主    旨：有關臺灣集中保管結算所股份有限公司為辦理洗錢防制名單比對作業，涉
          及個人資料保護法第 20 條規定適用疑義乙案，復如說明二至四。請查照
          參考。
說    明：一、復貴會 105  年 10 月 20 日金管證投字第 1050039155 號函。
          二、按個人資料保護法（下稱本法）第 2  條第 1  款及其施行細則第 2
              條規定，本法所稱個人資料，係指得以直接或間接識別現生存之自然
              人之資料，若該資料之歸屬者，非屬現生存之自然人（如公司法人、
              團體等），則無本法之適用，合先敘明。
          三、次按公務或非公務機關如係受公務機關委託辦理相關事務，而該委託
              辦理事務涉及個人資料之蒐集、處理或利用者，依個資法第 4  條規
              定，於個資法適用範圍內，受委託機關於該委託機關蒐集之特定目的
              ，以及受委託蒐集、處理或利用範圍內所為行為，均視同該委託機關
              之行為，而以委託機關為權責機關（本部 104  年 10 月 12 日法律
              字第 10403512650  號函參照）。本件金融機構如係利用臺灣集中保
              管結算所股份有限公司（下稱集保公司）洗錢防制查詢系統所建置之
              洗錢防制名單資料庫，而委請集保公司就提供之客戶資料進行比對，
              集保公司就此客戶個人資料之利用行為，於個資法適用範圍內，即視
              同金融機構之行為。
          四、復依本法第 20 條第 1  項規定，金融機構基於契約關係（代號 069
              ）所蒐集之客戶資料，原則上僅得於履行契約事務之必要範圍（例如
              存款、授信、匯兌、保險及投資管理等）內為利用；如具有法定事由
              之一者（例如第 2  款「為增進公共利益所必要」），得為特定目的
              外之利用。查洗錢防制法第 7  條第 1  項及第 8  條第 1  項規定
              ，金融機構對於達一定金額以上之通貨交易及疑似犯同法第 11 條之
              罪之交易，應確認客戶身分及留存交易憑證，並應向法務部調查局申
              報（105 年 12 月 28 日修正、106 年 6  月 28 日施行之洗錢防制
              法第 7  條及第 8  條擴大客戶審查義務及交易紀錄保存義務範圍及
              於所有交易）。而上開「客戶審查義務」之踐履方式，本質上須透過
              資訊協助建置，並透過定期更新資訊以達洗錢防制目的。又如由各金
              融機構各自建置查詢系統，不僅對於規模較小之金融機構造成沉重負
              擔，亦不符經濟效益。是本件金融機構利用集保公司統一建置之資訊
              系統，將保有之客戶資料與洗錢防制名單進行比對，乃在發揮洗錢防
              制名單資料庫之最大效應，俾得以落實洗錢防制之要求，應可認符合
              本法第 20 條第 1  項但書第 2  款「增進公共利益所必要」，而得
              為原契約目的必要範圍外之利用，集保公司於此受託範圍內之行為，
              自亦符合上開規定。惟金融機構就集保公司利用其客戶資料之行為，
              仍應為適當之監督，以確保委託處理個人資料之安全管理（本法施行
              細則第 8  條及立法理由參照）。
正    本：金融監督管理委員會
副    本：法務部資訊處（第 1  類）、法務部檢察司、法務部法律事務司（4 份）