網購服飾業者疑個資外洩
以一件168元POLO衫打響名號的網購成衣品牌○○,日前網站疑似個資外洩,會員陸續接獲不明人士假冒○○員工,謊稱訂單設定錯誤要求消費者至ATM操作的詐騙電話。○○坦言確實接到會員投訴,但表示「不可能洩漏個資」、後台系統運作正常,可能是消費者電腦端遭駭,純屬個案問題。
○○行銷部表示,網路後台沒有遭駭或程式侵入問題,目前了解接獲詐騙電話僅為少部分會員,應為消費者電腦端遭駭、或遭植入惡意程式等。○○公司強調,為保護消費者個資安全,網站只保留近三個月訂單資料,超過時限均銷毀;而接獲會員申訴後,第一時間已發郵件與簡訊通知會員勿上當受騙(2011/08/03聯合新聞網)。
依新版個資法規定,業者為防止個人資料被竊取、竄改、毀損、滅失或洩漏,均負有採行適當安全措施之義務,且在發生個資外洩事故時,負有通知義務;若業者違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,被害人得請求法院依侵害情節,以每人每一事件新台幣500元以上,2萬元以下之金額請求損害賠償;對於同一原因事實造成多數當事人權利受侵害之事件,其合計最高賠償總額原則上以二億元為限。
此外,新版個資法亦引進了團體訴訟制度,對於同一原因事實造成多數當事人權利受侵害之事件,財團法人或公益社團法人經受有損害之當事人20人以上以書面授與訴訟實施權者,亦得為被害人提起損害賠償訴訟(新版個資法第24條),透過集體效益節省訴訟成本、大幅降低訴訟門檻,進而提高企業遭到民事求償機率與風險。這對於以網路交易與線上服務為主要業務,並且有大量個人資料的電子商務產業,更有因應個資法民事推定過失責任的不利舉證責任倒置,而應強化相關數位證據保存的必要。
隨著電子商務快速發展,個資外洩風險也急遽增加,為保障網路交易安全,法務部在民國99年公告指定以「網際網路及型錄方式零售商品之公司行號」,為電腦處理個人資料保護法所稱之非公務機關,並適用該法相關規範,同時將無店面零售業中的「電視購物頻道供應者」,一併納入適用範圍。
而新版個資法正式施行後,廢除了登記執照制度,電子商務業者不論有無辦理公司或商業登記,亦不論係以自動化或非自動化方式處理個人資料,皆應受到新版個資法規範。例如,新版個資法中關於個人資料直接或間接蒐集之告知義務(新版個資法第8、9條)、個資事故發生後之通知義務(新版個資法第12條)等新規定,業者均應遵守,違反者即可能遭中央目的事業主管機關或直轄市、縣(市)政府命限期改正,屆期未改正者,並得按次科處罰鍰(新版個資法第48條),其違反本法規定致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,並應負損害賠償責任(新版個資法第29條第1項)。
至於前述告知義務或通知義務,得以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之(個資法施行細則第16條、第22條)。
定型化契約條款之行政管制
此外,自從電子商務業經公告指定適用個資法後,經濟部便著手訂定「零售業等網路交易定型化契約應記載及不得記載事項」,並於民國100年1月1日起公告施行。關於應記載事項,其第11點規定:「企業經營者應遵守個人資料保護相關法令規定。」雖係重申電子商務業者應遵守個資法之規定,惟業者如違反個資法規定,除須負相關刑事、行政與民事侵權責任外,依本條款規定,尚應負擔民事契約責任。
至於不得記載事項第1、2點也與個資保護相關,第1點規定屬於個資法第3條規定之重申,第2點則規定:「不得記載消費者個人資料得為契約目的必要範圍外之利用。」也就是不能強迫消費者同意將個資做目的外利用,值得注意的是,新版個資法第20條第1項各款規定,已就非公務機關得對個人資料為特定目的外利用之情形,設有明文;其中,第6款所稱當事人「書面同意」,乃指當事人經蒐集者明確告知特定目的外之其他利用目的、範圍及同意與否對其權益之影響後,單獨所為之書面意思表示;如係與其他意思表示於同一書面為之者,蒐集者應於適當位置使當事人得以知悉其內容並確認同意(新版個資法第7條第2項、施行細則第15條規定)。
換句話說,電子商務業者就消費者之個人資料,如擬為特定目的外利用時,應取得消費者個別之書面同意,如僅一併訂立於定型化契約條款中,未另行確認當事人有無個別同意之意思時,該條款即可能遭認定為違反定型化契約不得記載事項,而屬無效。
個人資料隱私保護標章
另一方面,關於個人隱私權的保護,國際間已有不少國家採取標章認證的方式,如日本P Mark、韓國ePrivacy Mark、美國TRUSTe與歐盟EuroPriSe等隱私保護標章,台灣亦復如此。
立法院於2008年間決議要求行政院推動隱私權管理保護認證制度,並經行政院交經濟部研議,而配合新版個資法上路,經濟部商業司於2011年4月間宣告推廣「台灣個人資料保護管理制度(TPIPAS , Taiwan Personal Information Protection and Administration System)」,並建立「資料隱私保護標章(DP Mark , Data Privacy Protection Mark)」,於推動試辦階段,主要先以電子商務、無店面零售業、百貨零售或量販業者為對象。
TPIPAS管理制度乃以新版個資法為基礎,協助企業將法規遵循要求轉化為內部管理流程,並透過輔導機構協助業者導入,企業於導入TPIPAS管理制度後就可以提出驗證申請,經驗證程序審查通過後,即能取得DP Mark標章的使用資格,使消費者辨認企業是否符合個資保護規範,以提升對於電子商務交易之信賴度。截至102年底,已有統一超商、全家便利商店等七家電子商務業者通過TPIPAS制度規範試行驗證,並取得DP Mark(註1)。對於電子商務業者來說,自行解讀法規並建立相關因應制度,需要投入太多的資源成本,申請導入TPIPAS管理制度與DP Mark標章,或許是比較簡單又能兼顧法規遵循的方式。
註1:經濟部20121217新聞稿「推動電子商務產業導入個人資料管理制度試行有成」。http://www.moea.gov.tw/Mns/populace/news/News.aspx?kind=1&menu_id=40&news_id=28797。
本文刊載於《深入7大產業 解讀個資法》專刊,如有興趣,請來信詢問:isnews@newera.messefrankfurt.com,謝謝。
(本文作者現為國巨律師事務所律師)