德勤商務法律事務所林瑞彬律師 2011 年 5 月 17 日

德勤商務法律事務所林瑞彬律師2011年 5 月 17 日

新版個人資料保護法對金融業衝擊及因應之道兼論美國 FATCA 下之個資保護

簡報大綱 Contents

新版個資法與現行法之差異新版個資法對金融業之衝擊金融業如何因應新版個資法個資保護之因應策略與執行方式概覽圖具體化適當安全維護措施之參考美國 FATCA 遵循與個資保護 Q&A　

©2011 勤業眾信版權所有保留一切權利

擴大非公務機關適用範圍非公務機關：指依法行使公權力之中央或地方機關或行政法人以外

之自然人、法人或其他團體。

增加特種個資及修正概括條款定義一般個資：自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、聯絡方式、財務情況、社會活動特種個資：醫療、基因、性生活、健康檢查及犯罪前科概括條款：其他得以直接或間接方式識別該個人之資料

新版個資法與現行法之差異


增加當事人書面同意蒐集個資者必須先告知當事人法定告知事項後，取得當事人之書

面同意（依施行細則草案，書面同意限於紙本及電子簽章，不包含網路勾選或 email 回覆）

增加法定告知事項：（ 1 ）蒐集者名稱（ 2 ）蒐集目的（ 3 ）個人資料之類別（ 4 ）

個人資料利用之期間、地區、對象及方式（ 5 ）當事人得請求查詢或閱覽、製給複製本、補充或更正、停止蒐集、處理或利用、請求刪除，及行使此等權利之方式（ 6 ）當事人選擇不提供時，將對其權益之影響。



增加個資遭侵害時應查明後通知當事人之規定非公務機關違反個資法規定，致個人資料被竊取、洩漏、竄改或

其他侵害者，應查明後以適當方式通知當事人。增加主管機關除裁處罰鍰外得為之處分主管機關除裁處罰鍰外，得公布非公務機關之違法情形，及其姓

名或名稱與負責人。增加財團法人或公益社團法人訴訟實施權之規定提供當事人因權利受侵害之事件發生時，財團法人或公益社團法

人經受有損害之當事人 20 人以上以書面授與訴訟實施權者，得以自己名義，提起損害賠償訴訟。

增加非公務機關代表人、管理人或其他有代表權人之責任非公務機關受罰鍰處罰時，其代表人、管理人或其他有代表權人

除能證明已盡防止義務者外，應並受同一額度罰鍰之處罰。



業務面的衝擊：

「特定目的」應特定至何種程度？

異業合作之客戶名單共享：是否須告知合作對象之名稱？更換時是否須重新告知？

現有個資於新版個資法實施後之「再行銷」

新版個資法對現有個資有無溯及既往？

行銷 A 產品所取得之個資，是否可直接用於行銷 B 產品？

當事人之「書面同意」：

限於紙本或電子簽章？

得否以「公告」或「未拒絕即視為同意」代替？

委外行銷之適法性與責任歸屬？

新版個資法對金融業之衝擊


管理面的衝擊：人員招募及員工個資管理

人員招募：

自人力銀行取得個資？

可否詢問員工前科記錄？

員工個資管理：

到職及定期健檢？

員工於離職時要求刪除個資？



法律面的衝擊：

實體法責任：

公司責任：刑罰、行政罰、民事賠償

負責人責任：自己責任、與法人併罰責任

=> 公司受罰鍰處罰時，代表人、管理人或其他有代表權人，除

能提出反證，證明已盡防止義務者外，應受同一額度罰鍰之

處罰，且依法務部見解，不得由非公務機關代付

程序法責任：舉證責任倒置

非公務機關違反個資法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。



全面盤點現有個資，區分「直接取得」及「間接取得」二類，並對後者依新法踐行告知事項

針對現有個資管理機制，進行新法之隱私權衝擊分析或差異性分析

建置因應當事人依新法行使權利時之機制，例如設置統一對外窗口及標準作業流程

針對涉及個資之委外作業，重新審閱委外合約及建置如何善盡管理監督責任之作業流程（如：簽證會計師事務所是否已導入新個資法？）

留存各項針對個人資料安全之維護紀錄，例如安全維護計畫、定期查核報告等，以加強日後主張無過失之舉證強度

金融業如何因應新版個資法？


個資保護之因應策略與執行方式概覽圖

對應執行所需內涵之呈現形式

金融業個人資料檔案安全維護計畫標準

個人資料保護法

個人資料保護法施行細則特定目的個人資料類別

行政命令行政命令

金融業業務終止後個人資料處理方法標準

• 其它法令銀行法金融控股公司法勞動基準法保險業相關法令…... 等• 國際最佳實務PMS( 隱私標章 )JISQ-15001:2006BS10012:2009ISO27001:2005

