https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

垃圾郵件擾人 各國立法防禦

2003 / 12 / 29
垃圾郵件擾人  各國立法防禦

文 / 林宜隆


美國自一九九五年起,有關垃圾郵件之寄信與拒絕收信,以及言論自由、侵犯隱私權相關爭議不斷,美國數家大型的ISP業者,如CompuServe(CSRV)、American Online(AOL)以及EarthLink(LANK),為保障使用連線服務客戶的權益,分別控告Cyber Promotion,要求法規頒發禁制令,禁止Cyber Promotion繼續以件電子廣告信騷擾他們的各戶。(註1)除了透過訴訟途徑解決外,許多州嘗試透過立法途徑解決問題。以下就美國之立法概況,歐盟相關指令與英國資料保護法說明之。

外國立法狀況
美國國會立法狀況

至今美國國會尚未有針對垃圾電子郵件的法令,但是相關的草案在近幾年則陸續被提出。其中以2001年1月3日的Unsolicited Commercial Electronic Mail Act of 2001(HR 95)以及2001年4月26日的CAN SPAM Act of 2001(S 630)兩個議案最為重要。議案中較為重要的有以下幾點:1.必須有一個真實的回覆郵件位址,以便讓收信者要求其不要再寄發類似的郵件。2.由聯邦貿易委員會(the Federal Trade Commission)以及州總檢察長(state Attorney Generals)負責管理。3.對於違反者,ISP可向其求償每則10元美金。因此,藉由法令的公佈,企圖減少垃圾電子郵件的氾濫問題。


美國各州制訂相關反垃圾郵件法

有鑑於垃圾電子郵件產生的問題,美國各州紛紛制訂相關的法令:內華達州Nevada(1997) 、加利福尼亞州California(1998.9)、康乃狄克州Connecticut(1999.6)、德拉瓦Delaware(1999.7)、伊利諾州Illinois(1999.7)、華盛頓州Washington(1999.5)等(註2),其重點如下:1.對垃圾電子郵件的定義不同:即有些規範UCE或UBE(註3),或二者皆規範。2.皆必須設置opt-out機制。3.針對具有限制級圖片或內容的郵件,必須於標題顯示ADV或是ADV:ADULT等字樣。4.處罰對象:發信人不論是本州或外州,只要明知收信人是特定某一州的居民已足,或是透過當地的ISP傳送皆在處罰的範圍。這項立法的好處在於寄信人必須先知曉收信人究竟屬於哪一州的居民,是否會因此觸犯到某個州令的規定。5.禁止偽造的郵件遞送資訊(routing information), 例如刊登「如果您想取消訂閱的話,請回覆到以下位址」等等。


內華達州規定廣告業者寄發電子郵件時,必須表明寄件人的姓名、地址、電子郵件位址。西維吉尼亞州更規定每一封郵件必須記載寄件人的姓名、電子郵件位址、時間及日期。華盛頓州電子廣告信法案(Washington House Bill 2752),則賦予個人可以向濫發廣告信的人求償每則廣告信美金500元,向ISP可以求償每則1000美元,不論發廣告信的人是不是在華盛頓州內都一樣有效。此外,賦予ISP在有合理懷疑信件屬於違法電子廣告信時,有權加以攔截。如此對於詐欺性質的信件有程度上排除的效用。


但是這項法案逐漸受到批評,批評者認為此有違憲法中的交易條款,進一步阻礙州與州之間的貿易以及交易條款的爭議。


歐洲聯盟指令

歐盟在2000年建立一套opt-out的機制,即「在消費者明確表示不要寄發時,廣告業者便不得寄發廣告信」。一旦消費者選擇登入opt-out,則不論是哪裡的廣告業者就不能寄發廣告信給此消費者。至今已有10個國家採取opt-out 的機制。


但是在2001年9月18日所公佈的「祕密電子資料與電訊」草案計劃中(confidentiality of electronic data and communication),引進了新的opt-in機制,即「只有在消費者明確要求要寄發時,廣告業者始得寄發廣告信」。澳洲、義大利、丹麥、芬蘭、德國相繼的引進這項新的機制。這項措施面對具有攻擊性或是色情的電子郵件防堵上,較能發揮其成效。但是這樣的草案被批評並無法有效解決垃圾郵件的問題:1.由於網路無遠弗界,其具有全球化的性質,此法縱使能夠順利公佈,卻只能適用於歐洲聯盟的各會員國,那些濫發垃圾郵件的人仍可由其他沒有相關禁令的國家做為散發的起點。2.網路的匿名性高,若要求得到消費者的同意其實有實際上的困難。3.是否涉及言論自由也是爭論的焦點。


