二○一二年十月一日，由電腦處理個人資料保護法演變而來的「個人資料保護法（以下稱「個資法」）」正式上路後，引起各行各業一陣騷動，因為舊法僅適用於公務機關與特定行業，但新法已取消行業別的限制。

因為有利業務開發，從前視大量個資為公司資產的保險業，在新法上路後立即展開一連數個月的「個資盤點」，將非必要的資料進行銷毀，特別是記載重要個資的身分證影本，有些保險契約會載明所有人未在一定期限內領回就進行銷毀，就是擔心個資不慎外洩可能面臨的法律責任，公司上下無不力求「個資最小化」。因為只要被證實客戶資料是經由公司員工或委外廠商外洩，即使沒有造成任何損失，當事人都可以提出求償，每筆資料賠償金額為五○○元到二萬元不等。寰瀛法律事務所律師池泰毅指出，新版個資法最大的威力在於「團體訴訟」，單一事故合計最高賠償金額可達二億元。若當事人因個資外洩而蒙受損失，求償金額將更可觀。

內規檯面化 保戶更安心

池泰毅表示，新版個資法的精神在避免人格權受侵害，並促進個人資料的合理利用。保險公司需遵守設定特定目的、經過當事人同意締結契約而蒐集個人資料，以及履行告知義務三個要項。

保險公司不論從避免個資外洩的角度，或達到未來合理利用的目的，一旦遭到質疑，都要提出合法蒐集、處理、利用的證明，即使過去也會銷毀個資，現在則要做到隨時可以拿來被外界檢視的程度，即「使用紀錄、軌跡資料及證據保存」，也就是把「內規檯面化」。

產險公會綜合委員會委員林聖智表示，曾經有保戶擔心個資被濫用而向保險公司要回簽約時提供的身分證影本，而保險公司因為擔心個資外洩早已將文件銷毀，但卻提不出銷毀證明而使後續處理橫生枝節。

池泰毅認為，在條文中載明與保戶合意銷毀，不但讓提供個資的保戶更安心，也可減少保險公司的法律風險。

壽險公會醫務小組召集人李俐圜則表示，新版個資法實施後，保險業勢必要更加強內稽內控機制，各公司可以利用這個機會重新檢視行政流程，讓內控機制更嚴謹。

間接蒐集個資 補行告知義務

以往保險契約締結完成，通常是保戶需要申請理賠時主動與保險公司聯絡，個資法上路後，有保戶接到保險公司告知義務通知書而感到詫異，瞭解後原來是保險公司在補行告知義務。

其實不論新法、舊法，保險業都在符合特定目的範圍內蒐集、處理、利用個資的規範之列，大動作配合修法，主要是個資法對於個人資料的蒐集、處理、利用需要履行告知義務。

保險公司的個資來源可能是經由直屬業務部隊或電銷人員直接取得，或透過多元合作通路間接蒐集而得。林聖智表示，個資法規定，間接蒐集的資料在未來使用或處理個資時，要補行告知義務。進行個資盤點，主要在釐清公司分別掌握多少直接蒐集與間接蒐集的個資，才能進行補告知的義務。

此外，在新法上路前取得的個人資料，也必須定期檢視是否在可利用範圍。尤其產險公司的保險合約都是一年一期，必須取得保戶同意才能寄出續約屆期通知。

告知事項「落落長」 電銷熱度難維持

保險公司的業務來自業務人員、保險經紀人、代理人公司，有些保險公司還有電銷人員編制，個資來源不同，保險公司的法律風險和內控要求也不一樣。其中業務人員有承攬、僱傭二種制度，承攬人員和保經代相同，與保險公司之間都是契約關係，而僱傭與電銷人員則是保險公司的直營部隊，會受到更嚴格的監督、管理約束。

個資法去年十月上路，迄今才短短幾個月的時間，已有壽險公司因為衝擊過大而結束電銷部門，李俐圜指出，透過電話與準客戶接觸，在時間有限彼此又不認識的劣勢下，想成交，維持談話熱度是重要關鍵，但為了履行告知，電銷契約成立的便利性被冗長的告知事項取代，電話另一頭的準客戶可能因為浪費太多時間而掛斷，或電銷人員被質疑名單怎麼來而難有愉快的談話內容，成交機率大不如前，對電銷的衝擊可想而知。

至於與保險公司只有合約關係的保經代或承攬制業務員，因為管理強度不足，保險公司願意分享個資的程度也與直屬員工不同，同時會在合約載明個資外洩的連帶責任，但不論如何，只要發生違反個資情事，保險公司都無法撇得一乾二淨，因此選擇簽約對象會較個資法上路前更為謹慎，也會確實要求經代公司的內稽內控應更符合法令要求。

