為了提供消費者一次購足的便利,金融控股公司、非金融跨業經營與策略聯營的經營模式於焉產生,如今,消費者可輕易擁有信用卡、現金卡等金融商品,同樣的,企業聯名卡或跨業聯名卡也提供消費者更便利的消費管道。
當消費者在享受便利的同時,提供給業者的個人資料(係指自然人之姓名、出生年月日、身分證統一編號、特徵、指紋、婚姻、家庭等足資識別該個人之資料),業者是否可以任意提供給其他子公司或聯盟業者利用,或進行商品的交叉行銷?於過去數年間己引發不少消費爭訟;另外,業者保管不當而外洩消費者個人資料為不法之徒所用,造成消費者權益受損的案例也時有所聞。因此,業者如何在消費者保護和業務壓力的考量下,以合法的方式取得消費者的同意,使用消費者個人資料進行交叉行銷或資料處理,已成為保護消費者權益的重要課題。
「沒說不就視為同意」的不當行銷手法
當銷售方式已由過去賣場銷售,轉變到藉助各種媒體廣告、直銷人員、訪問買賣、電話或網路購物,許多不當、不法情事便趁隙而生。
過去10幾年來,消基會接獲的申訴案件不外乎商品變質、瑕疵、損壞等「實質、可見」的狀況;然而,在近2年裡,因服務、直銷、廣告等而衍生的消費爭議扶搖直上,成為申訴排行的新型態。
沒說「不同意」就視為「同意」的行銷方式,指業者先將商品或服務寄給消費者,言明一段免費試用期間,期限屆至前,消費者若沒有通知業者不繼續使用該商品或服務,則視為消費者同意業者有償提供商品或服務。
此種以沒說「不同意」就視為「同意」來達到行銷目的者,多屬金融業與電信業。最近所發生中華電信提供的來電鈴聲加值服務,由於以看起來像廣告的通知信告知消費者相關的權利義務,使消費者不自覺丟棄,卻不知道這些通知信背後所代表的意義是「沒有說不,便等於同意」,讓消費者在沒有說「不同意」的同時,就己被視為「同意」付費使用來電鈴聲的加值服務。
業者以消費者沒有表示「不同意」就視為「同意」,而使用消費者個人資料,或逕行認定消費者己同意契約內容,有違反《民法》契約之成立須雙方當事人合意的要件。因此,若業者以消費者沒有表示「不同意」而視為已「同意」契約成立,消費者可以雙方當事人間(業者與消費者)沒有合意為抗辯,主張契約不成立,並拒絕支付任何價金給業者。
業者不當利用消費者個資之樣態
業者不當使用消費者個人資料的樣態有二種:第一種為業者對消費者個人資料保管不嚴密,以致洩露消費者個人資料為不法之徒或不肖員工利用,作為詐財或申請信用卡之用,而造成消費者的困擾。
第二種則為金融集團、產業集團與策略聯營業者,以信函詢問消費者是否願意同意其他集團成員及聯營成員使用消費者個人資料,由於業者在請求消費者同意的函件中,常給予消費者一段時間,並以「不同意」就視為「同意」來認定消費者同意業者使用消費者個人資料,常造成不必要的爭議。
洩露個人資料的法律責任
業者若故意洩露消費者個人資料,除觸犯洩密罪應負之刑責外,由於目前我國《電腦處理個人資料保護法》(以下簡稱《個資法》)只適用於八大行業(徵信業、醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業)或者少數指定團體,因此如東森、博客來等購物台和網購業者,因疏忽或駭客入侵而造成洩露消費者個人資料,就無《個資法》之適用。
因此,行政院消費者保護委員會於93年6月24日在委員會中決議,要求中央主管機關所管轄的業者,如果不慎將民眾個人資料外洩,應比照電信業者的補償機制補償消費者,也就是視外洩情況,每一筆資料補償新臺幣二至十萬元之「非財產上損害」民事賠償。
