您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。

法律彙編

請以左右鍵切換精選案例(最左邊)、自我評量(左邊)、評量解析(右邊)、下載專區(最右邊)之頁籤

類別:資訊保護【編號:S10606國家機密保護法修正通過後,涉密人員退職或不再保管機密者將持續出境管制至少3年

【焦點話題】

主管機關考量國家機密攸關整體國家安全或利益,為強化涉密人員之管理機制,爰進行國家機密保護法之修正,相關草案已經行政院院會通過,並送請立法院審議。修正後將刪除涉密之退離職或移交國家機密人員之「管制期間縮短」規定。且為因應目前面臨之境外威脅,並為嚇阻不法洩漏國家機密事件發生,草案亦新增、另列關於洩漏、交付、刺探經核定之國家機密或報請核定國家機密之事項予外國、大陸地區、香港、澳門或其派遣之人者之規定,並增訂預備或陰謀犯之處罰;而當前述違法事項所涉國家機密屬於絕對機密者,更有加重其刑至二分之一等相關規定。

【參考資料來源:中時電子報,106/7/6】

【重點摘要】

  1. 為強化涉密人員及退離職或移交業務人員之出境管理機制,修正退離職或移交業務涉密人員之出境管理期間雖得調整延長,但不得縮短。
  2. 為因應與更有效防範目前外國、大陸地區、香港、澳門之威脅,國家機密保護法修正草案,修正另列關於洩漏、交付、刺探或收集經核定之國家機密或報請核定國家機密之事項予外國、大陸地區、香港、澳門或其派遣之人者之處罰規定。

【法律觀點】

政府資訊公開與否,應以原則公開、例外禁止公開之模式為之[1][2],而公開政府資訊之目的,在於便利人民共享及公平利用政府資訊,保障人民知的權利,增進人民對公共事務之瞭解、信賴及監督,並促進民主參與[3]。如資料涉及國防、軍事及外交政策等,且如其公開或揭露,可能危及國家生存或安全時,即有限制或禁止公開之可能;國外立法例上亦有類似之規定。

國家機密保護法之立法目的,在於建立國家機密保護制度,並確保國家安全及利益[4];而為因應境外威脅及減少不法洩漏國家機密事件發生之風險,並考量國家機密係攸關國家安全、利益,故該法本即定有涉密等人員之出境管制規定。而為避免實務運作時,各機關寬認該法關於縮短出境管制期間之規定,以致保護強度降低,並為因應及更有效防範來自境外之威脅,行政院於106年7月通過法務部擬具之國家機密保護法修正草案,並送請立法院審議。該草案刪除出境管制期間縮短之規定[5]、調整將與國家機密相關事項(包含已受核定、報請核定中之事項)洩漏或交付予境外區域或其人員,或為其刺探、收集國家機密相關事項者之處罰[6][7][8]

管理Tips

國家機密為國家生存之本,對於組織而言亦同,對於現正管理或持有國家機密,或曾持有或管理者,均應有適當程度之規管。

組織成員除依相關法令對所掌握之機密資料負有保密義務外,組織於員工就職時即應開始進行管理,除簽訂保密條款等必要事項,尚須防範日常執勤時的資料外洩,並建立完善離職程序,確認離職前其所掌握之機敏資料不被攜出,以避免日後紛爭。

相關標準

ISO 27001:2013(CNS 27001)

  1. A.7.2.2  資訊安全認知、教育及訓練
  1. 標準內容:

組織所有員工及相關之承包者,均應接受與其工作職能相關的組織政策及程序之適切認知、教育及訓練,並定期更新。

  1. 適用說明:

組織應對相關員工進行教育訓練,以使其知悉法規內容,並使人員瞭解資安之重要性,以降低因人員故意或過失導致組織機密外洩之風險。本案中所提到之法律及其修正草案即包含關於洩漏、交付、刺探或收集國家機密相關事項之禁止規定與相關罰則,組織應使人員知悉上開規定及罰則之內容,以降低非法情事之發生與致生損害之可能。

  1. A.7.3.1  聘用責任之終止或變更
  1. 標準內容:

應對員工及承包者定義、傳達於聘用終止或變更後,資訊安全責任及義務仍保持有效,並執行之。

  1. 適用說明:

組織之人員其因業務所知悉之資訊,如有應保密者,不僅因其職務中止或變更,即解除保密義務。本案中,依國家機密保護法規定,持有機密之人員在退離職、業務移交後,仍負有保密義務,且如因故意或過失造成機密洩漏者均有相關罰則,組織應確實傳達此規範內容,期能有效警惕離職之涉密人員,避免機密資料外洩。

類別:資訊保護【編號:S10607「數位通訊傳播法草案」針對煩人的商業電子訊息加以規範

【焦點話題】

通訊傳播主管機關公佈數位通訊傳播法草案[9]具體內容,而許多民眾深受其擾的商業電子訊息,亦在該草案之規範範圍內。依數位通訊傳播法草案規定,商業電子訊息的發送方必須在訊息中提供當事人可選擇「拒絕接收」之免費回傳機制和聯絡方式。發送方於接獲當事人拒絕其發送之通知時,應立即停止發送同類商業電子訊息。該條草案之立法說明中則指出,違反該規定者,其發送即為不法之發送,且發送方應負民事損害賠償責任。

【參考資料來源:ETNEWS,106/1/4】

【重點摘要】

  1. 電子郵件信箱或通訊軟體帳號等資訊,如蒐集者能將之與其他資料對照、組合、連結而得識別特定個人時,即屬個人資料保護法(下稱個資法)所保護之範疇,使用該等資料須符合法定要件;且利用該等資料進行行銷時,亦須符合個資法諸如行為人須提供當事人表示拒絕之方式等規定,若違反者,並有對應之罰則規定。
  2. 縱然未利用個人資料,依數位通訊傳播法草案之規定,行為人於發送商業電子訊息時,應提供接收之當事人得免費表示拒絕繼續接收之機制,且應標示為商業訊息並提供接收人關於發送方之聯繫資訊。