組織的個資保護良善意圖

委外 /再委託管理當事人權利個資事件

應變與管理資料生命週期安全控管

與現行法之衝擊分析

(PIA)

分析業務活動資料與個資關鍵環境

個資管理及其使用權責

個資保護控管風險分析

適當之工具部署與監控

個資保護活動記錄與軌

跡

數位鑑識與犯罪 /舞弊偵防

．訂定隱私保護政策及相關內部規範

．加強與受委託單位之管理與稽核

．強化當事人權利行使之流程

．規劃損害發生之應變機制

．最小限度蒐集與利用及損賠預估與保險


由於適當安全措施並無具體措施可供遵循，爰參考日本經濟產業省提供的Ｇ uideline ，建議可就四個面向對個人資料檔案進行安全維護措施，亦可做為已對個資保護上盡善良管理人程度注意義務的證據 :

組織層面 : 確認企業內部責任歸屬及權限範圍，制訂安全管理規章，並確認實際運用的狀況

人員層面 : 人員是對於個資的蒐集、處理及利用的主要關鍵點，建立人員及委外廠商對於業務秘密及個資保護的正確觀念以及傳達內部相關教育訓練事項是非常重要的一環

物理層面 : 嚴格把關處理及保管個資的場所，確保個資能夠在安全的環境下被處理及保存

技術層面 : 對於個資檔案以及軟體方面的保護，杜絕不正存取、駭客入侵及惡意破壞等技術層面的侵害

具體化適當安全維護措施之參考


個人資料保護方針範例　　　　　　　　內部罰則範例

具體化適當安全維護措施之參考 -組織面


委託方之監督義務

具體化適當安全維護措施之參考 -人員面


個人資料檔案管理清冊及保存處所管理範例

具體化適當安全維護措施之參考 - 物理面


留存完整紀錄

具體化適當安全維護措施之參考


美國 Treasury及 IRS去年頒訂 Notice 2010-60 ，今年頒訂補充規定 Notice 2011-34

Notice 2010-60 主要規定：2013年 1 月 1 日前，外國金融機構須與美國政府簽訂 FFIA ，同

意遵守 FATCA各項規定倘拒絕加入，除不得於美國設立分支機構外，自美國境內取得

，或自其他參與 FFIA 之金融機構取得之投資收入（例如美國公債、投資美國股市等），將遭扣繳 30％之稅款

簽訂 FFIA 之外國金融機構，自 2013年起必須每年向美國政府申報當年度美國納稅義務人（美國籍或持有綠卡）透過該機構帳戶所獲之利息及所得、資金流動、資本利得情形及最高月餘額倘金融機構拒絕申報或申報不實，該美國納稅義務人將被視為

外國人，其美國來源所得將依 30％扣繳（本國人是 15％）倘具美國納稅義務人身分之客戶拒絕申報，外國金融機構必須

關閉該客戶之帳戶

美國 FATCA 遵循及個資保護


Notice 2011-34 主要規定：

外國金融機構須於 2015年 1 月 1 日前完成第一次查核現有客戶是否具美國納稅義務人身分，且須每年更新確認（ 2014年 1 月1 日前必須完成查核作業準則）

外國金融機構之法務長或法令遵循主管，必須確認該金融機構遵守 FATCA ，並確認並無內部人員在 FFI協議生效前協助客戶規避稅責

增加「外國金融機構附屬機構」之認定標準，該附屬機構同樣負有申報義務

將外國金融機構必須申報之「最高月餘額」改成「年餘額」增訂「有簽訂 FFIA 之外國金融機構」就給付予「未簽訂 FFIA 之

外國金融機構」之款項，應如何依 FATCA辦理 30％扣繳之認定標準



FATCA 與新版個資法之衝突：

我國金融機構可以不參加 FATCA嗎？

FATCA是否符合新版個資法「法律明文規定」之「法律」？

我國金融機構可否依 FACTA 規定，片面修改定型化契約？

倘具美國及我國雙重國籍之客戶，拒絕配合查核或拒絕申報，而我國金融機構依 FATCA 規定而關閉帳戶，則機構本身及其負責人將面臨何種法律責任？



Q1: 當事人依新法第三條之規定要求刪除其資料時，金融機關可否拒絕 ?