解決目前綱路業者洩露消費者個人資料的問題,業者首先應避免工作人員「內神通外鬼」,另外,不僅要和員工簽署保密條款,和其中、下游合作廠商也應一併簽立,以保障消費者權益。各網路商店業者也應共同建立「補償金制度」,未來只要消費者能證明個人資料遭網路購物業者洩漏,因而導致詐騙集團詐欺,都可以檢附資料向業者求償,以強化網路業者的責任。
我國《刑法》對網路犯罪的刑罰很輕,最多判刑一、二年,法律對網路犯罪的寬容,形成網路安全的一大先天漏洞,無法嚇阻犯罪。在美國,若入侵網路銀行等金融機構,屬公訴罪(台灣僅為告訴乃論罪),且網路犯罪刑罰為台灣的二到三倍。因此未來政府應修改《個資法》,將適用範圉由目前八大行業推及至所有行業,並加重刑度,取消告訴乃論改為非告訴乃論,即不需要等到當事人檢舉,就可由檢警直接主動偵辦,以達嚇阻網路犯罪的功能並確保消費者安全。
金融控股公司或企業集團為了擴大行銷通路,常不經消費者同意或以消費者「不同意」即視同「同意」的伎倆,逕行交叉使用各子公司所擁有的消費者個人資料。又各家金控公司競爭日趨激烈,爭相聘僱電話行銷人員推銷,導致行銷電話大量湧向消費者。
金控公司成立時,都會發通知函給消費者,詢問是否願意提供個人資料予金控公司交叉使用,很多消費者若疏忽沒有回覆不同意,就會被金控公司視為同意,使金控公司旗下子公司,得以合法使用消費者個人資料。由於我國尚未如其他先進國家制定「謝絕來電法案」或「垃圾郵件管制法」,規範不請自來的行銷電話與電子郵件,導致該種行銷手法氾濫成災。
應以書面得到消費者「正面同意」
依照《個資法》第十八條規定,屬於「非公務機關」之金融業如有特定目的並符合下列五種情形之一,得對個人資料進行蒐集或電腦處理:1. 經當事人書面同意者;2. 與當事人有契約或類似契約之關係而對當事人權益無侵害之虞者;3. 已公開之資料且無害於當事人之重大利益者;4. 為學術研究而有必要且無害於當事人之重大利益者;5. 法律有特別規定者。
因此,金融業應「經當事人書面同意」及必須依據《個資法》登記並取得執照,始得對消費者個人資料進行蒐集或電腦處理。惟所謂「經當事人書面同意」究竟是指以「正面同意」的方式,在與當事人的合約中另起一欄,讓消費者勾選簽名,以主動表達「同意」、或採取「反面同意」方式,亦即通知消費者如「不同意」,須在一定期間內為反對的意思表示,消費者如未在該期限內為反對之表示,則視為「同意」。
以目前的亂象來看,我國《個資法》對個人資料的蒐集或電腦處理的「同意」,顯然採取最寬鬆的「反面同意」方式,惟仍可舉證推翻。依《個資法施行細則》第三十條第二項規定:「非公務機關基於特定目的,為取得當事人書面同意,於初次洽詢時,檢附為特定目的蒐集、電腦處理或利用之相關資料,連同得於所定相當期間表示反對意思之書面,經本人或其法定代理人收受,而未於所定期間內為反對之意思表示者,推定其已有同意之表示。」換言之,如果金控公司檢附為特定目的蒐集、電腦處理或利用相關資料通知消費者,而消費者不在一定時間表示反對者,就推定消費者已經有書面同意。
惟本項規定業經多數專業人士認為有其不妥之處,對金融業者而言,適用本項規定時應特別斟酌個案情形而決定適用與否。依《金融控股公司法》第四十三條規定可知,金融控股公司與其子公司及各子公司間,或與其他第三人間進行共同行銷時,必須合於現行法令(尤其是《個資法》及《金融控股公司法》)或者得到消費者的「書面或契約明示同意」,始能合法運用消費者的個人資料。
