壹、背景
今年(民國九十一年)七、八月間,一封關於「台新想把卡友資料外洩合法化」之留言,迅速在網路上流傳開來。該網路留言表示,台新銀行修改其信用卡約定條款後,將發生卡友資料「合法外洩」之問題,如果卡友拒絕接受,只能終止契約。[1]此一留言,立刻引起熱烈的討論,甚至造成許多民眾因而剪卡抗議。為此,台新銀行於八月六日正式發表公開澄清。[2]
此一個案發生後,民眾對於信用卡個人資料外洩之憂慮及不信任感再度提昇。[3]信用卡公司是否有權以定型化契約之方式將個人資料合法外洩?消費者不同意個人資料外洩的效力如何?是否只有終止契約(剪卡)一途?金融控股公司成立後,消費者的個人資料保護是否受到了侵害?如何防制?本文擬透過個案對這些問題進行分析。
貳、客戶個人資料是否可能因銀行片面修改契約而「合法洩漏」?
網路上這篇關於「台新想把卡友資料外洩合法化」之留言,其中一個重點乃在強調銀行片面修改信用卡約定條款後,持卡人的個人資料將會外洩,且影響層面十分廣泛。對於此一憂患,恐非無的放矢。
首先,該銀行所修正的信用卡契約條款第五條之規定(劃底線之部分為新增內容)如下:[4]
第五條:(個人資料之蒐集、利用、電腦處理及國際傳遞)
信用卡申請人或持卡人同意貴行、往來之金融機構、財團法人金融聯合徵信中心及財團法人聯合信用卡處理中心,得依法令規定蒐集、電腦處理、國際傳遞及利用其個人資料;信用卡申請人或持卡人並同意貴行得指定專業之第三人負責處理信用卡作業等相關事宜。貴行非經申請人或持卡人明示同意或依其他法令之規定,不得將其個人資料提供予上述機構以外之第三人使用。但持卡人同意貴行於下列情形得利用持卡人之個人資料:
1、貴行不定期寄送各類郵購商品資訊予持卡人時。
2、其他貴行為合於營業登記資料項目之業務需要所為之行為時。
3、貴行將持卡人資料提供予貴行所屬之金融控股公司及其子公司為進行共同行銷建檔、使用,另貴行、貴行所屬之金融控股公司及其子公司擬與其他第三人依「金融控股公司法」及「金融控股公司及其子公司自律規範」等相關法令進行共同行銷者,貴行得提供持卡人資料予該第三人建檔、使用。
4、貴行對於持卡人之債權得依法信託予受託機構,且該等信託移轉通知事宜同意貴行得以公告方式代之。另如資產之信託移轉涉及債務承擔者,持卡人於公告期間內不為異議即視為承認。
若與行政院消保會所公布的信用卡定型化契約範本兩相對照,[5]我們可以發現,該銀行「修正前」的信用卡契約條款第五條,與消保會的定型化契約範本第四條完全相同。換言之,修正前的條文確實符合消保會公布的定型化契約範本,但修正後的條文反而不符合該範本。故新契約的公平性如何,確實可能令一般大眾產生質疑。
次就其內容分析,該條款最主要的修改重點有二:
(一)原則:申請人或持卡人同意授權者
新條文規定:「信用卡申請人或持卡人並同意貴行得指定專業之第三人負責處理信用卡作業等相關事宜。貴行非經申請人或持卡人明示同意或依其他法令之規定,不得將其個人資料提供予上述機構以外之第三人使用」。
上述條文,依文義解釋,只要是銀行所指定的「專業之第三人」,不必再經過申請人或持卡人明示同意或依相關法令之規定,即有權合法「蒐集、電腦處理、國際傳遞及利用」客戶的個人資料─因為信用卡申請人或持卡人已在定型化契約中概括同意授權該銀行指定的特定第三人有權使用個人資料;而且,銀行只有在意圖將客戶資料外洩給「銀行、往來之金融機構、財團法人金融聯合徵信中心及財團法人聯合信用卡處理中心、銀行指定之專業第三人」以外的其他第三人時,才必須依法令或徵求客戶的明示同意。
換言之,銀行指定的「專業第三人」,可以自由的「蒐集、電腦處理、國際傳遞及利用」信用卡申請人及持卡人的個人資料,而不必再經過申請人或持卡人的明示同意。
(二)例外:無須申請人或持卡人同意授權者
依修正後條文,銀行得於約定的四種情形下利用個人資料,且無須再徵得信用卡申請人或持卡人的同意。第一種情形為推銷,第二種情況為業務上正當行為,第三種情況為共同行銷行為,第四種情況為債權信託行為。值得注意的是第三種情形,在該情形下,個人資料基於「共同行銷」之目的,可以合法外洩給銀行所屬之金融控股公司、其子公司,及與所屬之金融控股公司及其子公司共同行銷的其他第三人。[6]
從上述分析可知,客戶個人資料依銀行新修改之信用卡定型化契約,確實可能「合法」外洩。而且外洩之範圍十分廣泛,非客戶所能預測。[7]
參、客戶拒絕個人資料洩漏之效果?