英國資料保護法

英國1998年提出的「資料保護法」(Data Protection Act),在2000年的3月正式成為法律,除了適用於英國與英國境外濫發信件到英國的公司以外,往後在沒有得到郵件使用人的同意下,公司企業或私自購買消費者的電子郵件信箱位址,並濫發電子郵件(spam),都將一律視為非法的行為。這項法律使得「個人資料」的項目中,多了一個新分類:個人電子郵件信箱位址,依法必須受到保障。一旦資料保護委員會對濫發郵件的公司提出告訴的話,這家公司將會被罰款,金額多少則「沒有限制」。除了處罰之外,委員會也將要求這些寄發「不請自來」(unsolicited)的郵件上,必須附有「拒絕權」(opt-out)或是「同意書」(consent lists)的點選項目,表示不願再收到相關類似的郵件,這項辦法日後也將強制執行。


我國垃圾電子郵件管理相關法律規範
若要主張受到垃圾郵件的不法侵害,首先面臨的問題是在現行法下有哪些法律可以適用?是否現行法已可充足的保護,抑或需另立新法以圖救濟?


電腦處理個人資料保護法(以下簡稱個資法)之適用

依據個資法第三條第一項之規定,其所保護的個人資料係指:「自然人之姓名、出生年月日、身份證統一編號、特徵、指紋、婚姻、家庭、教育、職業、健康、病例、財務狀況、社會活動及其他足資識別該個人之資料。」電子郵件地址(E-mail address)單獨存在是否可構成個資法所稱之「足資識別個人身分」之保護客體仍有爭議,筆者認為E-mail address並無法明確表徵個人的身份證字號、姓名等私人資料,因此E-mail address變成了個資法規範下的漏網之魚;有者則認為E-mail address通常的格式包括有兩個部分:@之前半段為個人所使用的名稱,@之後半段為郵遞主機的名稱,在同一個郵遞主機中並不會產生相同的個人名稱,因此電子郵件地址可以認為是「足資識別個人之資料」,亦屬於個人資料類別中識別類的COO一項「辨識個人者」,而受個資法的保護。


根據個資法第六條規定「個人資料之蒐集或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍。」簡言之,使用個人資料必須符合「目的明確化原則」,並且網路服務提供者原則上必須在其蒐集之特定目的必要範圍內(例如為處理與提供網路服務相關之事宜),才能利用(透露)所蒐集的客戶個人資料。


此外,個資法第十八條(註3)規定僅有特定情形下始可對個人資料蒐集或電腦處理之。在個資法第23條(註4)也規定在特定情形下始可在特定目的之外利用個人資料。因此,蒐集電子郵件位址來散發垃圾郵件,顯與第23條一至四項的事由無關,若要符合個資法之規定,則勢必要獲得當事人的書面同意始可為之。但從業者的角度而言,目前業者手上所擁有的大批資料,要全部獲得當事人的書面同意,有實際的困難。民國90年11月14日所通過的電子簽章法(註5),透過立法方式賦予電子文件的數位簽章等同於法定簽章的效力,因此業者若能取得使用者的「同意」(不再限於書面),則較有個資法23條適用之可能。


又個資法規範的主體限於八大行業(註6),若採取嚴格的解釋方式,則將有許多業者或個人便不在個資法規範對象之內,例如進入各個聊天室,大量蒐集、利用聊天室裡公佈之上線者的信箱帳號者,或利用搜括軟體在電子佈告欄(BBS)中大量搜括使用者之信箱位址者,多不屬於「以此為主要業務者」之個人、團體或電子商家。因此,個資法無法完全有效地解決垃圾郵件的問題。


刑法第352條第二項、刑法第三百六十條之適用

刑法第352條第二項規定:「凡干擾他人電磁紀錄之處理,足以生損害於公眾或他人者,處三年以下有期徒刑、拘役或一萬元以下罰金。」條文之立法意旨在規範電腦病毒或侵入他人系統等情形,能否援用來規範垃圾郵件之問題,則需先探討是否符合以下兩個要件:


(1)客觀要件:需該垃圾郵件以干擾他人電磁記錄,如嚴重至網路服務提供者的系統當機或使用者電子信箱無法承受負荷方可適用。若單純僅郵件較多而不堪其擾的情形,並未達成對他人電磁記錄的干擾,則無法適用該條文。


(2)主觀要件:需發信者有干擾他人電磁紀錄之故意,例如有意使網路服務提供者的系統當機之故意,或存心灌爆使用者的信箱均屬之。


今年年中通過的刑法第三百六十條「防範電腦犯罪專章」中規定:無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備,致生損害於公眾或他人者,處三年以下有期徒刑、拘役或科或併科十萬元以下罰金。但若電子廣告郵件之發信者的目的為廣告發送,除非能證明其有破壞ISP系統、灌爆他人信箱之故意,並致生損害於公眾或他人者,才能構成本條之罪。若單純僅郵件過多不勝其擾,無法構成本條之罪責。


其實就垃圾郵件而言,其發信的目的大多數是為了廣告,廣告發信者通常並不知道使用者與網路服務提供者的設備與狀況,無法判斷收到廣告信後的使用者或是網路服務提供者是否受到干擾,因此欲證明發信者有干擾他人電磁紀錄之意圖是困難的。在客觀要件方面,若僅僅是設備消耗、下載時間過長等困擾,而並未使其信箱無法正常運作的話,本條即無適用之可能。