逾越授權供病歷 醫院、保險公司被告

新版個資法雖然仍賦予保險業可以蒐集、處理及利用病歷、醫療、健康檢查的個人資料，但仍限定在保戶同意的範圍內。日前北市一名六十歲男子於二○一二年十二月向保險公司辦理住院理賠，申請書僅授權調閱其腸胃科、骨科病歷，而所就診的醫院卻依保險公司要求，提供「消化性潰瘍、骨科相關疾病、高血壓、糖尿病、肝炎等慢性疾病」病歷及精神科就診資料。

該男認為醫院明知他僅授權調閱部分病歷，竟提供保險公司其個人所有病歷，甚至連他哪天去看精神科都知道，懷疑醫院與保險公司勾結，怒告二家公司非法洩露、取得病患資料，涉嫌違反個資法。

目前台北地檢署已開庭徹查二家公司有無刑責，雖然尚未做出決議，但律師表示，全案確實有違反個資法的嫌疑。

舉辦講座取得個資銷售 符合特定目的？

舉辦各式講座或填寫問卷，也是保險公司或業務員取得個人資料及聯繫方式，以便做後續追蹤銷售的方式，但這麼做可能已經與當初舉辦講座的特定目的不符而觸犯個資法。

池泰毅表示，其實只要將以前的做法做適當調整，就能維護當事人及公司利益。他指出，主辦單位可以在講座的報名表及問券表頭或其他明顯區域說明未來個資的運用方式，即使民眾同意提供個資，掌控權仍握在自己手上，未來在接到行銷電話的過程可以隨時反悔，電銷人員必須終止銷售行為。

一池之差 難舉證銷毀

國人壽險、年金險的投保率達二二○％，若加計意外險及健康險甚至超過八○○％，以人手八張保單計算，光是壽險公司就有一∙八四億張保單需要維護，而汽機車強制險的有效契約件數也高達七一三萬張，保險業每年辦理保單續約的業務非常吃重，考量營運成本，許多業務會委託其他公司辦理。

保險公司的委外業務包括行銷、印刷、郵寄、事件查證資訊系統開發、保單印發、海外緊急救援等。個資法增訂受委託蒐集、處理或利用個人資料的法人、團體或自然人，依委託機關應適用的規定為之，而委託人則應對受託者進行適當的監督。

李俐圜表示，保險公司與委外廠商必須將個資規定寫入契約條款，並定期檢視委託機構的操作流程是否符合法令規定，當發生個資問題時，才可以減輕保險公司的法律責任。

林聖智指出，若個資經由委託機構外洩，保險公司必須負連帶責任。除定期查核處理流程，同時要重新檢視個資法上路前的委外合約內容是否符合新規，且要將處理過程詳加紀錄。

他舉出，曾有業者將文件交由外包廠商銷毀而發生個資外洩的問題，事後該公司提出運送銷毀的影帶，但內容只記錄到文件送至溶解池邊「等待」銷毀，無法證明資料最後確實倒入溶解池。因記錄不夠確實，責任難了，這類問題是保險公司將業務委外時必須特別留意的地方。

交通報案聯單只剩姓名 代位求償得上法院

個資法上路半年，不論個人或機構大多只留意到人格權是否受侵害，而忽略個人資料合理利用，使相關業務遇到層層阻礙。林聖智以產險公司行使汽車強制險的求償權為例指出，汽機車駕駛人違反五大天條就無法獲得強制險保障，也就是被保險人因為酒駕、吸毒、故意行為、犯罪行為或無照駕駛等過失而發生車禍事故時，保險公司會在理賠車禍被害人強制險保險金後，回過頭向肇事駕駛求償。

行使代位權在法庭上需提出肇事者的戶籍謄本，而戶籍謄本需有加害人包括身分證字號、地址的年籍資料才能向戶政機關申請，產險公司以利害關係人身份請求警方提供相關資料，而警方以保護個人資料為由提供僅載有電話的車禍處理聯單，使保險公司必須先透過法庭程序向警方取得肇事者年籍資料才能行使代位權，過程曠日費時，無形中加重保險公司的處理成本。

合理利用 不必矯枉過正

以往保險業務員只要拿親朋好友提供的通訊資料就開始進行業務開發，這樣習以為常的動作，在個資法上路後必須先履行告知義務，也就是要說明自己是誰、為什麼蒐集資料、未來如何利用。善盡告知義務，並在符合法律規定的範圍內合理利用個資，才是個資法真正的立法目的。