臺灣證券交易所 文刊中心

＜English version＞

我國曾就業行之有年之「電腦處理個人資料保護法」，予以大幅優化，並更名為「個人資料保護法」（下稱：「個資法」）。新法旨在加強個人資料保護，不僅擴大適用範圍至所有個人資料、不分產業別，並同時納入刑事責任等規範。彼時，為因應上述政府重要政策暨針對國內外證券商資料進行管理，「臺灣證券交易所股份有限公司」（下稱：「證交所」）除以電子問卷進行組織內部個資盤點以提高效率外，並制定「個人資料管理政策聲明」俾確保各資當事人權利，另更行建立全面個資管理制度與改善資訊安全控管，同時導入並取得國際標準BS 10012個人資訊管理系統（PIMS – Personal Information）驗證，成為全球首家獲得該資格認證之交易所。 

嗣後其他證券期貨周邊等單位，亦先後積極取得國內外各類個資管理驗證，並就利害關係人所涉個人資料保護、資通安全等業務，制定一般性通則規範，證券業者爰多據此訂定其內部控制相關作業。然而，類似原則性框架雖或可廣泛禁止資料之不當存取使用，但針對通盤具體定義各類可能違反態樣，實屬力有未逮，故難免留下部分灰色地帶。

基此，證交所陸續延伸訂定「證券商受僱人員查詢客戶資料管理作業要點」、「建立證券商資通安全檢查機制」等規範，就已簽訂「供給使用有價證券集中交易市場契約」之證券業者，明確業者應依個人資料保護法妥善處理客戶個人資料，並定期或不定期稽核個資管理情形等遵循義務。更規範業者如有更新、更正或註銷情事，均應報經備查，並就相關人員、時間等詳實予以記錄。證券商亦應於必要時，就與軟硬體廠商機密維護及損害賠償等雙方權責劃分等節，訂定清楚作業流程，並留存個資使用稽核軌跡或辨識機制，以利追蹤該項資料使用狀況。

承上，證券市場有關個人資料蒐處理利用之基礎架構，雖謂嚴絲合縫、重垣迭鎖，然縱百密難免偶有一疏。在民眾個資保護意識普遍提升前提下，各類因未諳法令、誤解作業流程等檢舉案件日有所增，致證交所等證券周邊單位日常經由民意信箱或其他管道，均受理諸多申訴案件。另亦不乏由證券市場主管機關金融監督管理委員會（下稱：「金管會」），逕以專函交辦證交所等單位之情形，指示應就特定證券業者違反個資法疑慮之外界陳情案，儘速查明有無缺失後，檢附事證資料回報。

揆諸常見之侵害個資權案例，以當事人較易當下立即察覺並提出異議，也就是實務上屢見不鮮之「過度蒐集」為大宗。簡言之，個人資料保護政策之核心理念，即在強調「最小化蒐集原則」，倘留存海量非必要資料，不僅增加管理成本，更大幅提高遺失後之賠償責任與商業信譽風險。針對此點，解決之道在於從最前端之蒐集環節，就宜避免〝但求有備無患、愈多愈好〞之陳舊思維模式，率爾無差別蒐羅可得之各類個資，卻未經深思熟慮必要與否。反之，若參考先進國際範例，則多係建議應優先考量末端之安全維護，並適度降低無謂之負荷。

其次較常發生之缺失，則為絕大多數當事人可能必須經由媒體，或透過蒐集機關以電話、書面、公告等通知，方可事後被動獲知之資料遺失或遭竊等意外。彼類個資維護作業疏失事件，實務管理層面常與電腦資料之檔案安全政策相關，互為表裡。非公務機關於保管所蒐集個資之安控部分，雖未必強制須與處理企業自身內部商業機密，賦予同等嚴密之保護措施，惟為降低個資事故風險，證券業者允宜投資合理維護成本，並於特定目的消失或保存期限屆滿時，即立刻刪除資料。

另外，業者較易輕忽之作業瑕疵，則為蒐集資料後之處理、利用等環節。證券商與其他金融業於此部分大同小異，常見爭議在於有無逾越初始蒐集之目的，以及進行特定目的外之利用時，有無另行取得個資當事人之同意。觀乎國內外案例，均不乏將所蒐集之個人資料，化整為零對外販售牟利之違法情形。類似轉賣個資案例之起因，固然亦可能源自少數不肖內部員工之竊取，或外部駭客之非法入侵等，尚非企業有意為之。較遺憾的是，在組織內或於關係企業間，分享所取得之個人資料，卻往往被視為理所當然，實務違反案例亦所在多有。此雖按現今個資法令而言，並未予以絕對禁止，但卻要求必須先令個資所有人，清楚知悉其資料被使用之範圍，並取得該當事人明確同意為憑。

