台灣博客來網路書店洩漏個人資料事件與法院賠償判決

Posted By 非典型文字工作者 / March 17, 2009 @ 10:04 AM

博客來網路書店台灣博客來網路書店在 2006 年,辦理金馬影展套票出售業務,卻因為人為疏失,使得四百多位會員的個人資料外流,導致會員個人權益受到相當影響。關於網路購票外洩個人資料事件等相關資訊,可參考《金馬影展博客來網路購票外洩個人資料》一文:

博客來把我們的個人資料外洩了。

我們是購買今年(2007)金馬影展套票的觀眾。這次金馬執委會決定改變以往(觀眾親至年代售票端點)的套票劃位方式,購買套票的觀眾必須先加入博客來會員,事先登入博客來網站註冊套票上的序號,以換得購物車中的電子票券於劃位當天(11/10)進行劃位,

完成後博客來再將票券宅配到家。 但是11月5日傍晚5點左右,卻陸續有完成註冊的觀眾發現收到了一封「金馬-套票註冊成功信」,其中的內容除了自己的個人資料,包括姓名、e-mail、電話、手機、地址,還有數十筆至300筆以上他人的資料。

博客來書店與主辦單位在事件方發生後陸續發表道歉信函,並表示願意與消費者進行和解,但是有部份消費者認為博客來處理事件態度與方法不只毫無誠意,嚴重漠視消費者權益,其中十七人不願意接受博客來書店的和解,並向台北地方法院提起訴訟。以下是消費者方的主張與聲明:

我們能理解企業和消費者各有各的考量,但金馬執委會和博客來對此事件的處理態度,在在顯示了他們對個人資料保護的忽視。雖然我們知道,所謂的「個人資料」,其實在這個社會裡,是沒有什麼保障的,有太多的方法可以用錢或其他方法來取得,所謂的「個人隱私」是有點虛弱的存在。

就算如此悲觀,但世界上應該有某些東西是超越立場的,就像是「資料保密」這類事情,應該是不容許任何妥協跟忽視的。我們想讓社會大眾知道,個人資料外洩,不該是一種會隨意發生的意外。

多數人在為任何廠商或單位填寫和自己個人資料有關的表格時,多半不懷疑自己的資料有確實受到保護,也不懷疑這有被流出的可能。我們想以這次的事件告訴您,這確實發生了,縱然難以證明是否有造成實際損害。

隨後設置了「07金馬影展博客來個人資料外洩事件討論區」部落格於無名小站。

本事件民事訴訟的審理法官為吳定亞法官,訴訟於2008年11月4日言詞辯論終結,18日作成判決。(97年度訴字第1683號)

原告於訴訟中曾依照《電腦處理個人資料保護法》(以下簡稱個資法)規定,主張被告應針對個人資訊外洩事件負有責任。但法官認為,雖然本件事件有個人資料外漏之情事,但卻有個資法規範主體是否適格的問題:

按電腦處理個人資料保護法所規定之非公務機關:指前款以外之左列事業、團體或個人:(一) 徵信業及以蒐集或電腦處理個人資料為主要業務之團體或個人。(二) 醫院、學校、電信業、金融業、證券業、保險業及大眾傳播業。(三)其他經法務部會同中央目的事業主管機關指定之事業、團體或個人,該法第3條第7款定有明文。

而經指定之事業或團體為期貨業、台北市產物、人壽保險商業同業公會、中華民國產物保險商業同業公會、中華民國、人壽保險商業同業公會、財團法人更生保護會、財團法人犯罪被害人保護協會、不動產仲介經紀業、利用電腦網路開放個人資料登錄之就業服務業、登記資本額為新臺幣一千萬元含以上之股份有限公司之組織型態,且有採會員至為行銷方式之百貨公司業及零售式量販業,有法務部97年6月17日法律決字第0970018061號函附卷可參。

查,被告營業項目既非電腦處理個人資料保護法第3條第7款第1級第2目之事業,有被告之基本資料查詢明細在卷為憑,被告雖為登記資本額超過一千萬元,並登記有「F301010百貨公司業」,然所謂「百貨公司業」,乃指「在同一場所從事多種商品分部門零售之百貨公司」,有經濟部97年8月11日經商字第09702099450號函在卷可佐,被告以網路從事銷售,此亦為原告所不爭,自無在同一實體場所營業之可能,當非百貨公司業甚明。

另被告公司登記項目之「無店面零售業」,並非法務部公告指定應適用電腦處理個人資料保護法之百貨公司業範圍,亦有上開法務部函可考,是本件被告非屬電腦處理個人資料保護法第3條第7款規定之非公務機關,原告主張被告有該法之適用云云,於法未合,要不足採。

根據個資法第3條7款規定,非公務機關指依法行使公權力之中央或地方機關外,其他經法務部會同中央目的事業主管機關指定之事業、團體或個人。參考法務部93年12月01日法律字第0930700546號函:登記資本額為新臺幣一千萬元以上之股份有限公司之組織型態,且有採會員制為行銷方式之百貨公司業及零售式量販業為非公務機關。法官認為被告法人僅係「無店面零售業」,並非個資法第3條7款所規範之主體範圍內,故本事件不受個資法適用與規範。

