2013年12月30日 星期一
我國實務近日個資刑事判決一則:於臉書上公布當事人匯款單照片,觸犯個資法(2013.12)
臺灣苗栗地方法院102年度易字第737號刑事判決(102.12.3):
所述犯罪事實:
劉○○係苗栗縣頭屋鄉象山社區發展協會舉辦「活力滿分,健康騎步走」自行車比賽活動之負責人,因詹○○不滿該活動主辦單位之處理方式,故於劉○○個人臉書(facebook)網站上留言,要求退還報名費新台幣(下同)500 元,劉○○乃未經告訴人詹○○同意,即於102 年1 月16日19時許前某時間,在苗栗縣頭屋鄉○○村○○鄰○○街○○巷○○號住處,利用電腦網路系統,公然於其個人臉書網頁上,揭露內含詹○○姓名、地址等個人資料之退款匯款單翻拍照片,使不特定人士得以瀏覽,已逾越回應詹○○詢問之必要範圍,致詹○○受有個人資料之隱密權遭受侵犯之損害。嗣詹○○於同年1 月16日19時許,在臺北市大安區通化街住宅開啟電腦臉書系統發現上情,經警據報循線查獲。
適用法條:
個資法§20第一項、§41第一項
判決結果:
被告所為係違反個人資料保護法第20條第1 項規定,而應依同法第41條第1 項處罰其非法利用個人資料罪,處罰金新台幣參仟元,如易服勞役以新台幣1000元折算1 日
說明:
我國實務及政府主管機關,在對於個資法§51條「個人行為」適用範圍不明確之情形下,民眾於Facebook上公開匯款予當事人之匯款單翻拍照片(姓名/地址),也吃上刑事官司,甚至被判決有罪(罰金3千元),因此提醒民眾對於此類網路言論應須特別注意,盡可能作到個資去識別化之細節,以免產生爭議!
2013年11月25日 星期一
2013.11 金管會最新公布個資安全維護辦法之分析及探討
個人資料保護法(下稱「個資法」)施行甫週年後,金管會於民國102年11月8日正式發布施行「金融監督管理委員會指定非公務機關個人資料檔案安全維護辦法」(下稱「金管會個資安全維護辦法」),雖以金控、銀行、證券、期貨、保險、電子票證、金管會主管財團法人,及其他經金管會所公告之金融服務業為適用對象,惟其所揭露相關個資安全管理概念及風險預防措施仍可能成為其他中央目的事業主管機關制定所轄產業規範之參考,實值得各產業相關企業重視,故本文謹就金管會個資安全維護辦法修訂重點整理分析及說明如下:
首先,金管會個資安全維護辦法要求金融機構等企業就其「個資檔案安全維護計畫」訂定及增修之核定須經「董事會決議」、「常務董事會決議」或「經董事會授權之經理部門核定」,以兼顧企業增修個資檔案安全維護計畫之彈性。
再者,為強化企業管理力度,金管會個資安全維護辦法進一步提出「重大個人資料安全事故」及「外部專家診斷機制」概念:當個資遭竊取、竄改、毀損、滅失或洩漏,而將危及「企業體正常營運」或「大量當事人權益」時,即構成重大個資安全事故,此時除個資法第12條基本應變、通報機制要求以外,並規範企業研議之矯正預防措施,應經公正、獨立且取得相關公認認證資格之專家,進行整體診斷及檢視之要件,即所謂「外部專家診斷機制」概念,以期企業得透過專門人員之輔助,在最短期間內展現矯正預防之成效。雖然,所謂「正常營運」及「大量」當事人概念,尚待實務案例累積及主管機關進一步闡釋,惟像是今年5月國內某大型銀行網站繳費中心因內部程式設計及內控程序瑕疵所爆發用戶個資外流,導致約33,000名用戶多達約57,000筆資料外洩一案,理解上係構成此事故應無疑問。
此外,為落實當事人個資保護,金管會個資安全維護辦法並針對提供網際網路進行商品或服務之廣告、行銷、供應、訂購或遞送等「電子商務」服務之企業,增訂「電子商務之資訊安全措施」要求,亦即企業至少應採取下列資訊安全措施:一、使用者身分確認及保護機制。二、個資顯示之隱碼機制。三、網際網路傳輸之安全加密機制。四、應用系統於開發、上線、維護等各階段軟體驗證與確認程序。五、個資檔案及資料庫之存取控制與保護監控措施。六、防止外部網路入侵對策。七、非法或異常使用行為之監控與因應機制,並要求企業體對於前述資安措施應定期演練及檢討改善,以降低因網際網路商業活動所造成個資事故風險。
同時,金管會個資安全維護辦法亦揭露企業應對於各項個資使用軌跡資料、實施安全維護措施及稽核之證據及記錄,於製作或產生該資料後保存5年,以作為主管機關檢查或日後爭議時舉證之證據。
