綜合專業文章部落格

關於版主
站內搜尋 Search

專業部落格 Blog

全域分類 Menu

益思

2009/05/20 12:04
電子商務個人資料保護法制之研究(8)
 

•第四項 對我國法制之檢視

首先,就Cookies及類似資訊技術的問題而言,本文認為應有個資法之適用可能。Cookies所蒐集的資訊,如在個資法第三條第一款列舉範圍內者自無疑問,若是E-mail信箱,本文認為具有表徵個人之作用且與個人密切相關,類似姓名、地址之作用,應屬受保護的個人資料[1];IP 位址本文在參、二、2個人資料權部分已說明;最大宗的網路活動記錄(瀏覽網站那部分、停留時間長短、從事何種交易行為等等),本文亦在參、二、2以多項理由認為應屬於受保護的個人資料。因此,非公務機關至少應受個資法的約束,不能任意使用Cookies或類似技術來取得人民資訊。

其次,個資法第六條規定:「個人資料之蒐集或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍。」第十八條規定:「非公務機關對個人資料之蒐集或電腦處理,非有特定目的,並符合左列情形之一者,不得為之:一 經當事人書面同意者。二 與當事人有契約或類似契約之關係而對當事人權益無侵害之虞者。三 已公開之資料且無害於當事人之重大利益者。四 為學術研究而有必要且無害於當事人之重大利益者。五 依本法第三條第七款第二目有關之法規及其他法律有特別規定者。」第十九條規定:「非公務機關未經目的事業主管機關依本法登記並發給執照者,不得為個人資料之蒐集、電腦處理或國際傳遞及利用。徵信業及以蒐集或電腦處理個人資料為主要業務之團體或個人,應經目的事業主管機關許可並經登記及發給執照。前二項之登記程序、許可要件及收費標準,由中央目的事業主管機關定之。」可說是限制蒐集原則、目的明確化原則的落實。

值得討論的是,第十八條第二款所謂「與當事人有契約或類似契約之關係」,似並非僅指有關個人資料蒐集之契約,否則適用第一款即為已足,但契約千萬種,不分類型與內容均可免責,個人資料保護豈非落空?或謂尚有後段「對當事人權益無侵害之虞者」來把關,但問題是不論何種形式的個人資料蒐集,恐怕都難說「對當事人權益無侵害之虞者」,蓋每一筆資料或許無害,但如果和其他某些資料連結,或將許多細微的資料累積、分析,就可能造成極大的侵害,而個人資料保護在資訊時代的意義,正是要防免此種危險,因此有謂「沒有無利益之資料」、「舉凡資料蒐集、處理或利用等行為均具干預性質」即此之謂,就算還是認為有篩選作用,如此不確定概念,也是不易掌握,因此,第二款兩項要件均不妥當,放在一起也無法正當化,實有檢討必要。第三、四款所謂「無害當事人之重大利益」也有類似的問題,均值再予探究。[2]