關於類似採取會員制度並擁有眾多會員個人資料的網路購物業卻不受個資法規範適用的問題,有法律見解認為係法律漏洞,理應儘速修法擴張其主體範圍,不過事到如今立法院依舊持續呈現立法怠惰的狀態。

相關個人資料擁有的網路購物業卻不受個資法規範適用等法律漏洞問題,可參考我之前的文章《個人資料與 ATM 詐騙》一文:

網路購物等無電面零售業(非常容易)洩露個人資料,但卻遲遲未被列入法規範管理,不過法務部因為輿論壓力已經計畫以增加舊法適用的產業範圍來「應急」。但是對於詐騙集團這種持有個人資訊的情形,卻是一個非常大的法律漏洞,而不得不修法了。

關於修法的進度,法務部早在 2005 年,就在行政院通過《電腦處理個人資料保護法》的新版本修正草案,改名為《個人資料保護法》。根據新法,須擔負個人資料保護責任的對象,不是再「僅限於公務機關與特定產業」,而是所有的自然人與法人都必須為其他人的個人資料秘密負責。任何搜集個人資料的行為也必須在取得對方同意下才能進行,而不限於電磁記錄,任何有系統搜集個人資料的行為,都在是在管理範圍當中。

新法於同年送進立法院。不過,目前的新法草案只通過一讀階段,而未完成黨團協商,無法進入二、三讀程序。所以說,又是一個立院(豬)諸公延遲立法的代表作。

之前的延遲,是因為立委們故意將高政治議題的議案排為優先議程,不然就是立委們的改選而退回草案等等。現在擱置的原因在於新法第九條「有關民意代表如果是基於問政質詢的目的,而蒐集的個人資料,處理或利用」,是不是也要受到新法規範呢?這點爭議使得新法遲遲無法通過黨團協商。

雖然本件洩漏個人資料事件不受個資法規範,但法官認為,被告仍應負起賠償責任。其法律見解認為仍有民法第184條第1項前段、第188條第1項前段及第195條第1項前段之侵權行為法律適用:

按因故意或過失不法侵害他人之權利者,負損害賠償責任,又不法侵害他人之身體、健康、名譽、自由、信用、隱私、貞操,或不法侵害其他人格法益而情節重大者,被害人雖非財產上之損害,亦得請求賠償相當之金額;又受僱人因執行職務,不法侵害他人之權利者,由僱用人與行為人連帶負損害賠償責任。民法第184條第1項前段、第188條第1項前段及第195條第1項前段定有明文。

又個人之姓名及聯絡方式,乃攸關個人私密事項,若未經持有人之同意或其他法定事由,自不能任意揭露於第三人,此應為隱私權所保障之範圍。查被告因其人員業務處理疏失,將而原告個人之姓名、地址、電話、手機、電子信箱無端附加於購票確認系統回覆之電子郵件,而公開揭示於與原告購買套票目的無關之第三人,對原告之隱私權自屬侵害無誤,原告主張被告因過失行為侵害其隱私權而因此受有非財產上損害,於法尚無不合,被告辯稱原告並無權利受損云云,要屬無據。

準此,原告依據侵權行為法律關係,請求被告賠償其非財產上損害,自屬有理。惟按精神慰撫金數額之認定,除依當事人所受身體上及精神上痛苦程度及所造成之影響予以衡量外,尚須斟酌雙方之身分、資力與加害之程度及各種情形以資核定。

最後,法官審酌個案情形判決原告(消費者)一部勝訴判決,被告(博客來)應賠償共十三萬七千九百元之金額予消費者。隨後,博客來網路書店也就敗訴部份提起上訴。

個人資料與 ATM 詐騙 [to be continued]

消保官認為網路交易賣家有義務提供安全的購物環境,消費者如果因為賣家因為資料外洩,導致權益受損,可依消保法提出損害賠償。賣家對於資料保護就消保法應負起「無過失責任」,就此進行完善的系統管控。

消保會甚至認為,所有因購物導致個人資料外洩被害消費者,因可能造成財產上或非財產上 (侵害隱私權) 之損害,可依消保法第七條、民法第一八四條及第一九五條等規定「要求業者」負損害賠償責任。

編者按:本文係依據發行日期有效之法規撰寫而成,日後法規如有修正,恕不更新本文內容。



 

0 Comment:

歡迎您回覆與本篇文章的寶貴意見,但請勿回覆內容與文章本身無關、人身攻擊或其他不適當的言論。本板將會提出嚴重警告以及保留法律上的任何權利。

請訪客您在「Comment as」處選擇個人身分(Open ID)回應。若訪客您尚無法登入身份,請選「Name/URL」留下回應資料,再次謝謝您的回應 :)

Post a Comment

ShareThis

Copyright 2009 春如月筆記. Powered by Blogger Blogger Templates create by Deluxe Templates. WP by Masterplan