擬答 : 金融機關依其業務性質，對於防制洗錢、信用違約等資料，依法令需保存一定期限，按照特別法優於普通法原則，若當事人要求刪除時，解釋上應可作為拒絕刪除之依據。至於當事人依新法第三條行使其他權利，例如要求金融機關停止蒐集、處理、利用其資訊時，則可先判斷是否有第 10 條但書 ( 妨害整體經濟利益、該蒐集機關或第三人之重大利益 )及第 11 條第 3 項但書 (因執行職務或業務所必須 )之規定。惟似可建議如同保險法增訂第 177-1條 (目前仍為草案 )之作法，於金融法規中增訂為健全金融整體發展，明定在一定條件下可排除新版個資法第 3 條有關當事人行使權利之適用。

Q&A


Q2: 有關金控公司共同行銷的部分，在新法施行後該如何因應 ?

擬答 : 依金融控股公司法第 43 條規定，金控公司子公司間進行共同行銷時，營業、業務人員及服務項目應使客戶易於識別。需特別注意的是，該條中亦明文規定，金控公司子公司間共同使用客戶資料時，除個人基本資料外，其往來交易資料及其他相關資料，應先經客戶書面同意，且不得為使用目的範圍外之蒐集或利用；客戶通知不得繼續共同使用其個人基本資料、往來交易資料或其他相關資料時，應即停止共同使用。因此按特別法優於普通法原則，金控公司進行共同行銷的時候，應優先適用金融控股公司法及金融控股公司法子公司間共同行銷管理辦法，對於未規定之事項，例如在新版個資法中所規定非公務機關應遵循的義務等，再依新版個資法之規定處理。

Q&A


Q3:a. 企業因為業務而必須委外作業時，是否還需先取得提供個資給企業之當

事人同意 ?

b. 在委外作業上是否有個資法上必須遵循之 SOP?

擬答 : 若是屬於該業務的必要流程，例如委外印製帳單，該行為已包含於和當事人的契約關係中，因此不用再次取得當事人同意。但是若超過該契約的特定目的，則仍需事先取得當事人同意。委外作業時則應該注意新法施行細則 (目前仍為草案 )對於委託方所規定一定程度之監督義務。

Q&A


Q4: a. 新法第 54 條規定新法施行前由間接蒐集取得之個資應自修正施行日

起一年內完成告知，否則以違反第 9 條論處。金融機關對於目前擁有之個資是否負有義務舉證該個資為直接蒐集取得 ? 抑或是證明該個資並非間接蒐集所取得 ?

b. 對於原始資料紙本已銷毀或無從查證之個資該如何證明之 ?

Q&A


Q5: a. 金融機關在個資法中規定的舉證責任倒置情況下所應負的舉證程度為何 ?

b. 如何才能達到第 29 條規定的”能證明其無故意或過失者，不在此限” ?

Q&A

聲明

本次簡報所傳達的內容，是建立在對有限資訊了解的基礎上所提出之初步規劃和建議概述。本檔中所含資料及其所含資訊乃勤業眾信就某個專題或某些專題而提供的一般性資訊，並非對此類專題的詳盡表述。

故此，這些資料所含資訊並不能構成會計、稅務、法律、投資、諮詢或其他專業建議或服務。讀者不應依賴本資料中的任何資訊作為可能影響其自身或者其業務決策的唯一基礎。在作出任何可能影響個人財務或業務的決策或採取任何相關行動前，請諮詢合格的專業顧問。

上述資料及其所含資訊均按原貌提供，勤業眾信對該等資料或其所含資訊不做任何明示或暗示的表述或保證。除前述免責內容外，勤業眾信亦不擔保該等資料或其所含資訊準確無誤或者滿足任何特定的業績或者品質標準。勤業眾信明確表示不提供任何隱含的保證，包括但不限於，對可商售性、所有權、對某種特定用途的適用性、非侵權性、適配性、安全性及準確性的保證。

您需自行承擔使用這些資料及其所含資訊的風險，並承擔因使用這些資料及其所含資訊而導致的全部責任及因使用它們而導致損失的風險。勤業眾信不承擔與使用這些資料或其所含資訊有關的的任何專項、間接、附帶、從屬性或懲罰性損害賠償或者其他賠償責任，無論是否涉及合同、法定或侵權行為（包括但不限於疏忽行為）。

本文件為機密資訊，在未獲得勤業眾信會計師事務所書面同意前，不得將其內容之一部或全部為引用、參考、散佈、傳播或以其他任何方式向任何第三人揭露。

Always One Step Ahead

Documents

德勤商務法律事務所 林瑞彬律師 2011 年 5 月 17 日

德勤商務法律事務所林瑞彬律師 2011 年 5 月 17 日