文 / 精品科技 法務 邱芷葳
近年來,利用個人資料進行犯罪的事件層出不窮,造成大量的個人資料四處流竄,對個人權益已然造成嚴重損害,早年保障個人資料的法律-《電腦處理個人資料保護法》
《電腦處理個人資料保護法》隨其適用對象卻僅侷限於政府機構與徵信、醫院、學校、電信、金融業、證券、保險及大眾傳播等八大行業,且受保護的範圍也只有電腦處理的個人資料而已,紙本資料根本不在此範圍內,實在沒辦法有效涵蓋所有的個資犯罪型態,為了完整保障個人權益,於是制定了新版的《個人資料法保護法》。新版的個人資料保護法不僅將以往的適用範圍,擴大到所有保有個人資料的自然人、企業、公務機關或其他團體,並且除一般性的個人資料外,也增加了基因、醫療、性生活、健康檢查與犯罪前科等五項敏感性資料有限度的蒐集、處理及利用規範,也就是說除非有:
1.法律規定
2.履行法定職務或法定義務,且有適當安全維護措施
3.當事人自行公開或已合法公開
4.公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且經一定程序所為蒐集、處理或利用之個人資料等四種法定情形,否則不得任意蒐集、處理及利用敏感性資料。
而因企業及公務機關往往保有大量的個人資料,因此,新版個人資料保護法實施後,企業及公務機關所需負擔的個人資料安全維護責任也更被加重。舉例來說,國內以往有許多知名企業都曾經發生過大規模的個人資料外洩事件,但受害者往往卻因不知情,而導致其權益受損卻無法主張。因此,新版個人資料保護法特別規定,當企業或公務機關所蒐集、處理及利用之個人資料遭到竊取、洩漏、竄改等情況時,企業或公務機關有義務即時以適當的方式(例如電話、信函等)通知當事人。如有違反規定,主管機關可令其限期改正,並可按次處以二萬至二十萬元不等的罰鍰,如因此造成當事人的損害,賠償上限甚至可高達二億元,由此可見,新版個人資料保護法對個人權益保障之重視程度。
在個人資料保護法實施後,個人應該如何保障自身權益?
個人資料保護法實施後, 每個人都將有權對於保有自身個人資料的企業或公務機關,提出查詢、閱覽或提供複本的請求,以確認企業或公務機關所保存個人資料的正確性。如果核對後發現有錯誤或遺漏,也可以請求企業或公務機關更正或補充。此外,個人可以隨時提出停止蒐集、處理或利用之請求,讓企業或公務機關不得繼續使用自己的個人資料,尤其是現在的企業經常使用電話行銷來銷售自家的產品,如果不願成為電話行銷的對象,隨時都可以提出停止使用自己個人資料的請求,甚至要求直接刪除所保有的個人資料,以杜絕後患。企業或公務機關對於上述請求,也都必須在30天內作出准駁的決定。
再者,企業對個人資料的蒐集、處理或利用,除應有特定目的外,且蒐集或處理個人資料時,另需有法律明文規定、或有契約關係、或經當事人書面同意等,才可合法進行。
企業或公務機關如違反個人資料保護法的上述規定, 導致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利,個人有權利於知道損害發生及賠償義務人時起二年內,向企業或公務機關請求損害賠償。如因同一原因事實造成多數當事人權利受到侵害, 聯合受有損害的當事人二十人以上,即得委託財團法人或公益社團法人提起團體訴訟。
團體訴訟應如何發動?
然而,什麼是團體訴訟呢?所謂團體訴訟,係指同一個原因事實的發生,可能同時使多數的當事人受到損害,此時各個當事人依民法及民事訴訟法的規定,原本各自得以自己名義提起損害賠償訴訟,於訴訟中成為當事人而受判決,但各個當事人卻不以自己的名義對引起損害之人提起訴訟之方式,反而將此項訴訟權利藉由某種方式讓與給特定資格的團體集結眾人之力,由此類團體代替他們向加害人請求賠償。
例如:信用卡發卡銀行因持卡人長期交易所蒐集、累積的眾多個人資料,如果因為員工盜拷後販售給詐騙集團,導致銀行違反個人資料保護法第27條之安全措施責任,只要集結其中二十個人以上的受害人,就可以將這些受害人的訴訟實施權用書面授權給具備個人資料保護法所限定資格的財團法人或公益社團法人,如此一來,該法人即可以自己的名義自行或委任律師向違反個人資料保護法的組織或個人提起團體訴訟,若無法證明損害數額時,則可依法請求每人每一事件五百元以上二萬元以下的損害賠償,賠償總額最高可達二億元。
目前因新版個人資料保護法尚未正式施行,因此,國內還未有個資外洩的團體訴訟案例,但國外已有類似的案例發生,並且已向加害人發動求償訴訟。2011年04月,南韓的一位使用者指控iPhone不當擷取個人位置資訊,導致其憲法保障的個人生活受到侵害,於是委請律師向南韓法院起訴蘋果,經南韓法院正式判定蘋果南韓分公司應支付該使用者約韓幣一百萬元(約台幣兩萬七千元)的相關精神賠償。判例一出,短短半個月的時間,就有兩萬七千八百萬個受害者紛紛求助打贏這場官司的律師,要向蘋果提出集體訴訟。比照每人韓幣一百萬的求償金額,蘋果的賠償規模可望達到兩百七十億韓元(約台幣七億兩千九百萬元)。
另外,Sony 於去年四月也曾發佈消息說,Sony集團內以美國為中心發展電影與遊戲網路配信服務「Play Stat ionNetwork」與「Qriocity」,遭到駭客入侵,造成了至少7500萬人會員顧客的資料外洩。外洩的資料中,包括會員的名字、地址、電子信箱、生日、ID與密碼等,因此,Sony用戶也已經向加州法院提出集體訴訟,控告Sony未能妥善保存使用者的個資。若以過去日本針對個資賠償的判例一人賠償三萬日圓的金額計算,Sony在這次被稱為「史上最嚴重個資外洩」事件中,賠償總金額恐將超過二兆日圓。
結語
綜合前述可知,個人資料如遭人不當利用,被害人可以依據個人資料保護法加以主張,除此之外,也仍有其他法律上的權利可以主張。例如:如果被害人與加害人有進一步的契約關係時,則可視契約對不當利用資料的行為,有沒有約定違約賠償責任。如果沒有契約關係,被害人可以考慮用隱私權等人格權被侵害為理由,依照民法之侵權行為規定,向加害人請求財產上及非財產上損害賠償,如果同時還有名譽被侵害的情形,則可以另外請求回復名譽的適當處分。此外,刑事部分,被害人亦可依具體情況,依刑法第三百十六條、第三百十八條之一等「妨害秘密」規定,對加害人提出刑事告訴。因此,個人資料保護法案公布施行後,個人更應注意個人資料被蒐集、處理及利用之合法性,不要讓自己的權益睡著了。