承上所述,金管會個資安全維護辦法雖僅適用於金融產業,惟其所揭露之管理高度及概念,亦有可能為其他產業主管機關日後公布之產業管理規範所援引參照。基此,無論是否為金融產業,皆應體認到個資管理,不僅應從外顯性曝險事項管控,而須有更全面之管理思考。而對於此個資法施行動態,亦應有所意識,並宜儘早回應,以有效及合規地管理個資風險,避免未依規建置個資保護制度的行政罰鍰及遭主管機關公告違章企業等行政責任,進而降低個資不當利用及外洩之可能性,且得於訴訟審理過程中舉證企業已盡善良管理人的注意義務,降低民事損害賠償責任風險,以期在全民個資權利意識抬頭後,仍在隨之而來的個資爭議浪潮中,展現善盡個資保護的良好企業形象,進而維繫企業商譽及獲利。
2013年8月18日 星期日
近日民眾違反個資法之刑事判決(臺灣臺南地方法院102年度簡字第1199號刑事簡易判決)
判決字號:臺灣臺南地方法院102年度簡字第1199號刑事簡易判決
判決主文及理由說明:
「被告曾○○明知對於個人資料之利用,應於特定目的之必要範圍內為之,僅因社區地下停車場使用爭議,竟任意於臉書(Facebook)網頁,公開發表告訴人鄭○○之姓名及住所照片等個人資料,觸犯個人資料保護法第41條第1項之非公務機關未於蒐集特定目的必要範圍內利用個人資料罪,處拘役肆拾日,如易科罰金,以新臺幣壹仟元折算壹日。…」
相關法條:
個資法§51:「有下列情形之一者,不適用本法規定:一、自然人為單純個人或家庭活動之目的,而蒐集、處理或利用個人資料。…」
個資法§41:「違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規
定,或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分,足生損害於他人者,處二年以下有期徒刑、拘役或科或併科新臺幣二十萬元以下罰金。意圖營利犯前項之罪者,處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。」
解析:
相較於其他國家,就個資保護法規在考量到民眾間之地位及實力之相等,往往排除掉民眾間所生相關個資使用行為之適用,惟目前我國實務對於個資法第51條個人或家庭活動而排除個資法適用之範圍及見解,並不明確。從上述判決可以知悉,即使是私人生活所為相關個資使用行為,亦須相當注意,特別是在容易事後產生爭執之使用行為上(例如本事件鄰居間之吵架),須盡量避免使用完整個資、考慮去識別化,以免遭到對方動輒使用個資法追訴之困境。
判決主文及理由說明:
「被告曾○○明知對於個人資料之利用,應於特定目的之必要範圍內為之,僅因社區地下停車場使用爭議,竟任意於臉書(Facebook)網頁,公開發表告訴人鄭○○之姓名及住所照片等個人資料,觸犯個人資料保護法第41條第1項之非公務機關未於蒐集特定目的必要範圍內利用個人資料罪,處拘役肆拾日,如易科罰金,以新臺幣壹仟元折算壹日。…」
相關法條:
個資法§51:「有下列情形之一者,不適用本法規定:一、自然人為單純個人或家庭活動之目的,而蒐集、處理或利用個人資料。…」
個資法§41:「違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規
定,或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分,足生損害於他人者,處二年以下有期徒刑、拘役或科或併科新臺幣二十萬元以下罰金。意圖營利犯前項之罪者,處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。」
解析:
相較於其他國家,就個資保護法規在考量到民眾間之地位及實力之相等,往往排除掉民眾間所生相關個資使用行為之適用,惟目前我國實務對於個資法第51條個人或家庭活動而排除個資法適用之範圍及見解,並不明確。從上述判決可以知悉,即使是私人生活所為相關個資使用行為,亦須相當注意,特別是在容易事後產生爭執之使用行為上(例如本事件鄰居間之吵架),須盡量避免使用完整個資、考慮去識別化,以免遭到對方動輒使用個資法追訴之困境。
2013年4月17日 星期三
營業秘密法修正議題
文章轉引自 經濟部智財局