另外,金控公司須依「金融控股公司之子公司進行共同行銷相關規範」及「金融控股公司及其子公司自律規範」規定,向金管會提出申請。因此,實務上對於金控公司獲得「當事人書面同意」係採「正面同意」指須依書面之記載,並有足認消費者已有同意之表示者。
因此,業者欲使用客戶資料,應依《個資法》及「金融控股公司及其子公司自律規範」之相關規定辦理,除基本資料(包括姓名、出生年月日、身分證統一編號、電話及地址等資料)外,其餘帳務資料、信用資料、投資資料或保險資料等,於揭露、轉介或交互運用時,皆應經消費者簽訂契約或書面明示同意後,方可使用;且此種書面同意必須採取最嚴格的「正面同意」方式,在契約中增訂讓消費者選擇是否同意提供資料供共同行銷的欄位及簽名處,簽名處必須明確區分僅同意提供基本資料,或同意提供帳務、信用、投資及保險等其他資料,且必須對消費者揭露保密措施及交互運用客戶資料的子公司名稱,並應明確告知或約定客戶得隨時要求停止對其相關資訊交互運用之最簡易方式,並應於接獲客戶通知停止使用其資料後,立即依其通知辦理。
對消費者顯失公平的約定,無效
所謂的「書面或契約明示同意」亦包括「定型化契約」。依《消費者保護法》第十一條規定:「企業經營者在定型化契約中所用之條款,應本平等互惠之原則。定型化契約條款如有疑義時,應為有利於消費者之解釋。」同法第十二條:「定型化契約中之條款違反誠信原則,對消費者顯失公平者,無效。」
假設發卡銀行以「同意授權使用個人資料」作為提供信用卡服務的前提或條件,造成持卡人或申請人,在事實上喪失拒絕同意之可能時,此一定型化契約之約定,依《消費者保護法》第十二條,推定其顯失公平而屬無效。
換言之,當發卡銀行在定型化契約中明確表示,「不同意授權運用消費者個人資料,即不能發卡或必須終止契約」時,發卡銀行自不能認為已獲得「客戶簽訂契約或書面明示同意」,金融控股公司與其子公司及各子公司間,或與其他第三人間進行共同行銷而揭露、轉介或交互運用客戶資料者,自屬違法。如果再結合金融控股公司及其子公司自律規範第十二條:「金融控股公司之子公司除依法令另有規定者外,不得強制客戶與其他子公司簽訂契約,以購買其商品或服務作為授信或提供服務之必要條件」,可確定定型化契約中約定消費者「不同意」就視為「同意」,亦是無效的條款。
另外,「金融控股公司及其子公司自律規範」第十一條:「金融控股公司或其子公司於使用客戶資料從事共同業務推廣行為時,應於接獲客戶通知停止使用其資料後,立即依其通知辦理。」此一條文係指銀行獲得合理使用之授權後,如果消費者通知停止使用,仍應立即停止使用。換言之,此乃賦予消費者收回授權銀行使用個人資料之權利。相反的,當銀行違反《消費者保護法》的規定,致授權條款無效時,銀行即已自始不能合理使用客戶資料,即使消費者未通知停止使用,銀行也無權合理利用消費者個人資料。
亟待修法以因應現況
觀看近來的個人資料洩露案件可發現,現行《個資法》保護對象僅限於八大行業與「經電腦處理的個人資料」。相較於犯罪集團的「滑溜」,企業內部不肖員工「內神通外鬼」的情形更是不遑多讓、占盡天時地利,現行法令早已無法應付詐騙集團的「進步」。因此,立法院應將審議《個資法》修正案列入優先法案,才是上上之策。
先進國家如日本、歐美的政府和民眾,對於個人資料以及企業隱私權均十分重視並且專業,不僅讓企業建立好的形象,也能顯示一個國家消費友善環境進步的程度;我國政府應急起直追,加強落實個人資料保護,並負起教育大眾和企業經營者的責任。
