觀點

電子商務賣家一定要懂的個資法

2011 / 05 / 09
謝持恆
電子商務賣家一定要懂的個資法


隨著網路科技的蓬勃發展,電子商務將逐漸取代傳統的商業活動,資策會產業情報研究所(MIC)調查報告便指出,由於「傳統企業佈局電子商務、多元化擴張電子商務、跨國網購商機」等原因,2010年台灣線上購物市場年成長率為21.5%,2011年更可望達到4,300億的規模,電子商務發展不容小覷。然而,商機雖大,根據刑事警察局統計,2010年1到10月發生的詐騙案件中,以電子商務交易位居第2,詐騙金額達1,139萬元,可見在龐大的商業利益背後,其安全隱憂,更是網路業者及消費大眾所需關注的。

違反個資法的前車之鑑

國內網路詐騙事件層出不窮,但沒出過事的業者卻仍不知警惕,使得外洩事件至今仍無法完全杜絕。
 

案例1:XX購物8,000多筆客戶資料「全都露」!
國內知名網購業者XX購物,從2008年起,陸續傳出客戶個人資料外洩事件,2009年,更爆發不肖人士將該購物業者8,000多筆會員資料,放置於免費網路空間,並以每筆資料0.5元販售。這些個人交易資料,內容包括客戶姓名、信用卡卡號、行動電話、商品名稱及交易日期等巨細靡遺。

案例2:8大購物網會員資料遭竊
兩年前,傳出國內8大購物網站及線上遊戲平台遭到駭客入侵,約有上千筆會員資料因此被竊取。其中,某購物網站便指出,他們的資料庫,在一夜間就遭到4萬筆來自特定IP的帳號、密碼異常登入,駭客行徑相當大膽。
調查發現,駭客使用的手法係先入侵購物網站的資料庫,竊取會員資料後,利用「資料拼圖」的方式,將搜集到的會員帳號、密碼,不斷以人工及電腦程式,用以測試其歸屬的網站,再從中取得其他個人資料。
接著,詐騙集團謊稱誤將電腦契約選單勾選為「分期付款」,導致帳戶內扣款有誤,要求被害人在24小時內拿提款卡,辦理「解除分期設定扣款」的動作,由於詐騙集團對被害人過往交易明細等內容瞭若指掌,被害人不疑有他,便聽從詐騙集團的指示,一步一步掉入陷阱。


解讀新版個資法
也正因為過去幾年一直不斷發生電子商務網站個人資料外洩的事件,在新版個資法尚未修訂前,法務部就已將無店面零售業列入「電腦處理個人資料保護法」的指定適用範圍。而新修訂完成的個資法,更加強保障個人隱私,遏止過去個人資料嚴重的不當使用。

個資定義
新版的個資法,保護標的從電子資料擴大到所有的個人資料。舉例來說,以前只有存放在電腦裡的訂單資料,或是將訂單彙整成另一個檔案,這些資料遺失的時候才適用於「電腦處理個人資料保護法」,但在新版個資法實施後,連列印出來的紙本資料,都是在適用範圍內。換句話說,在新版個資法中,只要含有個人資料,不論是用何種方式呈現的,都屬於「個人資料保護法」所適用的範圍。

究竟哪些資料屬於個人資料呢 ?除了姓名、身分證字號外,在新版個資法第二條有詳細的規定,分成以下幾類:姓名、出生年月日、證件號碼(如:身分證字號、護照號碼)、聯絡方式(如:地址、電話、手機、電子郵件)、財務資料(如:銀行帳號、信用卡號)、其他得以直接或間接方式識別該個人之資料。

舉例來說,在拍賣網站上所使用的賣家名稱,因為無法直接判別個人,所以賣家名稱並不屬於個人資料。但是賣家的聯絡電話、電子郵件、或是匯款帳號,則是屬於個人資料的一部分。另外有些網購平台會使用身分證字號做為使用者帳號,這類資料都是個人資料的一部分,也是需要保護的。另外在新版個資法第六條,又定義了特許資料,這些特許資料是不能用任何方式蒐集的,包括:醫療、基因、性生活、健康檢查、犯罪前科。

適用範圍
一般中小企業,甚至是個人是否受這部法令所限制?依照個資法第二條定義,個資法的適用對象,包括公務機關與非公務機關;而非公務機關則包含了自然人、法人和其他團體。所以在電子商務平台上面的賣家,無論是有實體的店面,或者只是個人工作室,都在新版個資法所適用的範圍內,同樣都需要對個人資料進行保護。 



如何合法蒐集、處理、利用個資
在瞭解個人資料的定義與適用範圍後,新版個資法對於個資的蒐集、處理、利用等還有以下要求:
1. 必須有特定目的,與當事人有類似契約關係
根據新版第19條規定,非公務機關蒐集或處理個資,必須有特定目的,並符合7項情形之一,以電子商務業者來說,可以適用第2項:與當事人有契約或類似契約之關係。
2.必須告知事項
假設消費者要來購物平台下單,基本需要提供貨物收件人姓名、地址或電話。有些業者可能要求更多資料,如出生年月日、銀行帳號、年收入等資料,依照新版個資法第8條要求,需要明確的告知當事人下列事項:

公務機關或非公務機關名稱 
     ◎ 蒐集之目的 
      ◎ 個人資料之類別 
      ◎ 個人資料利用之期間、地區、對象及方式 
      ◎ 當事人依個資法第三條規定得行使之權利及方式 
      ◎ 當事人得自由選擇提供個人資料時,不提供將對其權益之影響

