、處理或利用、請求刪 除，及行使此等權利之方式（6）當事人選擇不提供時，將對其權 益之影響。 ©2011 勤業眾信版權所有 保留一切權利

新版個資法與現行法之差異



增加個資遭侵害時應查明後通知當事人之規定

非公務機關違反個資法規定，致個人資料被竊取、洩漏、竄改或 其他侵害者，應查明後以適當方式通知當事人。 

增加主管機關除裁處罰鍰外得為之處分

  主管機關除裁處罰鍰外，得公布非公務機關之違法情形，及其姓 名或名稱與負責人。

增加財團法人或公益社團法人訴訟實施權之規定

提供當事人因權利受侵害之事件發生時，財團法人或公益社團法 人經受有損害之當事人20人以上以書面授與訴訟實施權者，得以 自己名義，提起損害賠償訴訟。

增加非公務機關代表人、管理人或其他有代表權人之責任

非公務機關受罰鍰處罰時，其代表人、管理人或其他有代表權人 除能證明已盡防止義務者外，應並受同一額度罰鍰之處罰。 ©2011 勤業眾信版權所有 保留一切權利

新版個資法對金融業之衝擊



業務面的衝擊：



「特定目的」應特定至何種程度？



異業合作之客戶名單共享：是否須告知合作對象之名稱？更換時 是否須重新告知？



現有個資於新版個資法實施後之「再行銷」



新版個資法對現有個資有無溯及既往？



行銷A產品所取得之個資，是否可直接用於行銷B產品？



當事人之「書面同意」：



限於紙本或電子簽章？



得否以「公告」或「未拒絕即視為同意」代替？



委外行銷之適法性與責任歸屬？

©2011 勤業眾信版權所有 保留一切權利

新版個資法對金融業之衝擊



管理面的衝擊：人員招募及員工個資管理



人員招募：



自人力銀行取得個資？



可否詢問員工前科記錄？



員工個資管理：



到職及定期健檢？



員工於離職時要求刪除個資？

©2011 勤業眾信版權所有 保留一切權利

新版個資法對金融業之衝擊



法律面的衝擊：



實體法責任：



公司責任：刑罰、行政罰、民事賠償



負責人責任：自己責任、與法人併罰責任

=>公司受罰鍰處罰時，代表人、管理人或其他有代表權人，除 能提出反證，證明已盡防止義務者外，應受同一額度罰鍰之 處罰，且依法務部見解，

不得由非公務機關代付



程序法責任：舉證責任倒置

 非公務機關違反個資法規定，致個人資料遭不法蒐集、處理、利 用或其他侵害當事人權利者，負損害賠償責任。

但能證明其無故 意或過失者，不在此限。

©2011 勤業眾信版權所有 保留一切權利

金融業如何因應新版個資法？

 全面盤點現有個資，區分「直接取得」及「間接取得」二類，並對後 者依新法踐行告知事項  針對現有個資管理機制，進行新法之隱私權衝擊分析或差異性分析  建置因應當事人依新法行使權利時之機制，例如設置統一對外窗口及 標準作業流程  針對涉及個資之委外作業，重新審閱委外合約及建置如何善盡管理監 督責任之作業流程（如：簽證會計師事務所是否已導入新個資法？）  留存各項針對個人資料安全之維護紀錄，例如安全維護計畫、定期查 核報告等，以加強日後主張無過失之舉證強度 ©2011 勤業眾信版權所有 保留一切權利

個資保護之因應策略與執行方式概覽圖

個人資料保護法 施行細則 個人資料保護法 行政命令 特定目的 行政命令 個人資料類別 金融業個人資料檔案安全維護計畫標準 金融業業務終止後個人資料處理方法標準 • 其它法令  銀行法  金融控股公司法  勞動基準法   保險業相關法令 …...

等 • 國際最佳實務  PMS( 隱私標章 )    JISQ-15001:2006 BS10012:2009 ISO27001:2005 組織的個資保護 良善意圖 ．訂定隱私保護 政策及相關內部 規範 對應執行所需內涵之呈現形式 委外 / 再委託管理 當事人權利 個資事件 應變與管理 ． 加強與受委託單 位之管理與稽核 ． 強化當事人權利 行使之流程 ．規劃損害發生 之應變機制 資料生命 週期安全控管 ．最小限度蒐集 與利用及損賠預 估與保險 分析業務活 動資料與個 資關鍵環境 與現行法之 衝擊分析 (PIA) 個資管理及 其使用權責