揆諸證交所於驗證前揭「個人資訊管理系統」期間，為祈審慎，即曾前後函詢當時之個資法主管機關法務部（註：現已改由新成立之「個資保護委員會」負責，下稱「個資會」），與證券市場主管機關金管會，俾以確認證券商提供予證交所之投資人開戶、徵信、交易等資料，亦即透過間接蒐集方式所取得之個資，得否豁免相關告知當事人之法定義務，並終獲至肯定函覆在案。

金管會嗣進一步公告修正「證券商管理規則」，特新增第35-2條規定，確認證券交易所除得直接蒐集投資人之各類信用資料，亦得經由間接蒐集方式，請證券商及經主管機關核准之機構提供相關資料，並就彼類資料進行處理或利用。另亦認定證券交易所蒐集、處理或利用前述資料，係屬個資法第8條第2項第2之「非公務機關履行法定義務所必要」範疇，故得以豁免同法第9條第1項之告知義務。

此亦即言，證交所除毋庸於處理或利用前，向當事人告知個人資料來源外，亦得免就「機關名稱」、「蒐集之目的」、「個人資料之類別」、「個人資料利用之期間、地區、對象及方式」及「當事人得行使之權利及方式」等事項，進行相關告知。但為避免發生過於浮濫之情況，金管會亦同時規範證券交易所，應妥善訂定相關作業辦法所，針對蒐集資料之範圍、提供查詢之對象、內容等事項，並事先報請核定。

本（114）年初為協助立法院財政委員會，深入釐清證券商就個資使用方面，有無逾越必要範圍之潛在可能，金管會特函囑證券交易所，應就例行督導業者遵循個資法之業務，於限期內說明辦理股東會委託書徵求業務時，證券商得否運用經紀業務客戶資料，並指示必要時應就此節確實納入管理，以杜絕外界爭議。另為強化證券業者對客戶資料相關保護作業，證交所應洽「臺灣集中保管結算所股份有限公司」（下稱：「集保結算所」）等單位，共同研議規範證券商，如擬利用經紀業務之客戶個人資料於徵求委託書用途時，應於開戶時以單張之書面約定，事先取得客戶同意，俾落實個資保護之法定遵循尋求。

鑒於金管會就個資管理立場向趨嚴謹，傾向認定證券商辦理開戶作業時，應對客戶予以適當提醒及說明，以利客戶對其個資經蒐集後之使用範圍，得以充分有所知悉。證券商僅得於明確告知客戶，並業已取得對方同意之前提下，方可將其個人資料用於特定範圍。若客戶未就業者所告知事項，以書面簽署方式表彰同意之意思表示，證券商即不宜逕行以客戶個人資料，運用於類似委託書徵求等其他業務範疇。

至於為保障證券商客戶及發行公司股東權益，同時尊重當事人之個人資料自主權，金管會亦指示證交所，應併洽詢辦理代為處理徵求業務之證券商意見，並研議相關配套措施及修正證券商內部控制制度標準規範，且於所訂期限內迅即報請鑒核。

為查明部分業者於辦理股東會委託書徵求業務時，運用經紀業務客戶資料流程之適法性，證交所爰奉金管會局指示，邀請集保結算所、「中華民國證券商業同業公會」（下稱：「證券商公會」）暨辦理代為處理徵求業務之大型證券業者等，共同就該項業務之作業流程開會研商，以利集思廣益修正相關規定與配套措施。前揭會議嗣併就個資使用之合法性、授權使用之明確範圍、當事人書面同意、帳號與權限管理、內部控制制度修正、受託契約參考範本等議題廣泛交換意見，俾落實保障證券商客戶及發行公司股東權益。

