網購業者的個資利用限制與保存責任

一、前言

    在網購交易中，業者往往會因此取得消費者的許多個人資料，例如姓名、連絡電話、地址、帳號或信用卡號等，而網購業者對於上述個資的處理、利用與保存，也必須遵守個人資料保護法(以下簡稱個資法)所規定的要件與注意義務，以下說明之。

二、個人資料之利用應符合特定目的或單獨明示之同意

    消費者提供自己的姓名、電話及地址等個人資料，目的是在讓網購業者能將商品正確地寄送到指定的地點，因此網購業者就所取得的個人資料，除用於寄發商品外，可否作為事後行銷或營利使用，需符合個資法的規範，依個資法第2條第5款規定：「利用：指將蒐集之個人資料為處理以外之使用。」，而同法第20條第1項規定：「非公務機關對個人資料之利用，除第六條第一項所規定資料外，應於蒐集之特定目的必要範圍內為之。但有下列情形之一者，得為特定目的外之利用：一、法律明文規定。二、為增進公共利益所必要。三、為免除當事人之生命、身體、自由或財產上之危險。四、為防止他人權益之重大危害。五、公務機關或學術研究機構基於公共利益為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。六、經當事人同意。七、有利於當事人權益。」由上述規定可知，除非經當事人同意或對當事人權益有利，否則於商品交付後，網購業者原則上即不得再利用消費者的個資進行行銷之用，且當事人的同意必須是經過明確告知特定目的外之其他利用目的範圍及其同意與否之影響後單獨所為(個資法第7條第2項)，故網購業者若想事後利用消費者個資來進行行銷(例如寄發商品目錄或DM)，就必須事前明確告知消費者使用範圍及其權益，且讓消費者對此單獨而明確表示同意，並在消費者拒絕接受行銷後立即停止，網購業者若違反上述個資利用的限制，消費者除可請求財產上及非財產上之損害賠償外(個資法第29條第2項準用同法第28條第2項至第6項)，直轄市、縣(市)政府亦可依據個資法第47條、第48條要求限期改正，並對屆期未改正者處新臺幣5萬元以上50萬元以下之罰鍰。

三、個人資料之保存應採行適當之安全措施

    網購業者對於其所保存之消費者個資，依個資法第27條之規定，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏，而違反上述規定致消費者個資遭不法蒐集、處理、利用或其他侵害權利之情形時，應負損害賠償責任。最常見的類型便是個資遭詐騙集團盜取後，再藉著正確的資料使消費者因此受騙匯款，對於此類情形，網購業者是否應負賠償責任？賠償責任的範圍為何？司法實務上有不同的看法。

    臺灣士林地方法院109年度湖簡字第1959號判決認為：「然而考量詐騙集團介入行為對損害結果之強度，遠超乎原先個人資料外洩之影響，且屬故意犯罪行為，被告亦無防止該第三人不法行為之契約或法令上義務，堪認詐騙集團對原告施以詐術之故意行為業已中斷被告過失使資料外洩結果與原告財產上損害間之因果關係。且被告於系爭網站平台首頁及購物車頁面已設有常態性之防詐騙宣導，於訂單成立或出貨時，再以簡訊及電子郵件發送防詐騙之提醒訊息『切勿聽從指示至ATM操作設定或提供信用卡資料』等內容，此有原告提出訂購通知函，及被告提出網站頁面截圖、出貨紀錄、109年4月2日簡訊提醒可佐。原告即應對此一詐騙技倆有所警覺，然原告未有所警覺，因其個人疏忽而誤信詐騙集團伎倆，致被詐騙集團詐騙。換言之，被告系爭網站平台內客戶資料之外流，固係對於原告隱私權之侵害，然衡諸一般情形，資料外流並不必然發生客戶受詐騙且受有財物損失之侵害結果，原告財物之損失係因詐騙集團成員積極實施詐騙行為所致。此亦可由證人證稱165詐騙專線提及反應詐騙的案件有142件，但回報實際受害的件數為21件，比例僅占一成餘，亦可說明被告之過失行為與原告之財物損失結果之間，難謂有相當之因果關係。是以，依前揭說明，原告依個人資料保護法第29條第1項、民法第184條第2項規定，要被告就原告遭詐騙所受財物損失負責，並非可採。」、「本件原告個人資料因被告之疏失而為詐騙集團不法取得，致原告個人資料外洩而侵害其個人隱私權，自屬不法侵害他人隱私權，並造成原告精神承受壓力，堪足認定，則原告自得依上開規定請求被告賠償非財產上之損害。」

    但臺灣臺南地方法院106年度南簡字第1450號判決認為：「從而，被告未依法採取訂立個人資料檔案安全維護計畫及稽核機制等防免個資遭竊取或外洩之安全措施，致原告之個資外洩情事，被告過失行為與原告個資外洩之損害間具備相當合理關聯，即推定有一般因果關係存在，被告自應提出確切反證始足推翻該因果關係之認定。本件原告之請求乃被告違反個資維護義務致個資外洩之侵權事實，被告迄未就其違反前開法定義務與原告個資外洩間欠缺相當因果關係提出說明或確切反證，自堪認原告主張被告未盡法定維護義務，致其個資外洩而侵害其個人資料隱私權一節為可採，則原告依個人資料保護法第29條、第28條第2項規定，主張前開財產上損害257,622元、非財產上損害2萬元，於法有據。」、「而查，本件原告係因個人資料外洩，遭第三人詐騙而為前開匯款、轉帳及購買遊戲點數等行為，致受有前開財產上損害257,622元，業如前述，然衡以現今社會詐騙集團橫行，遭詐騙事件層出不窮，電視新聞、報章媒體多年來均對此類事件多所報導及分析，政府及警政機關亦常製作相關宣導影片，希冀社會大眾提高注意可疑事件，如有疑問請多加利用警政機關之反詐騙專線電話，避免受騙而遭受損害，而原告於本案發生時，為具有相當智識之成年人，對上開社會及生活經驗應甚為理解，理應對此社會常見之詐騙犯罪類型有相當之警覺性，然竟疏未注意，多次聽從歹徒指示以同一方式多次購買遊戲點數與匯款，致受騙而生損害，是認原告就本件損害之發生，亦與有過失。本院斟酌本件事故發生之一切情狀，認原告應負擔三成之過失責任，被告應負擔七成之過失責任，始為公允。」

    從以上兩則判決可知，法院在網購業者是否應對於消費者個資外洩致受詐騙之損害負賠償責任乙情，仍存有不同的意見，但均認為消費者可請求非財產的損害賠償，因此，網購業者自應更加謹慎地保管消費者的個資，以避免遭消費者依法求償。

四、綜上，對於網購交易中所取得的消費者個人資料，業者除使用在寄送商品此一特定目的外，其他之利用行為包含行銷在內，應徵得消費者的明確同意，並在消費者拒絕接受行銷時即刻停止；而在個資的保管上，網購業者也應採取適當的安全措施避免外洩，否則消費者若因此受有不法侵害，亦可對業者請求財產上及非財產上之損害賠償。