專欄文章

09.20.2022 網路隱私權條款重點分析:侵害個資的三大法律風險

文 / 林煜騰律師

 

不論國內外,都不乏因為違法使用個資而遭裁罰或因使用不當而遭非難的案例。如2018年,英國政府曾因劍橋分析(Cambridge Analytica)洩露8,700萬臉書用戶個資事件,裁處當時的臉書50萬英鎊的罰鍰。

而我國在2021年11月時,也有民眾針對臺北市政府所舉辦的「2021台北購起來」活動中提供民眾選擇是否要使用「串聯雲端發票綁定機制」的設計投訴,認為其隱私條款針對「蒐集資料」的用途說明不清違反個資法的規定。

保護民眾的個人資料是全球的趨勢,若違反相關規定都會有相對應的處罰。我國個資法上所規定的法律效果,可以區分為刑事責任、行政裁罰和民事賠償三種。

刑事責任

(一)個資法第41條

對於商業品牌而言,最關心的應非個資法所涉及的刑事責任莫屬。畢竟蒐集個人資料所追求的很多時候是尚未實現的商業利益,如果品牌因為未實現的利益而惹上刑事責任,不管最後是否被定罪,光經歷司法程序消耗勞力、時間、費用,就已經得不償失。

個資法針對意圖為自己或第三人不法之利益或損害他人之利益,而違法利用個資行為,可以處以五年以下有期徒刑,以及同時科處新臺幣一百萬元以下罰金(個資法第41條)。而且本罪是屬於非告訴乃論罪(個資法第45條),因此沒有6個月的告訴期間限制。如有觸法,觸法者在很長的一段時間內都有受到刑事追訴的風險。

(二)具體個案

法院目前針對侵害個資的態樣也已經累積不少的案例。

舉例而言,在一則感情糾紛中,一名男子對於其女友的前男友心生不滿,在Facebook「動態時報」上,將其女友的前男友,車牌號碼後4碼、車款、顏色、活動區域、姓名、照片等資料,張貼在上開動態時報上,就被認為違法散佈個人資料,違反個人資料保護法第41條,應予處罰(臺灣高雄地方法院刑事簡易判決105年度簡字第2432號)。

在另外一則商業競爭的案例,被告從事機場接送服務業,不滿另外一名司機以低於行情價提供機場載送服務,在行動電話LINE群組內,張貼載有該名司機姓名、行動電話門號、車牌號碼等文字,法院認為是違法散佈個人資料,違反個人資料保護法第41條,應予處罰(臺灣新北地方法院刑事簡易判決105年度審簡字第1650號)。

於另一則公寓大廈糾紛裡,被告雖然只公布住戶居住樓層和車位,也被認為可以識別出特定個人,而被認定有罪。案件中,被告辯稱在Facebook上貼出肇事車主是「H1-2F、第254車位」的住戶。法院認為,雖然被告沒有特定指明某一樓某一樓層內之某一住戶也沒有公布車牌號碼,但被告是在社區的臉書上公布此資訊。社區住戶可以很輕易的透過此資訊得知「H1-2F、第254車位」是表示住在該社區H1棟2F、地下停車位第254車位的人。則此資訊,不論由直接或間接的方式均可以特定出告訴人個人,當然屬個人資料保護法所保護的範圍。此並非在公路上或其他公開場合所見特定車牌號碼的單一資訊,在未有其他資訊輔助下並不足以指向特定某個人所能比擬(臺灣桃園地方法院刑事判決104年度易字第653號)。

由上可見,無論是車牌號碼、住址、姓名、照片、電話號碼等資訊,如果違法利用都可能面臨刑事處罰。如果品牌沒有在蒐集個資時規劃好未來的使用目的,往後要是在目的外使用個資都會面臨到潛在的刑事責任風險。