3.特定目的外利用,須取得當事人書面同意
除上述特定目的外,電子商務業者若要將資料做其他目的外利用,必須符合新版第20條規定,例如將個人資料提供給第三方時,必須取得當事人書面同意。
4.當蒐集資料的目的已經不存在,或是已經達到使用期限,這時候就必須要主動把所蒐集的個人資料刪除、停止處理或利用。

消費者的權益
1.要求停用個人資料行銷
個資法第20條規定,利用個人資料行銷時,當事人如果拒絕行銷,應即停止利用個人資料行銷。例如登錄網站成為會員,除非經過當事人的同意,不然賣家不可以寄發任何形式的廣告資料,如果買家對於所寄發的廣告資料有異議,賣家就必須停止這樣的行銷行為。如果當事人有提出要求,或當事人發現使用目的不同時,都可以要求將相關的個人資料刪除。如果沒有依照規定去蒐集資料,在新版個資法中都有相關的處罰條款。

2.團體訴訟
有鑑於以往有發生個資事件時,通常都是由當事人獨立去對抗洩漏個人資料的機關,往往都是小蝦米對抗大鯨魚,雙方不是處在一個對等的狀態,因此在新版個資法中,新增加了團體訴訟的機制。團體訴訟就是一旦有個資外洩的事件發生時,由20位遭受損害的當事人,連署書面授權財團法人或社團法人,由委託的財團法人或社團法人代為向洩漏個資的單位提起訴訟。例如,以下這條新聞:「警方偵破某犯罪集團,從該犯罪集團中發現疑似某某單位洩漏出來的個人資料…」。只要你和這某某單位有交易往來,你就可以去號召20個人,然後授權給財團法人或社團法人,要求代為進行訴訟。

企業應負的責任

瞭解新版個資法的主要訴求之後,再來則是看企業應該負起哪些責任?

1.訂定個人資料檔案安全維護計畫、業務終止後個資處理方法

不論是機關團體,或是網路上的個人賣家,當你取得個人資料,即便你沒有再利用,但是仍然負有保管的責任。

新版個資法第27條中規定,對於保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。而這部分也是以往大家所忽略的,過去相對關注在資料使用上,如對於權限的控管,或是依照不同的工作授予不同的權限。

對於資料的傳送、儲存、銷毀等部分則常被忽略,但這些過程都可能和個人資料外洩有關。過去也發生過這些案例,不論是紙本資料未經銷毀就在廢紙廠被整批發現,或是資料遞送的過程沒有妥善包裝,導致資料滿天飛舞,甚至電腦檔案在網路上被搜尋引擎找到。也正因為如此,不論是平台業者,或是個人賣家,對於個人資料都需要比以往更費心思來保護。

要特別注意的一點,在個資法第50條中也規定了,如果是非公務機關違反了相關條例,該機關的負責人,除非能證明已經盡了防止義務外,不然負責人也要接受同要額度的罰鍰。意思是機關負責人不可以再將資料遺失的責任,推給基層的經辦同仁,機關負責人也要負管理的責任。所以個資法不僅是一般會接觸到個人資料的員工需要注意,連負責人也需要注意到相關的規範。

2.違法蒐集或處理時的法律責任
在個資法第48條中規定,對於「違法蒐集」個人資料,將會由主管機關要求限期更正,如果期限到了還沒有改正,則會按次處新台幣2萬元以上20萬以下罰鍰。

對於「違法處理、利用」個人資料,在個資法第47條中規定,主管機關將處新台幣5萬元以上、50萬元以下的罰鍰,並要求限期改正。另外需特別注意,除了罰鍰之外,如果違法處理、利用個人資料,即便沒有營利的意圖,但當事人仍然可以提起訴訟,如果經法院判決確定,將可處二年以下有期徒刑、拘役或科或併科新臺幣20萬元以下罰金。

同時新版個資法也加重了對個資外洩的處罰,如果有發生個資外洩的事情,每人每一事件可以求處新台幣500元以上,2萬元以下的民事賠償。同一事件有多數人權益遭受侵害時,最高的賠償金額到新台幣2億元。假設前面所敘述八千多筆個資外洩的案例,發生在新版個資法開始實施後,那肯定會有巨額的民事賠償。不僅如此,如果將個人資料意圖販售、營利,還會有五年以下有期徒刑,得併科新台幣100萬以下罰金的刑事責任。

而以往這類案件最麻煩的,就在於舉證責任。現在的舉證責任,已經從個人資料受害的當事人,轉換為個資保存不當的單位。也就是說電子商務平台或是賣家,必須盡到保護資料的責任,一旦有法律案件時,也必須要由電子商務平台擁有者或是賣家,證明這些資料不是由我這洩漏出去。如此一來,除了在平常就需要對個資保護更多盡一番心力,平日與個資保護有關的各項行為都要將記錄保存,以免不時之需。

整體而言,新版個資法不僅是對個人資料的當事人有了更多的保障,相對的對於持有個人資料的平台業者、賣家,從資料蒐集、處理、利用都有詳細的規範。現階段除了對新版個資法需要加以熟悉外,如何在平日多盡一份保護的工作,避免巨額的損害賠償,才是未來各單位所要重視及面臨挑戰的課題。

(本文作者為資安管理顧問)