值得注意的是,本罪屬於公共危險罪章,必須「足以生損害於公眾或他人者」始該當本罪。而在實務上由於認定「足以生損害於公眾或他人者」採謹慎態度,縱使符合主觀與客觀要件,若無強大理由證明「足以生損害於公眾或他人者」,仍阻卻其成立。由此可知該條文無法完全解決現行網際網路上垃圾郵件氾濫之情形。


民法184條之適用

民法184條規定:因故意或過失,不法侵害他人權利者,負損害賠償責任。若要主張侵權行為,同樣必須符合侵權行為之要件:


(1)主觀要件:寄發廣告信之行為人,寄發信件時有意使其造成主機暫停服務或是信箱無法使用,則成立故意之要件。發信人亦有可能構成過失,即未知曉主機或信箱之容量大小,卻同樣造成當機的情形。


(2)客觀要件:「權利」,包括了財產權(物權、債權、其他無體財產權)及非財產權(人格權、身份權)。關於人格權的部分:在88年債篇修正時已在195條新增隱私權為特別人格權的一種 ,而受到民法第18條第一項的保護:「人格權受侵害時,得請求法院除去其侵害;有侵害之虞時,得請求防止之」。第二項又規定:「前項情形,以法律有特別規定者為限,得請求損害賠償或慰撫金」。垃圾電子郵件所引發的人格權受侵害的問題,在使用者方面,不外乎是接收郵件所浪費的時間與金錢,亦即非財產與財產上的損失。而在郵件主機方面,除了時間與金錢外,更包括了名譽權的損害。在舉證方面,金錢的損失可由電信費用可知,但就下載時間的損失,實務上的見解雖將其視為非財產的損害,但現行並無就下載時間之損失訂有賠償的規定,如何舉證損害則成了相當困難的問題。


又當有侵權行為發生的時候,原則上應該由侵權行為人承擔責任,但是網路具有高度隱匿性,想要追查發信者的所在地本身就具有困難度,更何況使用open relay 轉寄郵件功能的發信者更是難以追查。因此似乎濫寄電子郵件的行為雖可以藉由侵權行為加以主張,但是在賠償的對象及範圍上卻難以知悉。(本文作者現職為中央警察大學資訊管理學系、研究所教授)


...................................................................



註1:在CompuServe的案例中,俄亥俄州的法官James Graham看法認為,這種亂寄廣告信的行為並不在憲法言論自由的保障範圍內,因此法官對於本案被告頒發永久禁制令,禁止Cyber Promotion寄電子廣告信給CompuServe的用戶,除非該用戶自願收受廣告信。


在AOL 案中的判決與上述判決大同小異,原則上法官頒布永久禁制令遏阻Cyber Promotion的發信行為,但附帶條件是AOL的連線用戶有權決定是否關閉AOL所提供的過濾裝置以接收電子廣告信。


註2:內華達州Nevada(1997) 、加利福尼亞州California(1998.9)、康乃狄克州Connecticut(1999.6)、德拉瓦Delaware(1999.7)、伊利諾州Illinois(1999.7)、愛荷華Iowa(1999.5)、路易斯安那州Louisiana(1999.7)、北卡羅來納州North Carolina(1999.6)、奧克拉荷馬州Oklahoma(1999.6)、羅德島州Rhode Island(1999.7)、田納西Tennessee(1999.6)、維吉尼亞Virginia(1999.3)、華盛頓州Washington(1999.5)、西維吉尼亞West Virginia(1999.3)等


註3:UCE( unsolicited commercial email)指未經收信人許可的商業郵件,類似於今日的某些直銷刊物,同樣都是未經收件者的同意而寄發郵件,而所不同的是在前者較難查出此郵件是否為未經請求的郵件。另一種說法為UBE(unsolicited bulk email),未經收信人許可的大量郵件,強調的是數量,而非郵件的內容(即不僅僅限於商業廣告,其他諸如宗教性、政治性、問卷形式、種族議題、色情等等皆包括在內)。


註4:個資法第18條

一、經當事人書面同意者。

二、與當事人有契約或類似契約之關係而對當事人權益無侵害之虞者。

三、以公開之資料且無害於當事人之重大利益者。

四、為學術研究而有必要且無害於當事人之重大利益者。

五、依本法第三條第七款第二目有關之法規及其他法律有特別規定者。



註5:個資法第23條:

一、為增進公共利益。

二、未免除當事人之生命、身體、自由或財產上之急迫危險者。

三、為防止他人權益之重大危害而有必要者。

四、當事人書面同意者。



註6:電子簽章法第4條:經相對人同意者,得以電子文件為表示方式。


註7:八大行業係指醫院、學校、電信業、金融業、證券業、保險業、大眾傳播業、徵信業以及蒐集或電腦處理個人資料為主要業務之團體或個人等(個資法第3條第一項第七款)。