另外,就契約變更之效力如何,該約定條款第二十二條(劃底線之部分為新增內容)亦有規定:[8]
第二十二條(契約之變更)
本契約條款如有修改或增刪時,貴行以書面通知(包括但不限於以帳單、貴行信用卡刊物等,下同)持卡人後,持卡人於七日內不為異議者,視同承認該修改或增刪約款。但下列事項如有變更,應於變更前六十日以書面通知持卡人,並於該書面以顯著明確文字載明其變更事項、新舊約款內容、暨告知持卡人得於變更事項生效前表示異議,及持卡人未於該期間內異議者,視同承認該修改或增刪約款;並告知持卡人如有異議,應於前項得異議時間內通知貴行終止契約,且除第五款事由外,並得請求按實際持卡月份(不滿一個月者,該月不予計算)比例退還部分年費:
1.增加向持卡人收取之年費、手續費及提高其利率、變更利息計算方式及增加可能負擔之一切費用。
2.信用卡發生遺失、被竊等情形或滅失時,通知貴行之方式。
3.持卡人對他人無權使用其信用卡後發生之權利義務關係。
4.有關信用卡交易帳款疑義之處理程序。
5.其他經財政部規定之事項。
依該規定,持卡人對於契約條款之修改或增刪,如有不同意者,得表示異議。而且契約明確規定,異議之效力只有一種:「應於前項得異議時間內通知貴行終止契約」。[9]
不過,台新銀行於得知該篇網路留言後,立即發出新聞稿澄清[10]。其澄清內容之重點有五:
(一)台新銀行修改信用卡契約之行為符合法律規定。
(二)台新銀行在網站上已刊載「客戶資料庫保護聲明」
(三)客戶不願接受台新銀行及第三人之行銷,可申請自行銷名單中刪除
(四)客戶不願接受台新銀行所屬金融控股公司共同行銷,可申請系統註記。
(五)客戶異議毋須剪卡。
從上述五點澄清內容,則台新銀行之聲明旨在強調「客戶之異議效果,並非只有剪卡一途」之觀念。
惟查:
(一)、該公司網站上並無「客戶資料庫保護聲明」之文件。較接近之文件為「隱私權保護及著作權聲明」[11],但該聲明之內容旨在強調保護「進入台新網站瀏覽」者之個人資料(包括電子郵件信箱、個人IP位址、瀏覽習慣、COOKIE、網路投票等)不致外洩,並未包括信用卡個人資料之使用或限制。換言之,所謂「台新銀行在網站上已刊載客戶資料庫保護聲明」,並無其事。
(二)、依該公司信用卡約定條款第二十二條,明確規定異議之效果只有終止契約一種,而並未另行創設「自行銷名單中刪除」、「系統註記」之效果。因此,台新銀行澄清聲明之(三)至(五)點,並無其事。
簡言之,綜觀該行之信用卡契約條款及其他相關文件,消費者擔心自己之個人資料可能會無端外洩,且只能以「終止契約」作為解決方式,並非無據。
比較爭議的是,雖然台新銀行的信用卡契約中只有終止契約一種解決方式,但台新銀行的公開新聞稿,是否可以作為台新銀行信用卡約定條款的「修正」而發生效力?就此一問題,依其信用卡契約第三十條第四項:「本契約或其他附件各項約定如有未盡事宜,應由雙方另行協議訂定之」[12],則契約已有約定者,依其契約;契約未約定者,始由雙方另行協議訂定之。而契約之變更,僅能依第二十二條之程序。因此,台新銀行之新聞稿,並不能作為信用卡約定條款之「修正」。[13]
肆、金融控股公司共同行銷與個人資料之保護
從上述案例,還凸顯出金融控股公司與其子公司間進行共同行銷時,對於客戶個人資料的交互運用涉及個人資料保護時如何處理之問題。
就此,民國九十年七月九日公布的金融控股公司法第四十三條規定如下:
第四十三條
金融控股公司與其子公司及各子公司間業務或交易行為、共同業務推廣行為、資訊交互運用或共用營業設備或營業場所之方式,不得有損害其客戶權益之行為。
前項業務或交易行為、共同業務推廣行為、資訊交互運用或共用營業設備或營業場所之方式,應由各相關同業公會共同訂定自律規範,報經主管機關核定後實施。