項次	討論議題	說明
1	營業員以投資人留存之開戶資料，聯絡特定客戶徵求委託書，是否涉及未經授權即不當使用客戶個人資料？如係業於開戶簽具各式文件時，即已取得投資人書面同意，則原先授權使用範圍是否具體、明確、合理，並清楚涵蓋彼類委託書徵求業務？	參酌我國個資法避免人格權受侵害、促進個人資料合理利用之立法意旨，不論資料係直接源自當事人，或間接自協力廠商取得，原則均應事先或於利用時，徵詢本人同意，始得為之。
2	證券商股務代理部門經辦委託書徵求業務，並由經紀部門業務員逕洽該公司客戶意願，如存在相關個人資料跨部門共用情事，是否已逾越合理使用範圍？	倘已具備資格要件之股東，委託辦理股務代理業務之證券商擔任徵求人，按「公開發行公司出席股東會使用委託書規則」第3條，得以公告、廣告、牌示、廣播、電傳視訊、信函、電話、發表會、說明會、拜訪、詢問等方式取得委託書，故實務上運用前揭方式，以設置固定據點被動收取，或主動洽詢尚有特定股票庫存餘額之客戶等，似尚未逾越現行有關徵求出席股東會委託書規定之範疇。
3	另應如何建立不同部門別之業務防火牆？如何確保資料查詢之帳號與權限管理不致浮濫？	如個人資料取得之來源，係因相同組織內業務分工之其他部門，則因原始蒐集方為該證券業者，而非特定從業人員個人，故以組織名義蒐集取得之個人資料，縱進行跨部門利用，亦不生間接蒐集問題，而應回歸初始簽訂受託買賣契約時，有無事先取得當事人同意得作為徵求委託書用途，否則似已構成特定目的外之利用，允宜告知投資人並取得同意。
4	各該權責單位是否允宜於包括但不限下列規定中，具體增列與主管機關指示有關之條款文字： （一）證券商內部控制制度標準規範（例：CA-11110 開戶手續及審核作業） -- 證交所。 （二）委託買賣證券受託契約範本 -- 證券商公會。 （三）股務單位內部控制制度標準規範（例：CA-30340受託辦理委託書事務作業） -- 集保結算所。	主管機關114年1月23日金管證交字第1140380406號函囑略以：證券商如利用經紀業務之客戶個人資料於徵求委託書用途，應於開戶時取得客戶書面同意。辦理開戶之人員並應對客戶適當提醒及說明，以利充分知悉。若未經書面同意，即不得運用該客戶個資於委託書徵求業務。

經充分溝通與討論，集保結算所、證券商公會、元大證券、凱基證券、富邦證券等與會單會，逐漸形成共識，各方同意得由酌修「證券商內部控制制度標準規範」，與投資人簽署「委託買賣證券受託契約」時併附之「蒐集處理與利用個人資料告知書」等文件參考範本，以解決實務作業面適法性不足之疑慮。然為期合理控制辦理本項業務，所可能遽增之成本，各出席單位亦建議由證交所彙整會議結論，並統籌函報金管會，剴切說明業者較不易付諸執行之困難部分。

易言之，鑒於投資人於開戶留存個人資料時，既業就定型化契約所列同意事項進行勾選，原則上證券商應未涉刻意不當使用客戶個資情事。倘以服務所屬客戶為基礎，並徵詢交付委託書意願，尚無逾越法定合理使用範圍。但目前就客戶同意使用個資範圍，業者傾向採「涵蓋極大化」原則，故普遍使用「經主管機關同意得經營業務項目」、「證券交易相關業務」等籠統性文字，故此作法容有改善空間。

另經查各家業者所提供之同意使用個人資料條款與格式，現階段並未經主管機關統一規範，文字語意爰尚有所歧異，致可能於部分實務案例中，就授權使用範圍是否具體、合理，以及欄位標示是否明確等節，與客戶認知有所落差，事後不免衍生個資侵害糾紛與客訴爭端。是以，仍宜就現行同意個資使用相關欄位，酌予進行部分調整，以消弭外界疑慮。至就類似之個人資料跨部門共用情形，亦宜衡酌資訊安全防護之內部控制，建置不同部門別之業務防火牆，確保資料查詢之帳號與權限管理不致浮濫。

至於有關強制全面性要求所有證券業者，均應情商所屬客戶補行簽具同意書，就委託書徵求業務使用其個人聯絡資料乙節，單獨以書面方式允諾，則似仍有若干窒礙難行處。例如，若以既有營運據點之開戶總數為基礎，前揭要求不僅必須耗費人力物力進行通知作業，大幅增加營運成本，後續檔紙張印製費用，似亦與政府推動永續環保理念，有所未符。嗣後若又因其他個案考量，再有另增其他單張同意書之指示，恐循環造成業務推展之不利影響。

