我最近接了新型態的案子,大致上是某大型會員組織私人企業,利用客戶資料做很多客戶不知情的事,其中我們較常見的是申請大哥大門號,信用卡……較罕見的是申請銀行個人信用貸款;後者須銀行配合作業 …面臨的問題是:作為被冒用身分的會員究竟應如何對應?反過來說,公司組織如何面對他客戶資料外洩所產生的法律責任?
我也常坐在事務所中接到詐騙集團電話,而且從來沒中斷過。我的客戶也會接到匿名電話到他的手機為恐嚇。前者是我的電話號碼如何外流?後者是為何我客戶不能查出匿名者?除非透過檢警或特別手續……法律到底保護誰?
因為科技進步,各機關公司都陸續使用新方法為通訊或付款,這同時需要個人機密資料的配合輸入,使用的消費者一樣負某種程度的責任風險;台北地方法院91年簡上字第465號判決認為「如謂無上訴人之協助,實難以想像。而上訴人自認為公司負責人,理應有能力在電子交易盛行之現代社會,審慎保護自己,包括個人生日、初始碼後立即進入系統設定新密碼等等,以防範非法使用個人資料,是故,被上訴人銀行亦得期待使用人具有此等之合理使用之消費意識及自我保護能力,則其設定〈指銀行電話語音轉帳〉已具備通常可合理期待之安全性,」我解釋一下法官這部分意見是…一個 公司負責人理應足能夠使用銀行電話語音轉帳系統,從而知道如何用該系統設定保護自我〈不能出了狀況便一味責怪銀行或系統設備〉。
總而言之,一方面,大企業利用或外洩客戶的資料,另一方面,當你向銀行或企業要你的個人的〈財務〉資訊時,竟然被「依法」拒絕,姑且不管是否真的依法;我的觀察是:在台灣,個人與企業抗衡之力量是非常薄弱的。尤其是越大的企業態度越是傲慢於處理此種類事件。是否公權力應介入了?立好法才能啟動適當充足的公權力。
但他山之石,是否足可參考?2006年1月26加州某公司Choice Point 因為洩漏客戶資訊未為適當安全處理,被美國聯邦貿易委員會FTC控訴,達到和解的代價是:1000萬美金的民事罰金,500萬美金的消費者賠償。在這各案,有163000名消費者受影響,800人被確認為身分竊盜的受害者。更積極的, FTC禁止這公司將消費者資訊提供給任何無合理合法目的之第三人。FTC同時命令這公司在未來20年須維持並執行相當的安全措施並每2年應提出由第三專業人士做成之監查報告。至今全美已有23州立法課求各企業組織公告及通知因其資訊安全被破壞時之受害消費者。
日本2006年2月15日執政黨提出個人資料保護法的部分修正草案,主要係對企業內員工非法洩漏消費者資料給外界第三人時,對該員工課與刑事責任徒刑或罰金。
目前台灣可期待的是「個人資料保護法修正草案」〈從目前電腦處理個人資料保護法修正而來〉,但何時通過卻未知數,我們每一個人都應注意並推促這個法案的通過,因為我們可能早已是『身分竊盜』的受害者卻渾然不知。 遠華通國際 法律事務所桂 梅 君 律師