旅行社的個人資料保護責任

　　隨著旅遊產業的服務數位化，從行程報名、線上訂房、電子票券到會員經營，旅行社每天都在大量蒐集、處理與利用旅客的個人資料。對旅行社而言，旅客的個人資料不只是成交所需的資訊，更是營運核心資產；但若是管理不當，這些旅客個人資料也可能成為最直接的法律風險來源。

　　旅行社業務高度仰賴旅客的個人資料流動，從行程報名表、出生年月日、身分證影本、護照影本、身分證字號、信用卡資料、健康資訊、緊急聯絡人資料等蒐集、利用與儲存，再到運用系統分析旅客的旅遊偏好，均涉及個人資料的蒐集、處理與利用。對旅行社而言，了解《個人資料保護法》，不只是為了避免違法裁罰，更是建立客戶信任與企業品牌的重要基礎。

一、旅行社為何特別容易踩到《個人資料保護法》紅線？

　　旅行社對於旅客個人資料的蒐集、處理與利用，與一般零售業不同的是具有在於其具有「高頻率蒐集、高密度流通、高風險外部共享」的產業特性。因此，旅行社處理旅客個人資料不只數量龐大，還具備以下特性：

1. 個人資料種類敏感
   旅行社常蒐集旅客姓名、電話、地址、身分證字號、護照號碼、出生年月日，甚至包含飲食禁忌、健康狀況、特殊醫療需求等資訊。
2. 個人資料流通對象複雜
   一筆旅遊交易，旅客個人資料可能同時流向航空公司、飯店、地接社、保險公司、導遊、領隊、遊覽車公司、票務平台等多方第三人。
3. 個人資料跨境或國際傳輸頻繁
   跨境或國際旅遊涉及大量個人資料向境外或國際傳輸，例如將旅客護照資料，提供給國外航空公司、海外飯店、當地旅行接待單位等。
4. 個人資料人工作業比例高
   旅行社常使用LINE、Email、Excel、紙本報名表處理旅客個人資料，若缺乏制度控管，極易產生旅客個人資料外洩風險。

二、旅行社蒐集旅客個人資料的限制

　　許多旅行社誤以為：「個人資料是客戶主動提供，所以當然可以任意使用。」這是實務上最常見的誤解。依《個人資料保護法》第19條規定，非公務機關對個人資料之蒐集，必須具有特定目的，並經當事人同意或有契約關係等，具正當合理關聯的法律關係。

　　旅行社雖可因旅遊契約需要蒐集旅客資料，但並不代表可以「無限制蒐集」。例如：報名國內一日遊，卻要求旅客提供身分證影本;單純索取旅遊資訊，卻要求填寫出生年月日;線上抽獎活動，卻要求填寫家人姓名等，這類「超出必要範圍的蒐集」，就可能違反《個人資料保護法》中對於蒐集個人資料範圍的必要性原則。

　　因此，旅行社必須先確認，蒐集這筆客戶資料，到底是不是完成該項服務所必要？不是「可能會用到」就可以蒐集，而是「為客戶提供該項服務有必要」才能蒐集。

三、旅行社最容易忽略的個人資料保護義務

　　旅行社實務中最常見的違規，不是沒有蒐集權限，而是未履行告知義務。依《個人資料保護法》第8條相關規定，旅行社在向旅客蒐集個人資料時，原則上應明確告知：1.蒐集機關（旅行社名稱）2.蒐集目的3.個人資料類別 4.利用期間、地區、對象及方式5.當事人得行使之權利6.不提供個人資料的影響，這就是旅行社常忽略的「個人資料蒐集的告知義務」。

　　實務上常見違規情況包括，旅行社官網報名表只有「送出」按鈕，沒有個人資料蒐集的告知聲明; 旅行社門市填寫紙本報名表，但未附個人資料蒐集告知條款 ;抽獎頁面蒐集客戶聯絡資訊，未說明後續是否作為行銷使用。

