綜合專業文章部落格

關於版主
站內搜尋 Search

專業部落格 Blog

全域分類 Menu

益思

2009/05/21 12:07
電子商務個人資料保護法制之研究(9)

•第一節 個人資料之利用層次

•第一項 個人資料之限制利用

業者獲得他人個人資料後,是否就可以任意使用,或仍要受一定原則的拘束?

從資訊被取得人的觀點,他人預見其所提供之資訊將在怎麼樣的範圍內被使用,而斟酌提供一定之資訊。如果業者在利用資訊時逾越了取得人被告知、所理解的目的範圍,則非被取得人所預見,如果當初能預見此種利用,是否仍會提供相同資訊,則有疑問。因此,逾越取得目的使用人資訊,明顯損害被取得人對其資訊的控制權,此種行為應予禁止。[1]

從上述的理由我們可以得出,對他人個人資料的運用應遵循「限制利用原則」,也就是個人資料不應供作蒐集目的以外之其他目的之利用,除非經過資料主體之同意或依據法律之規定。簡言之,利用應於目的範圍內。

另外,對不完整、錯誤的個人資訊為使用,其結果可能有害於當事人的實體利益,對其個人資料權亦可能造成傷害,蓋「誤導」本屬隱私權侵害的一種態樣[2]。故應遵循「資料內容完整、正確原則」,也就是個人資料之利用,於其利用目的之必要範圍內,必須保持正確、完全和最新。

•第二項 對我國法制之檢視

個資法第二十三條規定:「非公務機關對個人資料之利用,應於蒐集之特定目的必要範圍內為之。但有左列情形之一者,得為特定目的外之利用:一 為增進公共利益者。二 為免除當事人之生命、身體、自由或財產上之急迫危險者。三 為防止他人權益之重大危害而有必要者。四 當事人書面同意者。」

就「應於蒐集之特定目的必要範圍內為之」而言,與「目的明確化原則」、「限制利用原則」相符,不過例外規定充斥過於模糊的不確定法律概念,恐怕有稀釋個人資料保護之問題,如第一款所謂「增進公共利益」就可說出手全無部位,幾近包山包海,應有細緻化的可能。[3]

•第二節 個人資料之儲存管理層次

•第一項 安全保護問題

由於資料電子化之後,可以輕易而迅速地複製、清除,或不留痕跡地變更大量資料,如果未加妥善管制,對資料安全性會造成很大的風險。在網路化的情形,由於大量資料將利用開放式公共網路進行傳輸,資料很容易在中途遭人截取,而資料庫及內部網路亦可能遭駭客侵入,使個人資料保護威脅倍增。

例如美國麻州有一青少年入侵機場的網路系統,切斷塔台的通訊服務,造成進入機場的飛機無法打開機場跑道的燈;美國一電腦駭客因不滿某法官的裁決,故而侵入電腦系統將法官的考績竄改;美國一銀行職員將客戶存款的零頭尾數娜到自己的帳戶裡,聚沙成塔後獲取巨額財富[4]。我國亦發生許多現實案例,例如刑事警察局發現在破獲的色情網站及網路駭客案件中,有將近八成設有「木馬程式」。網路使用者從網站下載共享軟體或進入色情網站下載或曾被電腦駭客入侵,即可能被植入木馬程式,導致電腦內的資料完全曝光﹔三名高中生利用Subseven以及Netspy之用戶端「特洛依木馬程式」,侵入網路上不特定第三人電腦,以遠端遙控的方式,取得他人電腦的主控權,竊取電腦內部的檔案、網路撥接帳號及密碼等重要資料,再利用該撥接帳號上網,造成被害人上網費用暴增﹔離職的張姓網路工程師,因先前追求該公司黃姓女同事遭拒,欲得知黃女男友的身份,涉嫌以「社交工程法」(social engineering)入侵公司電腦,截取公司及所有員工的電子郵件,並且假冒調查局之名,在網路上散發黃女之黑函﹔[5]中國信託商業銀行發生信用卡資料外洩事件,可能係偽卡銀行與員工掛勾所致[6]﹔曾發生網友緣於好奇上Google搜索引擎輸入自己名字測試,發現自己之前曾於智富網所登錄之資料(包括姓名、住址、年齡、身分證字號等),居然隨意就可在網路上被搜尋到,而感到驚訝不已[7]。凡此例子均可見網路資訊安全保護問題的嚴重性。

