風險概述

凌庭公司是一家第三方支付服務業者，同時經營一個拍賣平台，讓民眾能夠透過該平台進行交易。凌庭公司的買賣家眾多，老闆因為保存太多客戶身分資料擔心個資外洩，要求員工重視《個人資料保護法》，然而一個錯誤決策，讓整個公司陷入法律與刑責風險之中。

案例分析

凌庭公司買賣方客戶眾多，所以他們認為，若因個資法遭罰，罰款可能會相當高昂，因此只要會員依《個人資料保護法》第3條來要求刪除個資，便立刻依法執行，以確保不會違反個資法。

然而，沒過多久，檢方收到線報有某賣家帳號利用凌庭平臺假買賣進行洗錢。但當檢方前往調查時，卻發現因為賣家已經向凌庭公司申請刪除個資，所以身分資料早已被刪除，根本無從追蹤不法行為，還要去調查其他資訊才能繼續辦案！讓偵查案件變得異常困難。

凌庭公司這時才驚覺事態嚴重，但一切都已來不及。檢方追查發現，許多洗錢集團正是利用凌庭公司 「應賣家要求刪除個資」 的漏洞，在平臺上肆無忌憚地進行不法洗錢，而平臺卻無法提供任何有用的資訊。

後果來了！

凌庭公司違反了《提供第三方支付服務之事業或人員防制洗錢及打擊資恐辦法》第13條及《洗錢防制法》第8條規定，未依規定自業務關係終止時保存確認客戶身分程序所得資料至少五年。

最終，

• 凌庭公司面臨可能最高五百萬元罰鍰，因為未遵守洗錢防制相關規定。
• 高層管理人員被調查。
• 企業聲譽重挫，消費者對平臺安全性產生質疑，轉而使用其他平臺。

防範方式

1. 客戶資料要依法保存，不可因個資法刪除：
   • 根據《提供第三方支付服務之事業或人員防制洗錢及打擊資恐辦法》第13條及《洗錢防制法》第8條，即使客戶終止業務關係，確認客戶身分的資料應保留至少五年，不能因為賣家客戶來主張個資法就刪除。
   • 這些資料包括：護照、身分證、駕照、銀行帳戶、支付紀錄等。
   • 個資法雖然有規定公司要依當事人之請求，刪除、停止處理或利用該個人資料。但因執行職務或業務所必須者不在此限，所以凌庭公司經營第三方支付服務業要遵守《提供第三方支付服務之事業或人員防制洗錢及打擊資恐辦法》跟《洗錢防制法》，可以不依賣方客戶要求刪除個人資料！
2. 配合主管機關調查：
   • 當數位發展部、國稅局或檢警調等機關要求調閱交易資料時，應迅速提供。
   • 確保有完整的客戶識別與交易歷程，避免因資料不足而遭受罰鍰或法律責任。

凌庭公司的慘痛教訓告訴我們：在未充分理解法規之情況下貿然刪除客戶資料，不僅無法真正保障隱私，反而可能讓公司面臨巨額罰款與法律責任！