四、旅行社最易發生的個人資料洩漏風險

旅行社最大的個人資料洩漏風險，通常不是蒐集，而是後續資料流通失控。最常見的實務風險包括：

1. 用 LINE 傳護照、身分證資料

　　旅行社人員習慣請旅客「直接拍照傳 LINE」，再轉傳給票務或航空公司。這種做法雖然方便，卻極易造成傳錯群組、傳錯對象、員工離職後旅客個人資料仍留存私人手機等，這些都是旅行社最常見，也最危險的個人資料保護漏洞。

2. 用 Excel 建客戶名單卻未設權限

　　許多旅行社習慣用 Excel 管理旅客資料、團員名冊、會員名單，但若未設密碼、未分權限、未限制下載，等同將大量個人資料暴露於風險中。

3. 任意提供旅客名單給合作廠商

　　旅行社常將旅客名單交給導遊、領隊、餐廳、遊覽車公司、保險業務等合作對象，但若未先約定旅客個人資料使用範圍與保密責任，即可能構成違法利用或違法提供第三人。

五、旅行社個人資料跨境或國際傳輸的風險

　　旅行社辦理赴大陸或國際旅遊，幾乎無可避免涉及旅客個人資料跨境或國際傳輸。例如：提供護照資料給國外航空公司開票、提供旅客名單給海外飯店辦理入住、提供旅客個人資料給當地接待旅行社安排交通、提供旅客資料給境外保險或緊急救援單位，這些都屬於個人資料跨境或國際傳輸的利用行為。

　　旅行社應特別注意：1.是否已於告知事項中說明，個人資料可能跨境或國際傳輸之地區、對象及方式2.是否僅提供必要個人資料3.是否確認境外接收方，具有個人資料適當保護措施4.是否避免透過不安全通訊工具，傳輸敏感個人資料。旅行社不能因為「業界都這樣做」，就忽略旅客個人資料跨境或國際傳輸的風險。

六、旅行社的行銷名單使用問題

　　許多旅行社習慣將曾報名的旅客自動納入會員名單，因而長期發送促銷簡訊、LINE 訊息、EDM，但這類行為若未妥善處理，極易違反《個人資料保護法》。

　　旅行社常見誤區包括客戶報名一次後，就不斷收到促銷訊息;未提供客戶退訂銷售廣告的方式;明明客戶拒絕行銷，仍持續推播;均可能違反《個人資料保護法》相關規範。

　　依《個人資料保護法》第20條相關規定，旅行社利用旅客個人資料作為行銷使用時，應提供當事人表示拒絕之方式，且於當事人拒絕後不得繼續利用其個人資料行銷。旅行社保有的旅客名單不是「蒐集一次、永遠可用」，而是「應於目的內使用、旅客拒絕即停用」。

七、旅行社應建立的旅客個人資料管理制度

　　旅行社若要真正降低旅客個人資料洩漏風險，除應依規模遵循《觀光產業類非公務機關個人資料檔案安全維護管理辦法》（保有消費者個人資料達八千筆者須訂定安全維護計畫及業務終止後個人資料處理方法）外，也應建立以下內部管理制度：

1. 建立個人資料告知與同意機制

所有官網、報名表、LINE 報名流程，都應納入個人資料蒐集告知內容。

2. 建立個人資料分級管理制度

護照影本、身分證影本、信用卡資料、健康資料應採取更高的保護措施。

3. 建立第三方合作與委外個人資料管理制度

旅行社與航空公司、導遊、領隊、票務、地接社等合作對象，應簽訂保密條款與旅客個人資料使用約定。

4. 建立個人資料保存與刪除機制

旅遊行程結束後，非必要的旅客個人資料應定期刪除，不應無限期保留。

5. 建立個人資料外洩應變流程

發生旅客個人資料傳錯、外洩、遺失時，應立即止損、紀錄與補救；符合主管機關通報條件者，應於法定期限內通報。

　　對旅行社而言，旅客個人資料保護的本質不應僅止於法律合規，更是「信任管理」。具備完善的個人資料保護制度，其價值不只是規避裁罰或化解客訴，更是為了在競爭市場中，淬鍊出一個值得旅客託付、且願意多次回訪的標竿品牌。

個人資料保護研究發展委員會 主委 楊白全