捍衛個資 挺身說不

本期封面故事「捍衛個資 挺身說『不』」告訴大家，麻木不仁的姑息態度，只會讓個資外洩業者不能正視問題，無論是採取哪種行動，都不應該繼續沉默了！「個資外洩處理應變－美國經驗」提供了美國在個人信用資料外洩的處理步驟；「資料外洩事件探討－英國經驗」應對方案中有應變演練、完善鑑識和事後的保密教育訓練。而本期的管理視野「從資料外洩管道擬定防治對策」針對資料內容分析、分級，擬定出防護的對策。

　　個資外洩事件的發生往往伴隨著犯罪事件，因此當我們接獲到詐騙集團電話時，應先到防制詐騙的警政機關報案，而最快速的方式可能是撥打165電話，有時候甚至可以第一時間通知銀行止付或圈存，將被詐騙的金額給搶救回來。而隨著案情偵查逐漸明朗，確認詐騙集團個資來源之後，才能有證據針對業者要求個資外洩的賠償，這也是因為在新的個資法尚未通過之前，舉證責任依舊在消費者身上。　

個資外洩索賠成功唯一例　檢附證據為重點

　　近年來個資外洩事件時有所聞，其中以電視購物、網路購物為大宗。無論最新的個人資料保護法會不會通過，法務部都有權指定產業適用舊有電腦處理個人資料保護法，短期文理補習班已經在09年元旦正式納入該法，網購、電視購物業者等即將會是下個目標。

　　雖然新的個資法尚未通過，但仍然可以現行的民法第184條和消保法第7條來申請損害賠償，如07年曾發生在網路上購買影展套票卻發生個資外洩事件，最後消費者便以上述兩項法條申請賠償成功。不過，其實這是少之又少的案例，該批受害民眾共17名由於在該購票留言板上集結討論，而其中一名民眾曾郁智恰巧為律師，加上難得的證據充分（該網路購物業者寄給消費者的通知信內，包含了其他消費者的個資），因此才決定採取自行起訴的方式，曾郁智說，如果是針對企業將用戶的個資集體外洩的情況，很多時候，消費者根本無法掌握到證據，假設在可以掌握到證據的情況下，當然要先保存證據，並且立即通知該企業，可以使用存證信函或者是電子郵件等可以留下證據的方式，制止後續的外洩，避免損害的擴大。

　　台灣消費者保護協會也建議，因為個人資料外洩造成權益受損的民眾，應該檢具相關資料如：通聯記錄、電話錄音及受害事證等，才能以此向業者求償，而保留證據方式不拘，存檔、拍照...等，行政院消費者保護協會也說，證據多會圍繞在消費行為上，因此轉帳明細、警局報案單、帳單流水號等，平常在進行交易行為時就應該要留意這些單據的保存。

　　此外也可聯絡其他被外洩的用戶，團結力量大。並且可以反應到消基會、消保會尋求建議，他們有可能會向企業施壓，有利事情之解決。

民間團體扮演集結角色 力量仍薄弱

　　對消費者來說，在第一時間能想到的民間申訴管道就是中華民國消費文教基金會，也就是一般在媒體上常看見的「消基會」，由於長年來為民眾服務、發聲，也因此受到民眾的信賴。中華民國消費者文教基金會財務長黃怡騰說，消基會扮演了一個中介團體的角色，由於通報申訴案例較多，如同一個碟型天線般，能夠收到較多數量的資訊與案例，該基金會由於是財團法人，在民間團體中可算是財力或人數都較為充足的單位。另外相似的民間團體還有如，以服務南部區域民眾為主的台灣消費者保護協會，該協會之總會本部位於高雄市，並且屬於公益性質的社團法人。

　　這兩者性質相近，且服務成員多為退休律師、老師等義務職，當消費者與業者發生糾紛時都可以前往申訴，申訴方式包括書面寄送、網路申請、傳真、E-mail皆可，並且附上任何能夠陳述申訴事實以及證據之資料。

　　只是，儘管是在民間團體當中具有較充足資金、人力的消基會，依然面臨到資源不足的問題，黃怡騰說，消基會多為義務律師，屬於公益性質，比較沒有辦法照顧到所有的案例，當然也不可能有專門的人力、單位來協助個資外洩事件的專案。在本文前述之購買影展套票個資外洩事件當中，受害者之一網友老K，就曾在網路留言板上表明，前往消基會詢問集體訴訟的問題，詢問結果是「消基會認為此案極具公益性質，但消基會目前人力不足，只幫忙打有人身傷害的案子。」

　　另外，還有官方單位的行政院消費者保護委員會，與民間團體的差別就在於「公權力」。消基會、台灣消保會在接獲申訴時，多會連絡業者與消費者協商，通常都會獲得滿意的結果，若業者置之不理，才會透過媒體施加壓力。行政院消費者保護委員會法制組組長邱惠美說，民間團體多會透過媒體發聲，但行政院消保會則可以同時聯絡業者及其主管機關來進行協商。她說，其實在過去發生的幾起個資外洩事件，若消費者有前往申訴，在行政院消保會的協商下，業者都願意賠償，但前提是不能再繼續對業者提告或申訴。