PDCA

個資保護控 管風險分析 適當之工具 部署與監控 個資保護活 動記錄與軌 跡 數位鑑識與 犯罪 / 舞弊 偵防 ©2011 勤業眾信版權所有 保留一切權利

具體化適當安全維護措施之參考

由於適當安全措施並無具體措施可供遵循，爰參考日本經濟產業省提供 的Ｇuideline，建議可就四個面向對個人資料檔案進行安全維護措施， 亦可做為已對個資保護上盡善良管理人程度注意義務的證據: 

組織層面:

確認企業內部責任歸屬及權限範圍，制訂安全管理規章，並 確認實際運用的狀況 

人員層面:

人員是對於個資的蒐集、處理及利用的主要關鍵點，建立人 員及委外廠商對於業務秘密及個資保護的正確觀念以及傳達內部相關 教育訓練事項是非常重要的一環 

物理層面:

嚴格把關處理及保管個資的場所，確保個資能夠在安全的環 境下被處理及保存 

技術層面:

對於個資檔案以及軟體方面的保護，杜絕不正存取、駭客入 侵及惡意破壞等技術層面的侵害 ©2011 勤業眾信版權所有 保留一切權利

具體化適當安全維護措施之參考 組織面

個人資料保護方針範例 內部罰則範例 ©2011 勤業眾信版權所有 保留一切權利

具體化適當安全維護措施之參考 人員面

委託方之監督義務 ©2011 勤業眾信版權所有 保留一切權利

具體化適當安全維護措施之參考 物理面

個人資料檔案管理清冊及保存處所管理範例 ©2011 勤業眾信版權所有 保留一切權利

具體化適當安全維護措施之參考

留存完整紀錄 ©2011 勤業眾信版權所有 保留一切權利

美國 FATCA 遵循及個資保護

 美國Treasury及IRS去年頒訂Notice 2010-60，今年頒訂補充規定 Notice 2011-34  Notice 2010-60主要規定：  2013年1月1日前，外國金融機構須與美國政府簽訂FFIA，同意遵 守FATCA各項規定  倘拒絕加入，除不得於美國設立分支機構外，自美國境內取得 ，或自其他參與FFIA之金融機構取得之投資收入（例如美國公 債、投資美國股市等），將遭扣繳30％之稅款  簽訂FFIA之外國金融機構，自2013年起必須每年向美國政府申報 當年度美國納稅義務人（美國籍或持有綠卡）透過該機構帳戶所 獲之利息及所得、資金流動、資本利得情形及最高月餘額  倘金融機構拒絕申報或申報不實，該美國納稅義務人將被視為 外國人，其美國來源所得將依30％扣繳（本國人是15％）  倘具美國納稅義務人身分之客戶拒絕申報，外國金融機構必須 關閉該客戶之帳戶 ©2011 勤業眾信版權所有 保留一切權利

美國 FATCA 遵循及個資保護

 Notice 2011-34主要規定：      外國金融機構須於2015年1月1日前完成第一次查核現有客戶是否 具美國納稅義務人身分，且須每年更新確認（2014年1月1日前必 須完成查核作業準則） 外國金融機構之法務長或法令遵循主管，必須確認該金融機構遵 守FATCA，並確認並無內部人員在FFI協議生效前協助客戶規避稅 責 增加「外國金融機構附屬機構」之認定標準，該附屬機構同樣負 有申報義務 將外國金融機構必須申報之「最高月餘額」改成「年餘額」 增訂「有簽訂FFIA之外國金融機構」就給付予「未簽訂FFIA之外 國金融機構」之款項，應如何依FATCA辦理30％扣繳之認定標準 ©2011 勤業眾信版權所有 保留一切權利

美國 FATCA 遵循及個資保護

 FATCA與新版個資法之衝突：  我國金融機構可以不參加FATCA嗎？  FATCA是否符合新版個資法「法律明文規定」之「法律」？  我國金融機構可否依FACTA規定，片面修改定型化契約？  倘具美國及我國雙重國籍之客戶，拒絕配合查核或拒絕申報，而 我國金融機構依FATCA規定而關閉帳戶，則機構本身及其負責人 將面臨何種法律責任？ ©2011 勤業眾信版權所有 保留一切權利

Q&A

Q1: 當事人依新法第三條之規定要求刪除其資料時，金融機關可否拒絕?