故在個人資料保護上導引出「安全保護原則」,即對於個人資料之佚失、不當接觸、破壞、利用、修改、開示等危險,必須藉合理之安全保護措施加以保護。

德國聯邦個人資料保護法第九條第一句,即要求「應採取技術上與組織上之必要措施,以確保本法之執行」,其附件對「自動化處理個人資料」更要求須一所保護個人資料之種類,採行下列「個別保護措施」:[8]

A入口管制:防止無權者擅入處理個人資料之資料處理設備內。

B出口管制:防止擅自閱讀、複印、變更或搬走資料庫。

C輸入管制:防止擅自投入儲存機及擅自認知、變更或消除已儲存之個人資料。

D使用者管制:防止無權者擅自利用以資料傳遞設施傳遞資料之資料處理系統。

E取用管制:確保有權利用資料處理系統者只能取用其權限內之個人資料。

F傳遞管制:確保能檢定並確認,個人資料經由資料傳遞設施可能傳遞至何處所。

G投入管制:確保事後能檢定並確認,那些個人資料於何時由何人投入資料處理系統。

H委託管制:確保受委託處理之個人資料能僅依委託人之指示為處理。

I運送管制:防止在傳遞個人資料以及運送資料庫時該資料被擅自閱讀、變更或消除。

J組織管制:使官署或營業之內部組織能符合資料保護之特殊要求。

由該法第九條組織上與技術上之措施,本不論自動化或非自動化資料處理均在要求之列,第九條第一句附件之個別保護措施卻只適用於「自動化處理個人資料」,可見已體會電子化對資料保護的衝擊,並針對此點為特殊設計。

另外,歐盟一九九五年資料保護指令第十七條亦規定,「保管人應設置適當技術及組織設施,以防止個人資料遭受災害或不法破壞、滅失、竄改、無權揭露或存取,尤以經由網路傳遞及其他非法形式之處理。」與德國法之規定意旨相同,而「該等設施,經考量技術狀況與實施成本,應確保對其所處理資料之風險與所需保護之性質,具有相當之安全水準」之規定,似乎更意味著資料保管人具有積極義務使自己一直掌握最新的安全資訊,以確保符合相當的安全水準[9]



[1] 參照林子儀,「資訊取得法」立法政策與法治之研究,收錄於氏著,權力分立與憲政發展,初版,頁205-206。

[2] 關於William L. Prosser 教授對隱私權侵害的分類,參照林子儀,網路與隱私權,資訊科技與法律課程大綱與簡介,<http:// www.cc.ntu.edu.tw/~cyberlaw/J4.html >;詹文凱,隱私權之研究,台灣大學法研所博士論文,頁26-27(1998/7)

[3] 相關評論參照黃三榮,個人資料之保護─兼評我國電腦處理個人資料保護法,資訊法務透析,頁49(1998/1)﹔許文義,個人資料保護法論,頁188,台北,三民(2001/1)

[4] 蔡美智,電腦駭客入侵的法律問題,資訊與電腦,二一七期,頁65,67(1998/8)

[5] 非色情網站•網路犯罪防治網,案例摘要,http://www.crime.org.tw/data01.htm#13 (2001/4/26瀏覽)

[6] 羅惠馨,中信銀如何逃過醜聞風暴,http://www.pchome.com.tw/ebusinessweekly/024/ebusinessweekly_22-1.html (2001/4/26瀏覽)

[7] 李科逸,從智富網事件看網路新興趨勢對社會規範之衝擊,http://tech.smartnet.com.tw/article/art_cont_1.asp?art_no=20010328016 (2001/4/26瀏覽)。本文作者自己就曾發生,在Google上存在我參加某研討會報名個人資料的網頁頁庫存檔,去函Google未獲回應,經向該研討會主辦單位要求向Google反映後,方才移除。

[8] 德國「聯邦個人資料保護法」的中譯,參閱林錫堯譯,德國聯邦個人資料保護法,法學叢刊,三十六卷四期,頁1-18;關於各項個別保護措施的具體內容,參照洪榮彬,資訊時代之資料處理與資料保護─以德國聯邦個人資料保護法為中心,輔仁大學法研所碩士論文,頁127-133(1993/6)

[9] 參照熊愛卿,網際網路個人資料保護之研究,台灣大學法研所博士論文,頁168(2000/7);歐盟1995年資料保護指令之中譯,參照熊愛卿、詹文凱合譯,歐盟1995年資料保護指令,收錄於熊愛卿,網際網路個人資料保護之研究,台灣大學法研所博士論文,附錄(2000/7)


Copyright IS-Law.com
由 益思客服 發表於 綜合專業文章部落格 | 引用 (0) | 閱讀(2932)