日前知名租車業者在客戶個資維護上跌了一大跤,外洩了 40 萬筆以上的資料,由於租車行業需要的個資都是高價值個資,包含姓名、出生年月日、身分證字號、銀行信用卡卡號,甚至台灣的戶政資料都驚傳被駭,這樣的漏洞難以收拾。在個人資料這個議題上,除了從消費者角度,還可以分別從員工和企業的角度來探討。
從《個人資料保護法》(下稱個資法)的定義來看,所謂的個人資料包括自然人姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動,及其他得以直接或間接方式識別個人的資料。再細究下去,就會發現包山包海,更可以細分成一般個資與特種個資,例如病歷、醫療、基因、性生活、健康檢查、犯罪前科等就屬於特種個資,其他就屬於一般個資,如姓名、生日等。
雇主蒐集、使用員工資料,必須符合人事管理範圍
個人資料包山包海,那豈不是動不動就違反《個資法》?其實是不會的,主要個資法也有個人的同意條款或自行公開,還有公務機關在執行職務必要範圍內可以蒐集;學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要時也能蒐集。這也是立法者理解個人資料建構起我們的現代生活,所以折衷了個人資料保護與利用行為間的輕重,讓人不會動輒得咎。
回到從企業成員跟企業本身的角度,《個資法》的影響會出現在哪些環節?首先,在企業間任職一定會填非常多的個資,上面提到的個資種類隨手檢閱都沒有掛一漏萬,不過這就回到《個資法》中個人同意的要件,也一定會在僱傭契約關係中加以約定。還有雇主蒐集員工的個人資料,是出於人事管理的特定目的,在這樣的情況下蒐集、處理員工個資,並且符合該特定目的範圍內利用,並沒有逾越法律的紅線。
前公司薪資受保護,私人同意才解鎖
另外一個很常遇到的情境:求職。在職涯發展中,薪資怎麼談、對方雇主怎麼開,之前的工作表現就非常重要,然而除了員工自己的說法外,雇主或人資單位確實需要一些管道多方確認。這之間雖然說不上爾虞我詐,但透過關係打聽或向原雇主或前主管查證最為可行,此時《個資法》的警戒聲大作,確實不能隨意探詢,尤其個人在前雇主的薪資是屬於個資的範圍。
不過江湖在走法律要有,實務上的方便法門,自然是讓個人簽署一份個資蒐集利用的同意書,這樣在合法性上也比較沒有疑問。不過同樣地,如果人資所查證的是私人已公開的各種資料,例如臉書或IG等社交軟體上的資訊,則較不會踏入《個資法》的警戒區域。此外,要求求職者或員工提供隱私資料時,應尊重當事人權益,不得逾越基於經濟上需求或維護公共利益等特定目的必要範圍,並應與目的間具有正當合理關聯。
企業對個資的態度決定企業的高度,國內屢見企業對個資保護不周的事件,主管機關的裁罰往往不痛不癢。但在國外,個資外洩事件,企業面臨鉅額求償時有所聞,除了避開地雷,防範於未然,才是《個資法》該有的時代意義。
