對於零售、餐飲與服務業而言,會員資料庫不僅僅是一份客戶名單,更是驅動精準行銷、提升顧客忠誠度的重要資源。然而,這份資源也伴隨著沉重的法律責任。從會員招募、點數計畫到線上線下(O2O)的資料整合,每個環節都潛藏著個資保護的法遵義務。
為此,經濟部已頒布零售業個人資料檔案安全維護管理辦法(下稱安維辦法),引入 PDCA(Plan-Do-Check-Act)的管理方法,為相關業者提供了明確的法遵框架。本篇將先解析安維辦法下的核心管理義務,再結合法規要求,聚焦於零售業獨有的個資議題,包含會員制度、交易紀錄與影像監控紀錄。
一、安維辦法適用對象
根據安維辦法第 3 條,適用對象為資本額達新臺幣 1000 萬元以上,並有招募會員或可取得交易對象個資的實體或兼營網路零售業者。至於純網路經營的電商業者,則屬於數位經濟產業,將適用《數位經濟相關產業個人資料檔案安全維護管理辦法》,相關說明可以參考【數位產業篇】。
二、安維辦法下的核心管理要求:從政策到實踐的 SOP
零售業安維辦法對業者的內部管理設下了具體的 SOP 要求,是所有受規範的業者都必須建立的機制:
(一)訂定安全維護計畫並指定專責人員(安維辦法第 4 至 6 條):業者應訂定安全維護計畫,並指定專責人員負責規劃、執行與報告。計畫應載明個資範圍、內部管理程序、事故應變機制等十大事項。
(二)定期清查與風險評估(安維辦法第 7 條):應定期清查所保有的個資現況,並應就非必要之個資予以刪除、銷毀或停止處理利用。
(三)落實資料與設備安全管理(安維辦法第 9、10、11、13 條):
- 技術面:應採取加密、備份、安全傳輸等措施,並在使用資訊系統時,建置防火牆、入侵偵測、設定認證機制、採行隱碼機制等。
- 人員面:應依業務需求設定不同人員權限並定期確認、要求人員保管儲存媒介並約定保密義務、在員工離職時確實移除權限並辦理交接,並對所屬人員定期施以個資保護的認知宣導及教育訓練。
- 儲存面:應對紙本資料、電子資料存放設備訂定保護設施與管理程序,並規範銷毀及報廢汰換程序。
(五)事故應變與通報(安維辦法第 12 條):當發生個資外洩事故時,應於 72 小時內通報經濟部。此為安維辦法在個資法外新增之義務,補充了個資法第 12 條僅要求通知當事人之規定。
(六)稽核與紀錄保存(安維辦法第 14、15 條):應指定查核人員(不得與專責人員為同一人)定期稽核計畫執行情形。此外,個資的使用紀錄、軌跡資料等,應至少保存 5 年。
三、產業議題:會員制度的合規設計
會員制度是零售業的根本,而一張合規的會員申請書(無論是紙本或線上形式),則是所有個資保護工作的起點。以下針對常見的相關議題進行說明:
(一)會員招募與資料蒐集
- 設計一份清楚的告知同意書(個資法第 8 條):首先,建議在會員申請的頁面或文件上,明確提供一份「個人資料告知暨同意事項」。這份文件應依據【合規篇】中提到的要點,清楚說明蒐集目的、資料類別、利用期間/對象/方式、以及當事人權利等法定事項。
- 避免「不同意就不能加入會員」的做法(個資法第 8 條):這是一個常見的爭議。實務上,如果企業蒐集的資料,確實是提供會員服務所「必要」的(例如:姓名、手機號碼用於識別身分與累積點數),那麼將「同意個資條款」作為加入會員的必要條件,應該能被肯認。然而,若企業要求會員必須同意「額外」的行銷目的,才能加入會員,就可能被認為是「強迫同意」,而有違法的風險。