擬答: 金融機關依其業務性質，對於防制洗錢、信用違約等資料，依法 令需保存一定期限，按照特別法優於普通法原則，若當事人要求刪除 時，解釋上應可作為拒絕刪除之依據。至於當事人依新法第三條行使 其他權利，例如要求金融機關停止蒐集、處理、利用其資訊時，則可 先判斷是否有第10條但書(妨害整體經濟利益、該蒐集機關或第三人 之重大利益)及第11條第3項但書(因執行職務或業務所必須)之規定。 惟似可建議如同保險法增訂第177-1條(目前仍為草案)之作法，於金 融法規中增訂為健全金融整體發展，明定在一定條件下可排除新版個 資法第3條有關當事人行使權利之適用。 ©2011 勤業眾信版權所有 保留一切權利

Q&A

Q2: 有關金控公司共同行銷的部分，在新法施行後該如何因應?

擬答: 依金融控股公司法第 43條規定，金控公司子公司間進行共同行銷時， 營業、業務人員及服務項目應使客戶易於識別。 需特別注意的是，該條 中亦明文規定，金控公司子公司間共同使用客戶資料時，除個人基本資 料外，其往來交易資料及其他相關資料，應先經客戶書面同意，且不得 為使用目的範圍外之蒐集或利用；客戶通知不得繼續共同使用其個人基 本資料、往來交易資料 或其他相關資料時，應即停止共同使用。 因此按 特別法優於普通法原則，金控公司進行共同行銷的時候，應優先適用

金 融控股公司法

及

金融控股公司法子公司間共同行銷管理辦法

依新版個資法之規定處理。 ，對於未規 定之事項，例如在新版個資法中所規定非公務機關應遵循的義務等，再 ©2011 勤業眾信版權所有 保留一切權利

Q&A

Q3: a. 企業因為業務而必須委外作業時，是否還需先取得提供個資給企業之當 事人同意?

b. 在委外作業上是否有個資法上必須遵循之SOP?

擬答: 若是屬於該業務的必要流程，例如委外印製帳單，該行為已包含於和 當事人的契約關係中，因此不用再次取得當事人同意。但是若超過該 契約的特定目的，則仍需事先取得當事人同意。委外作業時則應該注 意新法施行細則(目前仍為草案)對於委託方所規定一定程度之監督義 務。 ©2011 勤業眾信版權所有 保留一切權利

Q&A

Q4: a. 新法第54條規定新法施行前由間接蒐集取得之個資應自修正施行日起 一年內完成告知，否則以違反第9條論處。金融機關對於目前擁有之 個資是否負有義務舉證該個資為直接蒐集取得? 抑或是證明該個資並 非間接蒐集所取得?

b. 對於原始資料紙本已銷毀或無從查證之個資該如何證明之?

©2011 勤業眾信版權所有 保留一切權利

Q&A

Q5: a. 金融機關在個資法中規定的舉證責任倒置情況下所應負的舉證程度為何?

b. 如何才能達到第29條規定的”能證明其無故意或過失者，不在此限”?

©2011 勤業眾信版權所有 保留一切權利

聲明 本次簡報所傳達的內容，是建立在對有限資訊了解的基礎上所提出之初步規劃和建議概述。本檔 中所含資料及其所含資訊乃勤業眾信就某個專題或某些專題而提供的一般性資訊，並非對此類專 題的詳盡表述。 故此，這些資料所含資訊並不能構成會計、稅務、法律、投資、諮詢或其他專業建議或服務。讀 者不應依賴本資料中的任何資訊作為可能影響其自身或者其業務決策的唯一基礎。在作出任何可 能影響個人財務或業務的決策或採取任何相關行動前，請諮詢合格的專業顧問。 上述資料及其所含資訊均按原貌提供，勤業眾信對該等資料或其所含資訊不做任何明示或暗示的 表述或保證。除前述免責內容外，勤業眾信亦不擔保該等資料或其所含資訊準確無誤或者滿足任 何特定的業績或者品質標準。勤業眾信明確表示不提供任何隱含的保證，包括但不限於，對可商 售性、所有權、對某種特定用途的適用性、非侵權性、適配性、安全性及準確性的保證。 您需自行承擔使用這些資料及其所含資訊的風險，並承擔因使用這些資料及其所含資訊而導致的 全部責任及因使用它們而導致損失的風險。勤業眾信不承擔與使用這些資料或其所含資訊有關的 的任何專項、間接、附帶、從屬性或懲罰性損害賠償或者其他賠償責任，無論是否涉及合同、法 定或侵權行為（包括但不限於疏忽行為）。 本文件為機密資訊，在未獲得勤業眾信會計師事務所書面同意前，不得將其內容之一部或全部為 引用、參考、散佈、傳播或以其他任何方式向任何第三人揭露。

Always One Step Ahead