前項自律規範,不得有限制競爭或不公平競爭之情事。
根據本條,金融控股公司及其子公司間進行共同業務推廣或行銷行為、資訊交互運用時,應受其自律規範之約束。[14]而依其自律規範第五條及第六條規定,金融控股公司與其子公司及各子公司間,或與其他第三人間進行共同行銷,於揭露、轉介或交互運用客戶資料時,應符合法令或主管機關之規定或經客戶簽訂契約或書面同意,且不得有損害客戶權益之情事。此外,除非法令另有規定或經客戶簽訂契約或書面明示同意,揭露、轉介或交互運用之客戶資料,不得含有客戶基本資料以外之帳務、信用、投資或保險資料。
此外,財政部證券暨期貨管理委員會在(91) 台財證 (二)字第001539號函中亦有明文:「各業共同使用客戶資料,應依電腦處理個人資料保護法及金融控股公司及其子公司自律規範之相關規定辦理,除基本資料(包括姓名、出生年月日、身分證統一編號、電話及地址等資料)外,其餘帳務資料、信用資料、投資資料或保險資料等於揭露、轉介或交互運用時,應經客戶簽訂契約或書面明示同意後方可使用。」
換言之,金融控股公司與其子公司及各子公司間,或與其他第三人間進行共同行銷時,必須合於現行法令(尤其是電腦處理個人資料保護法及金融控股公司法)或者得到客戶的「書面或契約明示同意」,始能合法運用客戶的個人資料。
有爭議的是,所謂的「書面或契約明示同意」,是否包括「定型化契約」?本文認為,此處所謂之「書面」或「契約」,並未排除「定型化契約」,但仍應符合其他相關法律之規定。依消費者保護法第十一條,則企業經營者在定型化契約中所用之條款,應本平等互惠之原則。定型化契約條款如有疑義時,應為有利於消費者之解釋;更重要的是同法第十二條:
第十二條
定型化契約中之條款違反誠信原則,對消費者顯失公平者,無效。
定型化契約中之條款有下列情形之一者,推定其顯失公平:
一違反平等互惠原則者。
二條款與其所排除不予適用之任意規定之立法意旨顯相矛盾者。
三契約之主要權利或義務,因受條款之限制,致契約之目的難以達成者
如果發卡銀行以「同意授權使用個人資料」作為提供信用卡服務的前提或條件,造成持卡人或申請人在事實上喪失拒絕同意之可能時,此一定型化契約之約定,依消費者保護法第十二條,顯失公平,即應無效。換言之,當發卡銀行在定型化契約中明確表示,「不同意授權運用個人資料,即不能發卡或必須終止契約」時,此一定型化契約條款即應無效。此時,自不能認為已獲得「客戶簽訂契約或書面明示同意」,金融控股公司與其子公司及各子公司間,或與其他第三人間進行共同行銷時揭露、轉介或交互運用客戶資料者,自屬違法。如果再與金融控股公司及其子公司自律規範第十二條:「金融控股公司之子公司除依法令另有規定者外,不得強制客戶與其他子公司簽訂契約,以購買其商品或服務作為授信或提供服務之必要條件」規定相對照,更可發現這個結論應屬正確。
雖然金融控股公司及其子公司自律規範第十一條:「金融控股公司或其子公司於使用客戶資料從事共同業務推廣行為時,應於接獲客戶通知停止使用其資料後,立即依其通知辦理」,銀行一般均依據本條主張客戶的權利並未受到侵害。但是,必須指出,此一條文並非表示銀行只要於接獲客戶通知時停止使用即可任意使用客戶之資料,而是指銀行獲得合理使用之授權後,如果客戶通知停止使用,仍應立即停止使用。換言之,此乃賦與客戶收回授權之權利。銀行不能曲解本條,認為客戶之授權自始有效;相反的,當銀行違反消費者保護法之規定,致授權條款無效時,即已自始不能合理使用客戶資料,即使客戶未通知停止使用,銀行也無權合理使用該個人資料。
伍、結論
台新銀行個案的關鍵問題在於:金融控股公司在信用卡定型化契約中修改條款,要求客戶必須同意將個人資料提供給其集團共同使用,否則就必須終止信用卡契約。這樣的條款是否合法?
