台灣違反個人資料保護處罰之執行狀況

新舊法交接

近來,台灣新修正了快兩年之個人資料保護法究竟何時可以正式實施,各界討論爭議不絕。甚至近日法務部又已重新提報「個人資料保護法」修正草案至行政院,雖不排除無爭議條款先行上路,但結果如何仍不確定。

在舊法已不敷使用,新法何時實施又不得而知之際,究竟過去依舊法執行違反個人資料保護法令之狀況如何,目前主管機關又係如何因應此過渡階段,值得觀察。

少數明確可查之案例

今年(2012)三月,金管會公佈了一件保險經紀公司洩違法洩漏客戶個人資料之裁罰案件。但是,這些可以算是少數明確可以得知之案例。

第 一保險經紀人股份有限公司未經客戶書面同意,透過萬榮保險經紀人股份有限公司,將客戶個人資料提供遠雄人壽保險事業股份有限公司,並由遠雄人壽保險事業股 份有限公司進行電話行銷業務,金管會認定遠雄人壽違反電腦處理個人資料保護法第38條第1項第1款,及保險法第149條第1項第1款,罰處新臺幣10萬元 罰鍰。至於第一保經與萬榮保經之行為,則被依違反保險經紀人管理規則第9條第25款之規定,各被罰處新臺幣60萬元罰鍰。

這個案例令人想起,其他台灣過去數年來,曾經媒體披漏不少違反個人資料保護法令社會案例,引起喧然大波,例如:2011信義房屋洩漏 5,000 筆求職者資料,同年台新銀行約 20,000 筆客戶個資外洩案件,以及今年初知名3C連鎖通路商燦坤網路購物客戶資料外洩等事件,但是,後來的處罰與賠償究竟是如何呢?似皆未知。

違反個資法處罰之主管機關

究竟台灣違反個人資料保護案件處罰之主管機關為何?

現行電腦處理個人資料保護法規定,僅適用於特別規定之行業,例如:金融業、電信業、大眾傳播業、醫院、學校…等。而違反該法者之行政處罰,係由各行業之目的事業主管機關負責。因為目前各該目的事業主管機關中僅有少數,例如:金管會,設有公開查詢違反個資法處罰結果的管道,因此不易得知處罰之案例或結果。

未來,在新個人資料保護法實施後,法務部雖會是主要之聯繫機關,然而主要之權責與處分機關仍為各個目的事業主管機關。其是否將有如何之查核與處分政策與措施,不得而知。

行政裁罰

在過去之處罰案例中,除了金管會在 2009、2010 各有一件銀行因未落實資訊安全管理,致客戶資料外洩,而各被處罰新台幣400萬元,算是較重大的處罰先例外。其餘,並未見有重大處罰的案例,一般皆為數萬元新台幣之罰鍰而已。而且前述 400萬元處罰,皆係依據銀行法,違反內部控制及稽核制度而受罰,而非依據電腦處理個人資料保護法所作之處罰。大概實在是因為現行違反電腦處理個人資料保護法之罰鍰,最高也不過是10萬元而已。

本文最前述及今年三月,金管會裁罰之第一、萬榮保險經紀公司違法洩漏客戶個人資料之案件中,其對遠雄人壽依據電腦處理個人資料保護法所作之處罰,亦為10萬元而已,可見一斑。

民事損害賠償

至 於台灣過去主張因為違反電腦處理個人資料保護法,而訴請民事損害賠償的案例,並不是沒有,但成立的案例較少,獲得之賠償也幾乎均不高。例如:在過去10年 之內,台灣的高等法院大約處理了三、四十件主要依據違反電腦處理個人資料保護法而主張之損害賠償案件,但其中僅有約三、四件勝訴,而且所所獲之賠償數額, 也僅在數萬元之譜而已,最高賠償未超過 80,000元。成立賠償的案例,多數為未採取適當保護措施,或因過失致客戶個人資料外洩。

刑事犯罪

至 於刑事犯罪之認定,在過去 10 年之內,台灣高等法院大約曾有100 多件因違反電腦處理個人資料保護法而被訴之刑事案件,其中大約有六成被判處有罪,但因為違反電腦處理個人資料保護法通常在該犯罪事實中,為刑責較輕之罪, 因而實際上多以其他較重之罪判刑;縱屬單因違反電腦處理個人資料保護法而被判刑者,其刑度也均不高,有多被判處易科罰金,或緩刑,顯然嚇阻效力不大。成立犯罪處罰的案例,多數為未經合法許可擅自蒐集個人資料,或洩漏客戶個人資料以獲取不當利益。

新法上路可期

綜上,台灣過去對於個人資料之保護,不僅法令不夠周全,因而有須重新修法,而且就該法之行政執行與法院保護,似皆有所為不足。目前,有人主張新法修正後之處 罰太重,建議重新考慮。但是其實無論新法將會如何定案,主管機關能夠切實嚴謹地之執行法令,與法院之合理判決,恐怕也都是十分重要的一圜。