催收業者的個資保護義務：PDPA紅線、刑責與實務自保指南

催收業者的個資保護義務：PDPA紅線、刑責與實務自保指南

對於催收業者而言，個人資料是業務的基石，但同時也是法律風險的引爆點。在金管會與司法機關對個資保護要求日益嚴格的今日，一旦跨越法律紅線，輕則面臨高額行政罰鍰，重則可能承擔刑事責任。律點通將為您解析在應收債權催收過程中，業者必須嚴格遵守的《個人資料保護法》（PDPA）核心義務與實務操作建議。

1. 催收的法律基礎：個資的「蒐集」與「利用」

在催收過程中，無論是取得債務人的姓名、電話、財務情況，甚至是法院已認定的聲紋（電話錄音），都屬於《個人資料保護法》第2條所定義的「個人資料」。

您的所有行為，必須符合PDPA第19條（蒐集）及第20條（利用）的規定：

• 蒐集/處理的合法性（PDPA第19條）： 您必須有特定的目的（例如：客戶管理、金融爭議處理）才能蒐集個資。對於受委託的催收機構來說，這通常是基於與金融機構的契約或類似契約關係，但前提是必須已採取適當的安全措施。
• 利用的限制性（PDPA第20條）： 個資的使用必須在原蒐集目的的必要範圍內。例如，將個資用於寄送催繳通知書是目的內利用；但若將個資用於與催收無關的商業推銷，則可能違法。

《個人資料保護法》第20條第1項： 非公務機關對個人資料之利用，應於蒐集之特定目的必要範圍內為之。但有下列情形之一者，得為特定目的外之利用：一、法律明文規定。二、為增進公共利益。三、為免除當事人之生命、身體、自由或財產上之危險。四、為防止他人權益之重大損害。五、經當事人書面同意。六、與當事人有契約或類似契約關係，且已採取適當之安全措施。

2. 實務警示：非法取得個資的刑事重罪

催收業者最常觸犯的致命紅線，就是為了獲取最新的聯絡資訊，而採取非法技術手段。

案例情境：營利目的入侵公務系統

某資產管理公司為了提高催收成功率，指使員工利用公家機關網站（例如求職服務系統）的登入漏洞，嘗試以債務人的身份證字號和預設密碼登入，藉此取得最新的住址和電話。法院認定，這種行為是為了賺取催收獎金的營利目的。

判決結果：

• PDPA刑事責任： 構成《個人資料保護法》第41條的意圖營利非法蒐集個人資料罪（可處五年以下有期徒刑）。
• 妨害電腦使用罪： 同時構成《刑法》第358條無故入侵電腦罪。由於入侵的是公務機關電腦，依《刑法》第361條還會加重其刑。

指導意義： 任何透過破解密碼、利用系統漏洞或未經授權的方式取得個資的行為，都將同時觸犯PDPA和刑法，業者絕不可心存僥倖。

3. 嚴守催收對象界線：不得干擾第三人

金融監理法規對催收行為設下了嚴格的界線，主要目的是保護債務人的隱私，並防止無辜的第三人受到騷擾。

• 催收對象限制： 催收行為僅能對持卡人本人及其保證人催收。
• 隱私保護： 依據《金融機構作業委託他人處理內部作業制度及程序辦法》第14條，受委託機構不得有暴力、恐嚇、辱罵、騷擾、虛偽、詐欺或造成債務人隱私受侵害之不當行為。
• 第三人干擾禁令： 嚴禁以任何方式透過對第三人之干擾或催討為之。

實務操作的灰色地帶

實務上，若僅是聯繫債務人當初借款時提供的「聯絡人」，且僅告知「請轉知債務人繳款」，並未主動洩漏債務細節，法院可能認定不構成不法侵害。但為求自保，催收機構應儘量避免提及債務內容，並嚴格限制聯繫範圍。

重要提醒： 使用明信片催收，或在信封上使用足使第三人知悉債務的文字或符號，均屬於造成隱私受侵害的不當行為，應絕對避免。

4. 民事責任與自保：面對「過失推定」

《個人資料保護法》第29條確立了非公務機關（包括催收機構）的過失推定責任。這對業者來說非常不利：

當債務人證明您的機構有違反PDPA規定，且致個資遭不法侵害（如洩漏）時，法律即推定您有過失，必須負損害賠償責任。此時，您必須舉證證明自己無故意或過失才能免責。

實務自保指南

1. 資訊安全防護： 這是免責的關鍵。您必須證明已依PDPA第27條採取適當之安全措施，防止個資被竊取、竄改、毀損或洩漏（例如：加密、存取權限控管、定期資安稽核）。
2. 電話錄音與保存： 電話催收時，須表明機構名稱並裝設錄音系統，且相關資料至少保存六個月以上，以供稽核或爭議時查證之用。這也是證明催收行為合法的關鍵證據。
3. 委外/債權讓與管理： 若您是受委託機構，請確保金融機構對您的查核及監督紀錄完善；若您是債權受讓人，請確保契約載明您將遵守PDPA。