金控法修法前,金控旗下子公司取得的客戶個資包含姓名、電話、身份證字號,出生年月日等,在獲客戶同意後,可作為金控旗下其他子公司行銷使用,但金控法修法後,金控子公司獲客戶同意後,作為共同行銷的個資只限「姓名」及「地址」。
金管會表示,除經客戶同意者外,金控子公司間共同行銷的個資不得含有客戶姓名或地址以外的其他資料。
金管會還限制,金控與客戶的往來契約,應訂定讓客戶選擇是否同意提供姓名或地址以外的其他資料作為行銷使用的欄位及簽名處,另為保留金融機構實務執行的彈性,該往來契約內應列名運用資料的子公司名稱部分,刪除「供客戶勾選」的規定,並增訂金控因其組織異動,而增減子公司時,應於金控及其子公司網站公告。
金管會強調,金控子公司接獲客戶通知停止使用其資料,原則應「立即停止」所有子公司交互使用其資料,惟如客戶明確表示僅停止部分子公司交互使用其資料時,得依客戶通知的意旨辦理。