觀點

捍衛個資 挺身說不

2009 / 07 / 22
吳依恂
捍衛個資 挺身說不
本期封面故事「捍衛個資 挺身說『不』」告訴大家,麻木不仁的姑息態度,只會讓個資外洩業者不能正視問題,無論是採取哪種行動,都不應該繼續沉默了!「個資外洩處理應變-美國經驗」提供了美國在個人信用資料外洩的處理步驟;「資料外洩事件探討-英國經驗」應對方案中有應變演練、完善鑑識和事後的保密教育訓練。而本期的管理視野「從資料外洩管道擬定防治對策」針對資料內容分析、分級,擬定出防護的對策。

  個資外洩事件的發生往往伴隨著犯罪事件,因此當我們接獲到詐騙集團電話時,應先到防制詐騙的警政機關報案,而最快速的方式可能是撥打165電話,有時候甚至可以第一時間通知銀行止付或圈存,將被詐騙的金額給搶救回來。而隨著案情偵查逐漸明朗,確認詐騙集團個資來源之後,才能有證據針對業者要求個資外洩的賠償,這也是因為在新的個資法尚未通過之前,舉證責任依舊在消費者身上。 

個資外洩索賠成功唯一例 檢附證據為重點

  近年來個資外洩事件時有所聞,其中以電視購物、網路購物為大宗。無論最新的個人資料保護法會不會通過,法務部都有權指定產業適用舊有電腦處理個人資料保護法,短期文理補習班已經在09年元旦正式納入該法,網購、電視購物業者等即將會是下個目標。

  雖然新的個資法尚未通過,但仍然可以現行的民法第184條和消保法第7條來申請損害賠償,如07年曾發生在網路上購買影展套票卻發生個資外洩事件,最後消費者便以上述兩項法條申請賠償成功。不過,其實這是少之又少的案例,該批受害民眾共17名由於在該購票留言板上集結討論,而其中一名民眾曾郁智恰巧為律師,加上難得的證據充分(該網路購物業者寄給消費者的通知信內,包含了其他消費者的個資),因此才決定採取自行起訴的方式,曾郁智說,如果是針對企業將用戶的個資集體外洩的情況,很多時候,消費者根本無法掌握到證據,假設在可以掌握到證據的情況下,當然要先保存證據,並且立即通知該企業,可以使用存證信函或者是電子郵件等可以留下證據的方式,制止後續的外洩,避免損害的擴大。

  台灣消費者保護協會也建議,因為個人資料外洩造成權益受損的民眾,應該檢具相關資料如:通聯記錄、電話錄音及受害事證等,才能以此向業者求償,而保留證據方式不拘,存檔、拍照...等,行政院消費者保護協會也說,證據多會圍繞在消費行為上,因此轉帳明細、警局報案單、帳單流水號等,平常在進行交易行為時就應該要留意這些單據的保存。

  此外也可聯絡其他被外洩的用戶,團結力量大。並且可以反應到消基會、消保會尋求建議,他們有可能會向企業施壓,有利事情之解決。

民間團體扮演集結角色 力量仍薄弱

  對消費者來說,在第一時間能想到的民間申訴管道就是中華民國消費文教基金會,也就是一般在媒體上常看見的「消基會」,由於長年來為民眾服務、發聲,也因此受到民眾的信賴。中華民國消費者文教基金會財務長黃怡騰說,消基會扮演了一個中介團體的角色,由於通報申訴案例較多,如同一個碟型天線般,能夠收到較多數量的資訊與案例,該基金會由於是財團法人,在民間團體中可算是財力或人數都較為充足的單位。另外相似的民間團體還有如,以服務南部區域民眾為主的台灣消費者保護協會,該協會之總會本部位於高雄市,並且屬於公益性質的社團法人。

  這兩者性質相近,且服務成員多為退休律師、老師等義務職,當消費者與業者發生糾紛時都可以前往申訴,申訴方式包括書面寄送、網路申請、傳真、E-mail皆可,並且附上任何能夠陳述申訴事實以及證據之資料。

  只是,儘管是在民間團體當中具有較充足資金、人力的消基會,依然面臨到資源不足的問題,黃怡騰說,消基會多為義務律師,屬於公益性質,比較沒有辦法照顧到所有的案例,當然也不可能有專門的人力、單位來協助個資外洩事件的專案。在本文前述之購買影展套票個資外洩事件當中,受害者之一網友老K,就曾在網路留言板上表明,前往消基會詢問集體訴訟的問題,詢問結果是「消基會認為此案極具公益性質,但消基會目前人力不足,只幫忙打有人身傷害的案子。」

  另外,還有官方單位的行政院消費者保護委員會,與民間團體的差別就在於「公權力」。消基會、台灣消保會在接獲申訴時,多會連絡業者與消費者協商,通常都會獲得滿意的結果,若業者置之不理,才會透過媒體施加壓力。行政院消費者保護委員會法制組組長邱惠美說,民間團體多會透過媒體發聲,但行政院消保會則可以同時聯絡業者及其主管機關來進行協商。她說,其實在過去發生的幾起個資外洩事件,若消費者有前往申訴,在行政院消保會的協商下,業者都願意賠償,但前提是不能再繼續對業者提告或申訴。