行政裁罰

除了刑事責任外,行政機關也可能會介入處罰。相比刑事責任需要經過司法程序,行政機關的裁處對於品牌的影響會更即時。

(一)裁罰處分

以下情形,主管機關可以直接處新臺幣5萬元以上50萬元以下罰鍰(個資法47條):

    1. 違法蒐集、處理、利用敏感性個資(個資法第6條第1項);

    2. 違法蒐集一般性個資(個資法第19條);

    3. 違法處理、利用一般性個資(個資法第20條第1項)。

 

以下情形,如果主管機關命業者限期改正,屆期未改正者,可以按次處新臺幣2萬元以上20萬元以下罰鍰(個資法48條):

    1. 如果業者違反所規定的告知義務(個資法第8條、第9條);

    2. 未依據資料主體的請求提供蒐集之個人資料,答覆查詢、提供閱覽或製給複製本(個資法第10條);

    3. 沒有協助資料主體更正或補充個人資料(個資法第11條);

    4. 沒有在違反個資法導致個人資料被竊取、洩漏、竄改或其他侵害時,查明後以適當方式通知資料主體(個資法第12條);

    5. 在蒐集個資目的外將個人資料用於「行銷」時,未於首次行銷時,提供行銷對象拒絕行銷的方式,並在被行銷對象拒絕行銷時,就停止利用其個人資料行銷(個資法第20條第2、3項);

    6. 沒有採取應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏(個資法第27條第1項)。

(二)非裁罰處分

除了罰鍰之外,如果品牌違反個資法的規定,主管機關也可以命令業者從事以下行為(個資法25條):

    1. 禁止蒐集、處理或利用個人資料;

    2. 刪除經處理之個人資料檔案;

    3. 沒入或命銷燬違法蒐集之個人資料;

    4. 公布非公務機關之違法情形,及其姓名或名稱與負責人。

民事求償

最後,被違法利用個資的服務使用者,也可以向品牌求償。

被害人雖非財產上之損害,也可以以請求賠償相當之金額;其名譽被侵害者,並可以請求為回復名譽之適當處分(個資法第28條第2項)。如果被害人不易或不能證明其實際損害額時,可以請求法院依侵害情節,以每人每一事件新臺幣500元以上至20,000元以下計算之賠償金(個資法第28條第3項)。此損害賠償請求權,自被害人知道有損害及賠償義務人時起,2年內都可以請求;但最長不超過損害發生時起5年(個資法第30條)。

雖然損害賠償金額500元以上至20,000元看似不多,但對於商業品牌而言,個資侵害事件通常都會是集體事件,如沒有事先規劃好合法的個資蒐集、處理、利用方式,一旦產生糾紛,變成集體訴訟,影響都是相當深遠,且賠償數字也會相當可觀。

 

總結:品牌自我檢視蒐集個資的4大要點

個人資料的蒐集,可以說是商業品牌所從事的商業模式中不可或缺的一環。無論是想要蒐集消費者的 e-mail 寄發行銷資訊、蒐集消費者的消費紀錄,推播廣告或是促銷資訊,或是進行問卷調查與心理測驗等以優化所提供的產品,都會或多或少使用到個人資料。如果商業品牌在網路上所蒐資的資訊被認定為個人資料,在蒐集前都必須要遵守個資法的規範,而須承擔一定的法律義務。

 

因此,品牌在蒐集使用者資料可以針對以下事項做個自我檢視,並在隱私政策(條款)上做相對應的調整,以免觸犯個資法,承擔不必要的法律以及公關風險:

 

1. 確認自己的商業模式是否真的需要可辨別個人身分的資料(如:姓名、身分證字號)?

2. 如果需要,蒐集的資料是敏感性個資?或是一般性個資?

3. 蒐集時是否有明確告知使用者蒐集目的?

4. 蒐集時是否有告知使用者個資法第8條所要求之事項?

 

如想要了解更詳盡的內容,可以參考:
【網路隱私權政策4大重點】商業品牌在網路蒐集個資重點全公開一文。