催收個資保護義務：金融機構委外管理與刑事風險預警

催收個資保護義務：金融機構委外管理與刑事風險預警

債務催收是金融機構保障債權的核心環節，然而，一旦催收手段不當，涉及對債務人個人資料的非法蒐集或利用，不僅可能面臨高額民事賠償，更可能觸發嚴重的刑事責任。對於金融機構而言，無論是自行催收或委外處理，都必須面對《個人資料保護法》（下稱個資法）與金融監理法規的雙重嚴格檢視。

1. 個資保護的雙重法遵框架

金融機構在催收個資保護上，必須同時遵守兩大類法規：

1.1 《個人資料保護法》：劃定行為邊界

金融機構與債務人之間存在契約關係，依據《個資法第19條第1項》，貴機構可以基於「客戶管理」或「金融爭議處理」等特定目的，蒐集和處理債務人的個人資料（包括姓名、聯絡方式、財務情況等）。

然而，問題的核心在於利用。依據《個資法第20條第1項》，個資的利用必須在「蒐集之特定目的必要範圍內」為之。若催收行為逾越了這個必要範圍，即構成非法利用。

1.2 金融監理法規：禁止侵害隱私

金管會頒布的《金融機構作業委託他人處理內部作業制度及程序辦法》對催收行為有更具體的限制。該辦法第14條明確規定，金融機構應監督受委託機構，確保無暴力、恐嚇、脅迫、辱罵、騷擾、虛偽、詐欺或「造成債務人隱私受侵害之其他不當之債務催收行為」。

關鍵限制： 該條文直接將「侵害隱私」列為禁止事項，並嚴格禁止「透過對第三人之干擾或催討為之」。

2. 催收行為的「非法利用」紅線與刑事風險

實務上，法院對於催收機構是否「逾越必要範圍」的認定極為嚴格。一旦跨越以下紅線，不僅可能構成民事侵權，更可能涉及《個資法第41條》的刑事責任。

2.1 公開揭露：從民事到刑事的跳躍

許多催收爭議發生在試圖公開揭露債務事實，對債務人施加社會壓力。例如，某資產管理公司為催討債務，張貼載有債務人姓名、地址及「欠債還錢」等字樣的傳單。

法院實務（如臺灣高等法院臺中分院113年度上訴字第567號）認定，這種行為明顯逾越特定目的之必要範圍，主觀上具有損害他人隱私權的意圖，構成非公務機關非法利用個人資料罪。

《個人資料保護法》第41條：「意圖為自己或第三人不法之利益或損害他人之利益，而違反第19條、第20條第1項規定，足生損害於他人者，處5年以下有期徒刑…」

2.2 非法蒐集：駭客入侵的嚴重後果

為了取得債務人最新的聯絡資訊，若委外機構採取非法手段，例如：利用系統漏洞、預設密碼，或以駭客方式無故入侵公務機關的資料庫（如勞動部就業通網站），將構成嚴重的刑事犯罪。

實務案例顯示，此類行為不僅觸犯《個資法》的非法蒐集罪，更可能同時觸犯《刑法》的無故入侵電腦罪，面臨數罪併罰的風險。

3. 委外催收：金融機構的連帶責任與監督義務

這是金融機構最需要關注的風險點。許多機構誤以為將業務委外後即可免責，實則不然。

依據《個資法第4條》，受公務機關或非公務機關委託蒐集、處理或利用個人資料者，「視同委託機關」。這確立了金融機構與受委託的催收機構在個資保護義務上負有連帶責任。

3.1 監督義務的具體落實

金融機構不能僅簽訂契約了事，必須建立對委外機構的遴選標準、監督管理及定期查核機制。

實務建議：

• 契約明訂合規標準： 要求委外機構承諾遵守《個資法》及所有金融監理法規。
• 定期查核與稽核： 查核委外機構的資訊安全措施、員工訓練紀錄及催收錄音/錄影資料。
• 違規即時處置： 一旦發現委外機構有不當或違法催收行為，應立即介入、要求改善，情節重大者應終止委託契約並向主管機關通報。

提醒：若委外機構因非法利用個資導致債務人權利受損，金融機構即使未直接參與，仍可能因「未盡監督之責」而負民事損害賠償責任，甚至面臨行政罰鍰。

4. 結論：建立滴水不漏的催收法遵防線

在追求債權實現的同時，金融機構必須將個資保護視為核心風險管理的一環。合規的催收不僅能避免法律制裁，更是維護機構聲譽的必要條件。務必確保所有催收行為（無論是內部或委外）都嚴守「特定目的必要範圍」的原則，並杜絕一切公開揭露或騷擾第三人的行為，以確保法遵防線滴水不漏。