此外，縱依個資法之規定，得於運用個人資料時，方就個案通知當事人並取得其同意，惟就擁有特定出席股東會委託書，且於多家證券業者均已開立委託買賣帳戶之投資人而言，即可能因此接獲該委託書徵求之重複通知，致生活上不堪困擾，進而影響其簽署同意書之意願。另就已事先簽署授權書，以通案同意方式，得於各類徵求公開發行公司股東會委託書案件，均得利用其所留資料聯繫者，苟於部分案例偶未獲通知，則不排除其遽然指控證券商有違公平待客原則，進而引發客訴紛擾。不僅於此，得合法代理委託書徵求業務者，目前除部分經主管機核准之證券商與銀行外，尚包括其他業者。盱衡目前之規劃架構，如僅單獨就證券商之股務代理業務，遂行前揭嚴謹規範要求，難免有損行業公平競爭，不啻對其他亦得經營委託書徵求業務，卻毋庸納入管理範疇之機構，提供較有利之營業環境。

至於相關後續作業流程部分，則暫定由證交所先行修訂「證券商內部控制制度標準規範」，並提供草案版本予證券商公會參酌，俾利其據以研修開戶（總）契約之個人資料使用相關授權書。另就集保結算所之「股務單位內部控制制度標準規範」內容，則暫無因應調整之規劃，惟將於日後之相關宣導與教育訓練中，提醒業者允宜就委託書徵求業務，嚴格遵循相關個資保護管理法規。

依據金融監督管理委員會114年1月23日金管證交字第1140380406號及114年5月5日金管證交字第11401352021號等函，證交所爰按前揭會議紀錄決議事項，奉核新增證券商內部控制制度標準規範（含「內部控制制度CA-11160客戶資料之保護作業」、「內部稽核實施細則AA-11160客戶資料保護作業之稽核」、「查核明細表FA-11160-S」），其作業程式及控制重點如下：

一、對新客戶之作業程式：

（一）簽署「委託買賣證券受託契約」時，公司應告知客戶依法提供之「蒐集處理及利用個人資料告知書」所列蒐集之特定目的，與處理或利用之明確範圍。

（二）公司應於官方網站、行動裝置應用軟體（APP）或其他足以使客戶知悉或可得知悉之方式，同步揭露前揭告知書完整內容。

（三）後續如遇業務或客戶服務等項目有增減異動時，公司應即以前揭方式，揭露最新告知書版本資訊以供參考，使客戶知悉其與初始蒐集之目的，仍具正當合理關聯。對個人資料之利用，除有個人資料保護法第20條第1項但書所列情事外，不得逾越原蒐集特定目的之必要範圍。

二、對既有客戶之作業程式：

（一）後續如遇業務或客戶服務等項目有增減異動，致變更告知書內容時，公司應即以前揭足使客戶知悉或可得知悉之方式，公告最新告知書版本資訊以供參考。

（二）公司應確認客戶瞭解更新後告知書內容，與其初始同意蒐集之目的，仍具正當合理關聯。

三、防止資料外洩或遭不當存取：

（一）公司應就保存之客戶個人資料檔案，確實依據「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」所訂規劃、管理程式、安全稽核等規定辦理。

（二）公司應確實建立存取控制與保護監控等機制，以避免詐騙等犯罪案件發生。

四、為保障個人資料之自主權，公司亦應提供服務專線等便利管道，使客戶得隨時行使「個人資料保護法」第3條之請求權。除法律另有規定外，公司不得拒絕該項請求。

金管會既已同意前於101年公告施行之「蒐集處理及利用個人資料告知同意書」參考範本，版本漸顯老舊，似應與時俱進酌予微調，嗣經證交所與本案相關之周邊單位、證券業者協商後，擬配合個資員會以落實資訊隱私權保障，並促進個人資料之合理利用等國家政策，由證券商公會負責就現行版本，酌予精進個資保護內涵。

就前揭告知同意書進行修正之主要規劃重點，首先即係就有關蒐集客戶個人資料之目的，應以「證券、期貨、證券投資信託及顧問相關業務」（如受託交易國內外有價證券、財富管理等）、「消費者、客戶管理與服務」（如委託書徵求等）、「金融服務業依法令規定及金融監理需要所為之蒐集處理及利用」（如司法或主管機關調閱等）、其他經營合於營業登記項目或組織章程所定之業務（如共同行銷、合作推廣等）及「其他契約、類似契約或法律關係之事務」等類別為限，採列舉與概括並重原則，以期周全。

與個資法第6條所列特種個資之部分，則為該項客戶個人資料既涉及高度隱私，亦與經營日常證券業務顯無關連，爰明確規範不得以任何理由進行蒐集。另於本文件備註部分，則宜充分揭露前揭證券商內部控制制度標準規範相關保護證券商客戶資料之作業要旨，俾於簽署同意前善意提醒投資人，以利知悉證券業者之相關法遵義務。