- 定期盤點與刪除資料(安維辦法第 7 條):安維辦法要求業者應定期清查所保有的個資,對於非屬特定目的必要範圍內,或目的消失、期限屆滿而無保存必要的資料,應主動予以刪除、銷毀或停止利用等。
(二)資料利用與精準行銷
零售業蒐集會員消費紀錄的最大誘因,就是為了進行「個人化推薦」與「消費行為分析」。然而,這種利用方式必須小心,遵守法律要求:
- 確認是否超出了原始的蒐集目的:利用會員的消費紀錄進行分析,是否符合當初「會員管理與服務」的蒐集目的?最保險的做法,是在會員申請時的告知事項中,就明確寫入「為提供個人化商品推薦、消費行為分析與市場調查」等字樣,並取得當事人的同意,將其納入原始的特定目的範圍內。
- 落實「拒絕行銷權」(安維辦法第 20 條):當企業首次利用個資進行行銷時,應明確告知當事人登記名稱及個資來源,並提供當事人表示拒絕的方式以及支付所需費用。一旦消費者行使「拒絕行銷權」,企業必須建立一套確實的內部註記與排除機制,立即停止利用其個資進行行銷。
(三)線上線下 (O2O) 的資料整合風險
為了提供無縫的消費體驗,整合官網、APP與實體店面的會員資料,是所有零售業者的目標。然而,在整合過程中,必須注意個資保護的一致性。
- 確認是否需要重新取得同意:如果當初在實體店面招募會員時,告知的資料利用範圍僅限於「實體門市相關服務」,那麼當企業要將這些資料與官網 APP 整合,並用於線上行銷時,就可能已超出原始目的。此時,最穩妥的做法是,在進行整合前透過 Email 或簡訊等方式通知會員,說明新的利用目的與方式,並再次取得同意。
- 確保告知事項的一致性:企業應全面檢視官網、APP、實體門市等所有通路的會員申請機制,確保各通路所提供的「個資告知事項」內容是一致的。避免發生線上版本與線下版本權利義務說明不同的情況,造成管理上的混亂與法律風險。
四、產業議題:交易紀錄與影像監控
除了會員資料,零售業的日常營運還會產生兩類容易被忽略的數據,它們在特定情況下也可能成為個資。
(一)交易紀錄
單純的交易紀錄(例如:某時間點、某商品被售出)本身不是個資。但如果這筆交易紀錄與會員編號、信用卡號、或電子發票載具等資訊連結,使其能夠識別出是「哪一位」消費者進行的交易,那麼整筆交易紀錄即屬於個人資料,必須受到保護。
(二)店內監視器影像
監視器影像若清楚拍到顧客的臉部特徵,即屬於個資。其利用目的原則上應限於「維護場所安全」或「預防犯罪」等。若企業意圖將這些影像用於分析顧客輪廓、停留時間、消費行為(例如:透過人臉辨識技術判斷 VIP 客戶),這已是高度敏感的「目的外利用」,必須取得當事人明確的同意, 否則將面臨極高的法律風險。此外,存放影像的設備應有安全防護與管理程序,以落實個資法以及安維辦法的要求。
五、結論:將個資視為資產,更要視為責任
對於零售業而言,會員個資是最重要的資產,但也是最沉重的責任。隨著安維辦法的施行,主管機關對於零售業者的內部控制與安全措施已設下具體標準。數據的價值,並非來自於無限制地蒐集與利用,而是來自於在贏得顧客信任的基礎上,進行合法且合理的分析。唯有將個資保護內化為品牌 DNA,才能讓這座「個資金礦」為企業帶來長遠且穩固的收益。
若企業對於如何制定符合零售業安維辦法的個資保護計畫、盤點內部資料流程,或是有其他會員制度相關的法遵議題需要諮詢,可以參考經濟部提出的宣導教材,也歡迎與我們聯繫,讓專業團隊協助建構穩固的合規防線。