依相關法律可知:只要得到消費者「書面或契約同意」,這樣的約定是可以的。但是,當金融控股公司以修改定型化契約代替個別書面同意,又在定型化契約中規定不同意時必須終止信用卡契約,這樣的約定,已明顯違反了消費者保護法第十一條、第十二條的規定,對消費者顯失公平和誠信,其約定應屬無效;此外,在「金融控股公司及其子公司自律規範」第十二條亦規定,金融控股公司不可以將「必須接受子公司服務」作為提供客戶服務的條件。換言之,金融控股公司無權要求客戶無條件同意提供個人資料給集團公司相互間運用,否則就終止契約。由此可見,在定型化契約中要求客戶「同意提供個人資料給集團公司相互間運用」的約定,無論在法律或自律規範上,都應該是無效的。可惜的是,當客戶申訴時,通常只會得到「消費者可以隨時要求自共同行銷名單中移除」的答覆,至於此類約定條款效力如何,金融控股公司通常避而不答。
更令人不解的是,金融控股公司有經費向每一個客戶寄發「契約更改,如不同意只能剪卡」的通知,可見在客觀上他們也有可能向每一個客戶發出通知,個別詢問客戶是否同意提供個人資料。為什麼不做?[15] 即使金融控股公司內部確實訂有嚴密的自律及保密規範,但更重要的是,不管有沒有自律或保密規範,金融控股公司仍然必須守法。在法律上,金融控股公司絕對不能「以拒絕提供服務作為要脅,強迫客戶提供資料」!如果金融控股公司確實沒有「強迫客戶提供資料」的意圖,正確的做法是在契約中規定清楚。
如果在契約中規定一套,在新聞稿中、給財政部的說明中又是另一套,怎能不令人懷疑金融控股公司的用心呢?
[1]http://board.yam.com/hogwarts/commerce/finance/invest/tax2000/Forum_view?articleId=2793301。
[2]http://www.taishinbank.com.tw/card/news_detail.asp?indx=33。
[3] 尤其於九月十八日爆發財金公司工程師盜賣信用卡資料後,信用卡個人資料的合理使用範圍,更引起消費者的重視。相關新聞見《聯合報》,2002年9月18日,一版。
[4] 本約定條款引自:http://www.taishinbank.com.tw/card/membership8.asp#5。
[5] 關於信用卡定型化範本,可自http://www.cpc.gov.tw/cpc3/doc/91050906.doc下載。
[6] 此一問題,本文中另有專節討論。
[7] 銀行究竟指定何人為「專業第三人」?指定了多少第三人?所謂信用卡作業相關事宜的範圍?所屬金融控股公司及其子公司的數量?與該金融控股公司或其子公司共同行銷之第三人之數量?所謂共同行銷之範圍?凡此皆屬不可預測。
[8] 本條款引自:http://www.taishinbank.com.tw/card/membership8.asp#22。
[9] 從上述分析可知,台X銀行確實修改了其信用卡約定條款,且依新修正之條文第五條之內容,確有使信用卡申請人或持卡人之資料外洩給特定第三人、所屬之金融控股公司、其子公司、不特定第三人之虞。職是之故,該篇網路留言,並非無的放矢,尚屬可信。
[10] 詳細內容可參閱:http://www.taishinbank.com.tw/card/news_detail.asp?indx=33。
[11] 見http://www.taishinbank.com.tw/privacy.asp。
[12] 見http://www.taishinbank.com.tw/card/membership8.asp#30。
[13] 不過,根據誠信原則,台新銀行自應受其所發出之新聞稿的拘束,往後在遇到客戶要求自行銷名單中移除者,台新銀行不能主張終止契約,只能自行移除。
[14] 「金融控股公司及其子公司自律規範」,於中華民國九十年十月二十六日,由中華民國銀行商業同業公會全國聯合會訂定。
[15] 就此,電信業者台灣大哥大,曾在九十一年九月,對每位客戶寄發信函,詢問客戶是否願意收取簡訊廣告。不同的是,台灣大哥大的通知函中,有「同意」與「不同意」兩個選項,如果選擇不同意,不會因此被「停止服務」!交通部管理下的電信業者做得到,財政部管理下的金融控股業者沒理由做不到。