協商之外 另一種選擇

　　不過，若協商結果不滿意或無法達到消費者需求，亦可找律師提起訴訟，曾郁智說，目前國內少見專門處理此類案件的律師，所以委任一般的律師應該都可以處理。若是團體訴訟可以選定其中一人或數人代表訴訟，也可以共同訴訟，共同委任律師分擔費用。如果資力符合法律扶助的標準，可以尋求財團法人法律扶助基金會的法律扶助，免付律師費、訴訟費用。否則一般提起任何民事訴訟，原則上都要到法院繳付裁判費用，而費用多寡則依起訴金額而定。曾郁智呼籲：「希望民眾在發現個資外洩而且可以掌握證據的情況下，不要因為畏懼訴訟程序的麻煩、費用而自認倒楣、放棄爭取應有的權益，而予相關業者心存僥倖，從而輕忽資訊安全的維護，讓更多的無辜民眾受害。」

　　社團法人台灣個人資料保護協會邱華明說，一般的個資外洩事件，消費者協商結果都是令人不滿意的，他跟一些負責這類案例的律師談過，多半是沒有結果的。他說，台灣個人資料保護協會主要是屬於法律性質的服務，提供法律諮詢以及訴訟服務，不過在新的個資法草案當中提及「符合一定要件之財團法人或公益社團法人，得代替當事人提起團體訴訟，以節省勞費並保護民眾權益。」所謂的一定要件，指的是財團法人登記財產總額需達新台幣1,000萬元，社團法人社員達500人；保護個人資料事項為章程所定目的；許可設立3年以上。08年8月底甫才成立的台灣個人資料保護協會，顯然還沒有達到此一標準，因此他們也正在朝向這個目標努力，不僅增加社員人數，也逐年累積個人資料保護經驗。儘管無法提供提起團體訴訟的服務，但他們仍可協助介紹個資保護相關的律師，邱華明認為，通常個人在個資保護的認知不足，發生個資外洩時並不知道該怎麼處理，也很少會想要進行提告，他們認為受害民眾應該要站出來集結、呼籲，讓社會大眾及業者都重視個資保護的議題。

　　團體訴訟的目的，通常可能是同一個單位洩漏了資料，並且發生原因相同，為了避免法律資源的浪費，因而委託財團、社團法人公益團體來提起訴訟。台北律師公會資訊及著作權法委員會律師蔡瑞森認為，團體訴訟並不容易，由於個人需求不同，打官司可能曠日費時，並且根據新的個資法來看，需集結20個被害人，要達到此門檻並不容易。黃怡騰也說，以目前消基會的經驗來看，團體訴訟1年大約只會有2、3次，有時候受害者可能遍及外地，並且礙於文件及程序繁多，多半會造成時程延宕，拖個5～8年的例子所在多有。他認為，訴訟是最後一個手段，並不是解決問題的最好方法。

蒐集資料新觀念

　　在新的個資法通過之後，有了一定的法源依據，便能夠進一步考慮有更多更加完整的制度，來促使個資保護環境更加完善。行政院消保會裡也請各主管機關訂立定型化契約範本，例如說就會請金管會規定銀行一定要獨立放置交叉行銷的條款，請消費者另外勾選，不用都概括同意。邱惠美說，「不需要的資料就不用獲得。」

　　蔡瑞森也認為，將來新的個資法對產業會有更多的束縛，因此業者在蒐集資料時關於如何使用資料，內部也最好要有相關的規劃，並且要加強宣導，一定要取得當事人的同意才能使用資料。

　　台灣人權促進會文宣部主任邱伊翎就提到，為什麼會有這麼多個資被蒐集到國家或企業的手上？蒐集哪些資料？而哪些又是不必要被蒐集的？她舉例，例如去KTV唱歌，為什麼要蒐集身分證字號、電話號碼？如果是不必要的為什麼可以收集？蒐集個資的理由是否正當？按照怎樣的比例原則？如果有事前的審查機制，才不會引起很大的反彈。

結論

　　若不論詐騙犯罪情事，只針對業者的個資外洩責任追究，我們都是可以透過上述的民間團體來申訴求償，而根據各民間團體經驗，只要消費者不再張揚，業者多半願意賠償，而若是協商結果不滿意，且掌握充足證據，亦可選擇走上訴訟之途，然而法律並非鼓勵團體訴訟，而是希望可以透過逞罰，讓業者有深切的痛，加速改善資安。本文提供了各單位人士的意見以及各申訴、報案管道，只是目前看來，由於新法未過，民間力量依然稍嫌薄弱，也未有具體的配套措施出現，只能透過對民眾、業者的宣導與教育逐步改善。更因如此，民眾更應提高警覺性，當給予個人資料的時候要更加謹慎，簽寫任何文件或進行消費行為時都要有備份，遇到詐騙案件時更要冷靜留下證據，如此一來才能天助自助，不管是透過協商取得賠償或是最中進行到訴訟階段，都不至於於法無據。

　　本期封面故事，從個人、企業的角度，從台灣、美國、英國的經驗來談面對個資外洩的處理應變方式，了解到大眾可以透過哪些管道或團體來求助，而不管選擇的方式是什麼，最重要的就是要挺身而出，積沙成塔，不讓業者再有藉口推托其企業的資安責任。在台灣，常有業者接到申訴的時候反應是，你又沒有損失為什麼我要賠償你？這是完全不把個人資料當成有價資訊的思考，要知道，個人資料本來就不應該被非法的擁有，我們不可能頻於更換我們的身分證字號、住址、電話等，一旦洩漏出去就往往影響久遠，也不應該抱持著姑息、怕麻煩的想法，正因為證據難以取得，所以你的一點線索、我的一點證據，才能慢慢累積拼湊出事件的原貌，有時候正是因為個人的鄉愿卻反而危害到他人的權益，捍衛個資，讓我們挺身站出來！