另雖考慮省略參考範本中原供客戶簽署之欄位設計，惟基於佐證業者確已對客戶清楚告知、降低可能之法律風險，併期提升開戶作業流程效率等目的，證券商將另自行按業務實際需要，單獨提供附加之「簽署聯」備用，並於該頁面歸納各項開戶相關檔案名稱，客戶爰無庸逐一就多份檔分別簽署。至於因應簽署同意欄位調整至簽署聯統籌辦理之方式，本文件名稱遂配合調整為「蒐集處理及利用個人資料告知書」。

鑒於以上所述告知書範本內容，係屬證券業者與客戶端接觸最前緣之重要文件，金管會就此特於內部就交易、管理與法務等業務項目逐一確認，並經綜據各方意見後，函覆證券商公會業務三組，建議參照法務部法律字第10203511430號解釋，蒐集個資者應以個別通知之方式使當事人知悉，不得以單純擺設（張貼）公告或上網公告之概括方式為之，而需足以使當事人知悉或可得知悉該公告內容之方式辦理。另如有特定目的外之利用情形時，應按個資法規定明確告知特定目的外之其他利用目的、範圍，及同意與否對其權益之影響後，單獨取得客戶同意。除此之外，就原範本客戶簽署欄位，就提供個資作為特定目的內蒐集、處理、利用，勾選同意與否之設計，則似應予以保留沿用為妥。

綜上，本次告知書範本修正草案，遂經由證券商公會「法律事務暨法令遵循委員會」原則討論通過，惟仍附帶建請金管會同意，尚得參採證券商實務作業模式，免設獨立簽署欄，併簡化為於統籌簽署頁面增設同意與否之勾選設計暨加註文字清楚標示，貼心提醒客戶如未予勾選，則視為同意等提醒用語。就此與主管機關指示尚有扞格部分，證券商公會迭經多次協調折衝與分析說明，終取得金管會勉予同意在案，順利完成強化證券業個資保護之重要拼圖後，嗣以114年8月25日中證商業三字第1140004420號函，檢送予會員證券商新版「OO證券股份有限公司蒐集處理及利用個人資料告知書」，俾資業界全面適用。

為回應學界與民間團體之倡議暨聯合國長期呼籲各國制定相關計畫，我國遂據以參照籌組成員多元之「制定國家人權行動計畫諮詢委員會」，並由行政院主導「國家人權行動計畫」制定作業細則，俾為對人權基本保障之承諾，而其中即包括與民眾日常生活緊密連結之「數位人權」。有鑒於此，政府即針對數位人權保護管理架構，參考歐盟、日本、南韓等國之個資保護監管模式，設置職司個人資料保護之獨立監督機關，亦即個資法第1條之1所之「個資會」，並將此列為近期優先施政重點。

參酌行政院於114年3月27日送請立法院審議，並經其院會於同年10月17日第11屆第4會期第5次會議三讀通過之個資法部分條文修正案，即知我國政府決定由上而下，全方位強化蒐集、處理、利用個人資料之合法性與可信度，其立場堅定不容置疑。謹臚述最新版個人資料保護法中有關設置「個資保護長」等修正重點，併供卓參：

修正重點綱要	規範內容	個資法條文參照
統籌主管機關監管職能	增訂個資事故通報義務，統一受理個資外洩等相關通報，以利掌握事態變化發展，發生事故單位亦應即時採取應變措施，並就此留存相關紀錄為憑。另為強化公務機關與非公務機關之的個資法令遵循及安全控管，「個資會」將訂定公版之安全維護管理辦法，作為日後執法基準。	第12條、第18條、第20條之1
強化公部機關個資監督管理	規範公務機關應就個人資料管理與保護事務，設置個資保護長乙職，並由各機關首長指派適當人員兼任，以統籌規劃暨深化落實公務機關之個資保護文化。另併增訂公務機關之內、外部雙重監管機制，內部由上級機關負責督導所屬，外部則由個人資料保護法主管機關，實施外部稽核及行政檢查，雙管齊下以優化個資保護內涵。	第18條、第21條之1至第21條之4
對非公務機關另設過渡期	考量貿然變動現行監管權限，恐導致非必要衝擊，亦難確保監管效能，故就非公務機關部分特設過渡機制，以期漸進達成個資保護事務監督權限一元化目標。亦即，暫由「個資會」直接監管尚無明確目的事業主管機關之業者，至於已有明確目的事業主管機關之業者，則應於6年內，依行政院公告範圍，暫由其目的事業主管機關監管，並以2年為期定期檢討減列，以利逐步完成監理事權劃一。	第51條之1