如果參考德國法上的解釋,或許可以得到一些啟發。德國聯邦個人資料保護法第二十八條規定,「有左列情形之一者,得儲存、變更或傳遞個人資料,或以利用個人資料為執行自己業務目的之方法:一 在與當事人間之契約關係或類似契約之信任關係之目的範圍內者。」所謂在目的範圍內該法並為詳細規定,必須由文件來加以闡釋,一般認為只要其儲存和利用資料,係用以完成當事人基於該契約所應履行義務和行使權利之必要者,即為本法所許可,例如:在勞工契約中,依據該契約所為之資料傳遞行為,只有當其係因勞工契約、或補充勞工契約之團體協約或其他勞工法律規定所必要者,才許可之﹔又如,在一項訂購家具之買賣契約中,為了送貨及徵信買者之信用度所進行之資料儲存行為,亦為本法所許﹔總之,契約關係之目的範圍,通常可由契約履行之情況中研判出來﹔而類似契約之信任關係之目的範圍,則可由締約關係人與其締約準備階段之情況推論出其特定之範圍﹔因此關於當事人之私人領域、嗜好之資料,由於均已超出契約目的範圍,所以其儲存或利用均非本法所許可﹔最後尚須注意的是,若在當事人和儲存單位存在多種契約關係時,必須依各個不同契約關係之進展來進行研判,唯有在具體之契約關係範圍內,始得為儲存和利用行為,例如信貸機構之員工向公司本身進行貸款行為時(此時乃居於顧客之地位),則關於其帳戶之收支情況之資料,即不得利用於其與信貸機構間之勞工契約關係之範圍內,從事人事評鑑之行為,殆此時其帳戶相關資料之使用已超出原先之使用範圍(信貸契約之範圍),其嗣後使用於勞工契約中,須重新審查其必要性及是否為本款所許可。[3]這樣的操作在現實上是否有陳義過高,或是有模糊空間不易掌握等問題,當然不是沒有討論的餘地,但至少使我們思考,以所謂「有契約或類似契約之關係」當作合法化蒐集處理個人資料的理由,應該要是在促進契約或類似契約關係之實現所必須者,才有合理化的可能,我國的規定是否要做這樣的限縮解釋,相當值得考慮,若認為超出文義,就顯然有修正的需要。

另外,第十八條第一款的「書面同意」,產生一問題,即在網路上進行的點選或填寫行為,算不算書面?在進入電子化時代後,電子文件符不符合民法上「書面」的要求就成為問題,由於和傳統書面的理解有異,電子簽章法草案就此有特別加以規定,不過在何種情況下承認有書面效力有爭論,最終的立法結果仍待觀察﹔在還沒立法之前,恐怕就很難說在網路上的點選或填寫是書面,尤其一般討論民法上書面要求的理由,不外使當事人慎重以及作為證明之用,就前者而言,網路使用者通常很少會去詳讀那一大堆文字的隱私權條款,使之慎重的期待恐怕會落空一大半,就後者而言,網路使用者並不保有該份隱私權條款,哪一份是當初同意的那一份,將來也不可能舉證,因此解釋成不是書面,似乎也很合理﹔但另一方面,電子商務既以網路作為交易的工具,幾乎必然採取網頁上請求同意的方式,期待業者對每個人去簽同意書,幾乎是不太可能的事,因此此種書面要求,在電子商務上是否是不切實際,有檢討的空間。當然,由於第十八條有其他款的事由(尤其第二款),這個問題也許還不會很嚴重。不過第一款的同意和第二款的契約畢竟是指涉不同的東西,前者指對蒐集個人資料的同意,後者則指雙方為其他目的訂立的契約,不是關於個人資料蒐集使用的契約,在這裡附帶澄清。

最後,關於第六條的概括條款,謂應「尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍。」應從限制蒐集之思考來加以理解。在現行電子商務的活動狀況,可發現對個人資料的蒐集幾乎到了瘋狂的程度,有沒有用不管,先全部蒐集了再說,有沒有逾越其蒐集目的的「必要」範圍,就非常有問題,但消費者為了購買該項商品,對網路商店要求必須填寫的各項資料只好一一填入,這樣的同意真的是完全的自由意志,業者的要求真的完全符合誠信原則,也令人懷疑。



[1] 認為E-mail在個資法保障範圍者,參照陳家駿等,我國網際網路管理辦法建議草案之訂定,交通部電信總局委託研究,頁166(1998/7)

[2] 相關檢討意見可參照許文義,個人資料保護法論,頁242,台北,三民(2001/1)﹔黃三榮,個人資料之保護─兼評我國電腦處理個人資料保護法,資訊法務透析,頁48(1998/1)

[3] 洪榮彬,資訊時代之資料處理與資料保護─以德國聯邦個人資料保護法為中心,輔仁大學法研所碩士論文,頁239-240(1993/6)


Copyright IS-Law.com
由 益思客服 發表於 綜合專業文章部落格 | 引用 (0) | 閱讀(2692)