簡訊網路 可執行告知義務

法務部昨天完成「個人資料保護法施行細則修正草案」。法務部官員表示，金融控股公司旗下子公司，提供客戶基本個資，不須經當事人同意。至於各界關心的「告知義務的方式」也大幅放寬，簡訊與網路都可用來執行告知義務。

法律事務司長陳維練說，施行細則草案的修正重點包括5大界定及告知義務的方式；而該施行細則修正草案，將自今日起到11月9日止公告14天後，陳報行政院，並由行政院核定正式公布施行日期。

法務部官員表示，金融控股公司旗下子公司，提供客戶基本個資，不須經當事人同意，其前提是事先必須經過金管會許可該金控公司可將子公司的個資，運用在各子公司間作為共同行銷，這是金控法第43條第1項與第2項的規定。

但官員指出，金融機構蒐集個資後「首次行銷」，當事人如不同意個資遭營業利用，有「拒絕」權利，可要求金融機構停止或刪除其個人資料。

該細則第13條明訂，蒐集個人資料告知義務的告知方式，得以書面、電話、傳真、電子文件或其他適當方式通知。法務部官員說，告知義務採發送主義，不必等當事人同意與否；而由於電子文件也是告知方式之一，利用簡訊或網際網路來執行告知，也是許可範圍。

細則草案修正還包括5大重點，即建立間接識別個人資料的標準、界定敏感性個人資料的概念、界定委託機關的權責、界定書面意思表示的方式及界定單獨所為書面意思表示的方式。

以建立間接識別個人資料的標準為例，什麼是以間接方式識別個資？例如學校職員從校務行政資料庫，將學生資料中的一個欄位「聯絡方式」如電話，賣給補教業者，則是否屬個資法所規範的可識別個人資料？

法務部表示，雖然該職員只挑選學生資料中一個欄位「聯絡方式」，單純就連絡方式的資料內容來看，無法得知該資料的特定個人為何人，但是該職員或其所代表的機關本身，仍有該校務行政資料庫的其他資料欄位可供對照、組合、連結等間接方式，而能識別該特定個人，所以就該職員或其所代表的機關該單筆資料欄位仍屬可間接識別的個人資料。

因此，該職員若以意圖營利的方式販賣可識別的個資，即學生的電話，按個資法第41條第2項規定，應負刑事責任。