http://www.tipo.gov.tw/ch/News_NewsContent.aspx?NewsID=6630
營業秘密法修正案已於2月1日施行,增訂刑事責任,刑期最高到10年,罰金則到5千萬元,如果所得利益超過5千萬元,罰金更可能高達5億以上,不論企業或員工都應有所警惕及因應。經濟部為增進各界對於營業秘密法修正內容之認識,於今年3月份起於全台各大工業區及科學園區,辦理10場次說明會。
本次宣導說明會,外界關切的問題包括:營業秘密如何認定;客戶名單是否為營業秘密;研發技術人員跳槽,憑著個人累積知識在新東家工作,是否會有侵害老東家營業秘密的可能性;企業界如何自保,避免捲入侵權糾紛等等。
關於客戶名單是否為營業秘密,智慧局表示,營業秘密之法定要件有三,即「秘密性」、「經濟性/價值性」及「採取合理保密措施」,故任何方法、技術、製程、配方或可用於生產、銷售、經營之資訊,若符合上述要件,即可能成為營業秘密而受保護。
公司持有之客戶名單或經營據點等商業資訊,是否就是營業秘密,實務上仍須由法院依個案情況予以認定,沒有一定之標準。惟依據實務見解,建議公司可以針對該等資訊進行整理、分析,以提升該等資訊之獨特性,另應建立並落實一套可行的營業秘密管理機制,如此可以增加法院確認該等資訊為營業秘密之機率。
至於員工以累積的專業知識與技能,至新公司後自然地將其腦中具備的智識分享給新公司的成員,是否亦構成營業秘密之侵害?智慧局表示的確極具爭議性,因此該局將會在4月底召開的執法人員座談會中提出討論。智慧局認為,可以有幾個判斷基準可供參考:(1)該資訊係屬一般性資訊或特殊資訊,是否屬於老東家的特殊資訊;(2)老東家是否告知員工禁止使用特定資訊;(3)依員工能力高低判斷,員工是否有能力自已研發該特定技術。
由於這次修正內容增訂所謂刑事罰併同處罰規定,外界關切雇主如何主張免責,智慧局表示,必須由司法機關個案事實認定,雇主為避免舉證問題,可以在雇用新進員工時,先要求對方簽一份切結書,確認該員工並未從前公司攜帶任何營業秘密到新公司,以保證新公司並無取得其他公司營業秘密之意圖,且於在職期間加強員工教育訓練,督導員工尊重智慧財產權,避免侵害他人營業秘密等等措施,以防未來舉證困難度。
至於外界最關切的竊取營業秘密後,意圖在外國、中國大陸或港澳地區使用,如何蒐證或進行訴訟程序,智慧局建議公司平常即必須落實營業秘密管理機制並妥善蒐集相關事證,包括提供充分證據證明遭竊取之資訊確屬營業秘密,以及釋明員工確有不法取得、使用或洩漏公司營業秘密之行為。另外亦將於4月底召開之司法人員座談會中,與司法院、法務部等相關執法機關就該等問題妥予討論、溝通。
2013年4月11日 星期四
法務部法律字第 10203502790 號
問題二(將行車記錄器畫面放到網路上):
1.按本法第 2 條第 1 款規定:「本法用詞,定義如下:一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、......及其他得以直接或間接方式識別該個人之資料 。」同法第 51 條第 1 項第 2 款規定:「有下列情形之一者,不適用本法規定:......二、於公開場所或公開活動中所蒐集、處理或利用之未與其他個人資料結合之影音資料。」公務或非公務機關以行車記錄器所錄存畫面,如僅涉及不特定自然人影像,且未與其他個人資料結合者,尚無本法之適用(本部 99 年 4月 13 日法律字第 0999009760 號函、100 年 6 月 9 日法律字第 1000014276 號函、102 年 1 月 28 日法律字第 10203500150 號函參照)。
2.另公務或非公務機關以行車記錄器所錄存畫面,倘經與其他個人資料結合而成為能識別特定個人之個人資料,其將上開個人資料於網路上公布之利用行為,應於蒐集之特定目的範圍內,並符合本法第 16 條、第 20 條第 1 項規定要件,而為特定目的內利用。否則應符合本法第 16 條但書、第 20 條第 1 項但書所定法定要件之一(例如:法律明文規定、增進公共利益、為防止他人權益之重大危害、經當事人書面同意,或為免除當事人之生命、身體、自由或財產上之危險),始得為特定目的外之利用。
2013年3月26日 星期二
訂閱:
文章 (Atom)