防银行泄个资 金管会下新令

金管会已要求发卡机构不得迳以变更信用卡契约约定条款概括要求持卡人同意，也不可以因持卡人回复不同意而迳行终止契约。图／本报资料照片

为维护信用卡持卡人个人资料自主权，及避免银行与第三人间的合作，涉及持卡人个人资料使用而有衍生消费争议之虞，金管会祭出新令指出，发卡机构不得迳以变更信用卡契约约定条款，概括要求持卡人同意，也不可以因持卡人回复不同意而迳行终止契约。

去年立委林楚茵爆料，有三家银行片面修改信用卡定型化契约，要求持卡人需同意银行将持卡人和保证人个资及往来资料，提供给该银行有往来的机构（例如LINE、FB、IG等通讯软体及社群平台），若不同意就终止契约，等于是帮助诈骗集团广开个资外泄大门，要求金管会彻查。

金管会在邀集银行公会及主要发卡机构共同商议相关强化客户个人资料保护措施后决议，金管会已要求发卡机构不得迳以变更信用卡契约约定条款概括要求持卡人同意，也不可以因持卡人回复不同意而迳行终止契约。

金管会表示，目前实务上，发卡机构提供持卡人个人资料予第三人使用常见的合作型态，有二种，一是受发卡机构委托处理申请书建档、卡片制发、帐单列印、帐款收取、帐款催收等作业，这些第三人系属发卡机构之「受托机构」，视同委托之发卡机构，负同一责任。

二是信用卡持卡人机场接送、信用卡活动赠品、红利点数兑换等，这些系发卡机构基于为履行信用卡申请或履行契约之目的所合作的第三人。

以上两种型态，都属于发卡机构在「履行信用卡申请或履行契约之目的范围内」所合作之第三人，可以在符合「个人资料保护法」等规定下迳行办理，不用再次取得持卡人同意。但是如果属于「履行信用卡申请或履行契约之目的范围外」使用之第三人，发卡机构则必须另行取得持卡人同意才可。

外界关切发卡机构与社群媒体平台之合作型态：经调查了解这些平台主要是提供持卡人信用卡帐务与优惠之通知或查询服务，其角色类似于「提供简讯传递讯息的电信业者」及「以电子邮件传递讯息的电子邮件信箱营运者」。

据了解目前发卡机构提供持卡人帐务消费及优惠讯息通知或者查询信用卡服务的管道十分多元，包含以书面、简讯、电子邮件等方式，社群媒体平台也是上开管道之一，持卡人可以视自己的习惯自行选择，发卡机构再依持卡人选择之方式提供通知及查询服务。

未来发卡机构与社群媒体平台之合作如果涉及于「信用卡申请或履行契约之目的范围外」使用持卡人个人资料，则发卡机构必须另行取得持卡人同意。

金管会吁请各发卡机构与第三人合作时，倘有使用持卡人个人资料，应由其法令遵循单位审慎评估，确认该等资料使用之应遵循规范，并依规定办理，以维护信用卡持卡人之个人资料安全。