2013年9月21日 星期六

財務個資保護牽涉複雜 金融機構須面對法律風險

除個資法及金融相關法規 美國政府肥咖條款亦需因應
財務個資保護牽涉複雜 金融機構須面對法律風險

美國《外國帳戶稅收遵循法》俗稱「肥咖條款」(FATCA),除要求美國公民申報海外帳戶與資產之外,另規定海外金融機構每年須向美國政府提供美國公民的帳戶資料,否則該不遵循的金融機構來自美國的投資收入將面臨30%懲罰性的就源扣繳。

新版個資法於去年(2012)10月1日生效施行,課與業者相當重的刑事、民事及行政責任。依個資法第2條對個資的定義,個人的財務情況屬於個資法所保護的個資,而銀行、保險公司、證券公司等金融機構則掌握了個人重要的財務個資。另依銀行法第48條規定,銀行對於客戶之存款、放款或匯款等有關資料,應保守秘密,其他金融機構的相關法規亦有類似的規定。

個資危安事件的預防與處理 

到金融機構開戶時種種繁複手續係為遵循包括個資法的各種法規,主要是基於防弊,避免詐騙集團冒用客戶身分竊取財產。

新版個資法施行後不久即於去年11月間傳出許多客戶申辦遠東銀行信用卡的個資大批流入廢紙回收商事件,遠東銀行經調查後聲明:該案係某離職員工私自影印所持有或竊取客戶的信用卡申請資料於離職後攜出,又因己身保管不當遭人竊取。遠東銀行除通報金管會外,另表示將對該名員工及另案之竊取者提出民事、刑事訴訟。遠東銀行在2010年間曾發生將其向聯徵中心查閱的客戶信用資料提供給車貸合作的車商,而遭到聯徵中心停權42天的處分。今年7月間另傳出台中市多位市民購買新車並付清款項,卻收到遠東銀行催繳車貸的通知,疑似監理站人員洩漏個資,再由詐騙集團偽造客戶證件冒名向銀行貸款。

由上可見,單一銀行可能因員工惡意竊取客戶個資、部門便宜行事、或是遭詐騙集團奇襲而捲入個資危安事件。其實許多銀行都面臨類似的問題,例如今年5月間傳出中信銀行的網路銀行繳費中心網頁竟出現眾多客戶的個資包括姓名、電話、身分證字號及信用卡號資料等,惟據中信銀行調查後表示僅限於客戶繳費項目及代號,至於客戶姓名、帳號等個資並未外洩,該事件可能係因程式設計錯誤所致,但已影響銀行商譽。

金融機構為符合個資法規定,須善盡告知義務以取得個人書面同意而蒐集或處理個資。然而書面同意之要件增加紙張及郵遞成本,雖得依電子簽章法之規定以電子文件為之,但仍相當麻煩,已有立委提出修正草案擬將同意之方式改為能舉證證明當事人「有同意」即可,以節省書面同意的成本。

此外,金融機構亦有必要建置「個資安全措施」以防範個資外洩。個資法第27條即規定:非公務機關保有個資檔案者,應採行適當之安全措施,防止個資被竊取、竄改、毀損、滅失或洩漏。金融機構就其採取之個資安全措施,亦應取得具公信力之認證機構所制發的個資安全標章以資舉證證明「無故意或過失」。一旦發生個資危安事件,金融機構應儘速採取防止損害擴大的行動並調查事件真相以正視聽,並及時通知可能受影響的用戶做適當的因應處理,以確保客戶財務個資的安全,俾維護商譽。

今年6月間媒體驚爆美國政府基於國家安全,以稜鏡計畫(Prism)透過Facebook、Google、蘋果、雅虎等公司秘密搜集海外外國人個資與通訊資料。類似以公益之名蒐集個資的行為還有美國政府為追討海外公民逃漏稅,於2010年制訂《外國帳戶稅收遵循法》俗稱「肥咖條款」(FATCA),除要求美國公民申報海外帳戶與資產之外,另規定海外金融機構每年須向美國政府提供美國公民的帳戶資料,否則該不遵循的金融機構來自美國的投資收入將面臨30%懲罰性的就源扣繳。這對於在美國設有分行或投資活動的我國金融機構來說,是一項不容忽視的立法,但我國金融機構也必須遵守我國個資法以及金融法規中保護客戶秘密的規定。

肥咖條款來勢洶洶 

美國制訂「肥咖條款」有兩個主要目的,一是增加政府稅收以降低預算赤字,二是為了有效取締逃漏稅以維護租稅公平,因為美國所得稅法係採「屬人主義」,包括持有綠卡或雙重國籍的美國公民無論居住或工作地點在世界何處,都必須向美國政府報稅,但卻有許多美國有錢人把錢藏在海外金融機構,沒有繳到山姆叔叔的口袋。「肥咖條款」原定2013年1月1日實施,後來延到2014年1月1日,今年7月間又宣佈延到2014年7月1日再實施,跟我國個資法一樣面臨延後施行的命運,同樣是因為實務運作確有困難。

「肥咖條款」規定兩種資訊提供模式,模式一是海外金融機構將美國公民的帳戶資料陳報給所屬政府,再由該國政府轉交資訊給美國政府,一般稱作「歐洲模式」。模式二是由海外金融機構直接將客戶同意提供之資料提供給美國政府,就不合作帳戶部分,另由金融機構所屬政府提供相關資訊,一般稱作「日本模式」。目前我國傾向採取日本模式,由國內金融機構將客戶同意提供的資料直接提報給美國政府,對於不同意提供資料的客戶,只需提報「總帳戶、總金額」,另由我國政府提供不合作帳戶的資料給美國。

對於國內金融機構來說,採取「日本模式」除了必須直接跟美國政府打交道之外,尚須向客戶取得同意,才能將客戶的財務個資提供給美國政府,增加行政作業的成本。至於客戶不同意提供的財務個資,應如何提供給我國政府再轉給美國政府則為一大難題。雖然個資法設有「公共利益」條款的例外,但增加美國稅收或維護其國內租稅公平,無論是對於我國公務機關或非公務機關而言,恐難認為與我國公共利益有關。如另需透過法律制定例外情事,則必須經立法院修法,更凸顯我國個資法制扭曲變形的奇特現象。

綜上,金融機構除了儲存眾多客戶的財產之外,也擁有龐大的客戶財務個資,該金庫與資料庫是白道(如美國政府)與黑道(如詐騙集團)虎視眈眈的大肥羊,金融機構應妥善處理個資保護議題,以免挨告受罰。

<本文作者:陳佑寰,目前為執業律師。國立台灣大學法學碩士,美國賓夕法尼亞大學法學碩士。專攻領域為智慧財產權法、高科技產業議題及資訊法等。>   

轉載自《網管人》