協商之外 另一種選擇

  不過,若協商結果不滿意或無法達到消費者需求,亦可找律師提起訴訟,曾郁智說,目前國內少見專門處理此類案件的律師,所以委任一般的律師應該都可以處理。若是團體訴訟可以選定其中一人或數人代表訴訟,也可以共同訴訟,共同委任律師分擔費用。如果資力符合法律扶助的標準,可以尋求財團法人法律扶助基金會的法律扶助,免付律師費、訴訟費用。否則一般提起任何民事訴訟,原則上都要到法院繳付裁判費用,而費用多寡則依起訴金額而定。曾郁智呼籲:「希望民眾在發現個資外洩而且可以掌握證據的情況下,不要因為畏懼訴訟程序的麻煩、費用而自認倒楣、放棄爭取應有的權益,而予相關業者心存僥倖,從而輕忽資訊安全的維護,讓更多的無辜民眾受害。」

  社團法人台灣個人資料保護協會邱華明說,一般的個資外洩事件,消費者協商結果都是令人不滿意的,他跟一些負責這類案例的律師談過,多半是沒有結果的。他說,台灣個人資料保護協會主要是屬於法律性質的服務,提供法律諮詢以及訴訟服務,不過在新的個資法草案當中提及「符合一定要件之財團法人或公益社團法人,得代替當事人提起團體訴訟,以節省勞費並保護民眾權益。」所謂的一定要件,指的是財團法人登記財產總額需達新台幣1,000萬元,社團法人社員達500人;保護個人資料事項為章程所定目的;許可設立3年以上。08年8月底甫才成立的台灣個人資料保護協會,顯然還沒有達到此一標準,因此他們也正在朝向這個目標努力,不僅增加社員人數,也逐年累積個人資料保護經驗。儘管無法提供提起團體訴訟的服務,但他們仍可協助介紹個資保護相關的律師,邱華明認為,通常個人在個資保護的認知不足,發生個資外洩時並不知道該怎麼處理,也很少會想要進行提告,他們認為受害民眾應該要站出來集結、呼籲,讓社會大眾及業者都重視個資保護的議題。

  團體訴訟的目的,通常可能是同一個單位洩漏了資料,並且發生原因相同,為了避免法律資源的浪費,因而委託財團、社團法人公益團體來提起訴訟。台北律師公會資訊及著作權法委員會律師蔡瑞森認為,團體訴訟並不容易,由於個人需求不同,打官司可能曠日費時,並且根據新的個資法來看,需集結20個被害人,要達到此門檻並不容易。黃怡騰也說,以目前消基會的經驗來看,團體訴訟1年大約只會有2、3次,有時候受害者可能遍及外地,並且礙於文件及程序繁多,多半會造成時程延宕,拖個5~8年的例子所在多有。他認為,訴訟是最後一個手段,並不是解決問題的最好方法。

蒐集資料新觀念

  在新的個資法通過之後,有了一定的法源依據,便能夠進一步考慮有更多更加完整的制度,來促使個資保護環境更加完善。行政院消保會裡也請各主管機關訂立定型化契約範本,例如說就會請金管會規定銀行一定要獨立放置交叉行銷的條款,請消費者另外勾選,不用都概括同意。邱惠美說,「不需要的資料就不用獲得。」

  蔡瑞森也認為,將來新的個資法對產業會有更多的束縛,因此業者在蒐集資料時關於如何使用資料,內部也最好要有相關的規劃,並且要加強宣導,一定要取得當事人的同意才能使用資料。

  台灣人權促進會文宣部主任邱伊翎就提到,為什麼會有這麼多個資被蒐集到國家或企業的手上?蒐集哪些資料?而哪些又是不必要被蒐集的?她舉例,例如去KTV唱歌,為什麼要蒐集身分證字號、電話號碼?如果是不必要的為什麼可以收集?蒐集個資的理由是否正當?按照怎樣的比例原則?如果有事前的審查機制,才不會引起很大的反彈。

結論

  若不論詐騙犯罪情事,只針對業者的個資外洩責任追究,我們都是可以透過上述的民間團體來申訴求償,而根據各民間團體經驗,只要消費者不再張揚,業者多半願意賠償,而若是協商結果不滿意,且掌握充足證據,亦可選擇走上訴訟之途,然而法律並非鼓勵團體訴訟,而是希望可以透過逞罰,讓業者有深切的痛,加速改善資安。本文提供了各單位人士的意見以及各申訴、報案管道,只是目前看來,由於新法未過,民間力量依然稍嫌薄弱,也未有具體的配套措施出現,只能透過對民眾、業者的宣導與教育逐步改善。更因如此,民眾更應提高警覺性,當給予個人資料的時候要更加謹慎,簽寫任何文件或進行消費行為時都要有備份,遇到詐騙案件時更要冷靜留下證據,如此一來才能天助自助,不管是透過協商取得賠償或是最中進行到訴訟階段,都不至於於法無據。

  本期封面故事,從個人、企業的角度,從台灣、美國、英國的經驗來談面對個資外洩的處理應變方式,了解到大眾可以透過哪些管道或團體來求助,而不管選擇的方式是什麼,最重要的就是要挺身而出,積沙成塔,不讓業者再有藉口推托其企業的資安責任。在台灣,常有業者接到申訴的時候反應是,你又沒有損失為什麼我要賠償你?這是完全不把個人資料當成有價資訊的思考,要知道,個人資料本來就不應該被非法的擁有,我們不可能頻於更換我們的身分證字號、住址、電話等,一旦洩漏出去就往往影響久遠,也不應該抱持著姑息、怕麻煩的想法,正因為證據難以取得,所以你的一點線索、我的一點證據,才能慢慢累積拼湊出事件的原貌,有時候正是因為個人的鄉愿卻反而危害到他人的權益,捍衛個資,讓我們挺身站出來!