【法律觀點】

目前業者常以發送商業電子訊息之方式,進行商品或服務之行銷,而其所利用之電子郵件等聯絡方式,如依具體情形,堪認屬個資法所指個人資料時[10],則受到個資法之保護,必須符合法定要件方可蒐集、處理,且原則不得為特定目的外之利用[11]。且個資法對於利用個人資料於行銷者,亦有相關要求,例如應於首次行銷時提供免費之拒絕方式,而當事人拒絕時,應停止利用該個人資料為行銷等[12];而違反相關規定者,亦有對應之罰則。

在數位經濟時代中,為保障資訊自主選擇與不受他人幹擾之權利,並兼顧數位經濟之發展,縱然未涉及個人資料之利用,建立與商業電子訊息相關之行為守則[13]仍有其必要性。按數位通訊傳播法草案規定,商業電子訊息之發送方於發送時,應提供收受方之當事人得拒絕接收(opt-out)之適當方式;且發送方於接獲拒絕接受訊息之通知時,應立即停止其發送行為[14]。而為使當事人於開啟商業電子訊息前,即有辨識及過濾商業電子訊息之可能,發送方於發送時應清楚標明聯繫資訊,並於內容之適當位置,標註商業識別資訊。此外,為維護當事人之權益,數位傳輸傳播法草案,亦明定發送方不得隱匿或變造信首資訊及足資識別為商業訊息之資訊[15]。如發生私權爭議時,當事人則可向法院依民事訴訟法規定聲請定暫時狀態處分[16],以茲救濟。

管理Tips

濫發電子商業訊息可能造成網路容量壅塞及系統資源虛耗,除可能影響民眾使用網路服務之意願,在利用民眾個人資料進行電子商業訊息發送之情形,除非符合特定目的及其他個資法相關規定,否則亦有違法之可能。因此,組織於使用電子商業訊息為行銷時,應注意是否符合法律規定,諸如相關資料是否經合法取得與使用、有無清楚表明為商業行銷、是否提供當事人得拒絕接收之機會與適當方式,以及是否設有機制,以利在當事人拒絕接受時,即停止電子商業訊息之發送。

同時,為避免觸法情形發生,組織應對發送電子郵件之行銷作業流程予以掌握,避免發生人員在不符合法要件之情形下,對外執行發送商業電子郵件等行銷行為;並應確實建立起相關之資訊安全管理機制,並落實於組織作業流程中。

相關標準

ISO 27001:2013(CNS 27001)

  1. A.18.1.4 個人可識別資訊之隱私及保護
  1. 標準內容:

應依適用之相關法令、法規中之要求,以確保個人可識別資訊之隱私及保護。

  1. 適用說明:

組織應辨識出個人資料以及相關法定要求,以利當事人依數位通訊傳播法(如獲通過)或個資法請求拒絕行銷時,組織得即時依法因應。

ISO 29100:2011(CNS 29100)

  1. 5.2 同意及選擇
  1. 標準內容:

堅持同意原則,意指下列事項。

-向個人可識別資訊(personally identifiable information, PII)當事人表明,以選擇是否允許處理其PII,除非PII當事人無不同意之自由,或所適用法律允許無須該自然人同意即可處理PII。PII當事人之選擇必須是自由提供、特定且基於充分理解。

-取得PII當事人選擇加入之同意以蒐集或其他方法處理敏感PII,除非適用之法律允許無須該自然人同意下處理敏感之PII。

-於取得同意前,通知PII當事人關於其在個人參與及存取原則下之權利。

-於取得同意前,向PII當事人提供以公開、透明及告知原則所表明之資訊。

-向PII當事人解釋給予或不予同意之涵義。

宜制定條款,提供機會讓PII當事人選擇如何處置其PII,及允許PII當事人方便且免費撤回同意。此要求宜依隱私權政策辦理。即便撤回同意,PII控制者可能需持有某些PII一段時間,以便遵循法律或契約義務(例:資料持有、可歸責性)。無須同意,即可依法處理PII時,宜儘可能告知PII當事人。當PII當事人有撤回同意之能力並選擇撤回時,除非法律強制,不宜為任何目的處理該PII。

對PII控制者而言,堅持選取原則,意指下列事項。

-對PII當事人就有關其PII處理在蒐集、初次利用或爾後適用時,儘快提供清楚、明確、易懂、可取得及可負擔之機制,以便其行使選擇及給予同意。

-實作PII當事人於其同意中表達之取捨。

此外,可定義於同意以外(例:合約績效,PII當事人及其重要之利益、或法律之遵循)處理PII之額外條款。某些實例中,適用之法律規定PII當事人之同意並不構成得以處理PII之充分法律基礎(例:未成年者在無父、母或監護人許可下,所給之同意)。此外,PII之國際傳輸需考量額外之要求事項。於處理或傳輸資料前,遵循上述額外條款係PII控制者之責任。

  1. 適用說明:

組織於處理個人可識別資訊時,其程序、機制應可被檢驗且透明,並使該資訊之權利人知悉蒐集、使用之目的、處理及保存方式等。如此可使相關權利人對組織產生信任,亦可幫助避免濫為蒐集、處理或利用權利人資料行為之發生。依數位通訊傳播法草案或個資法之要求,組織利用個人資料為行銷時,該資訊之取得、處理及利用除應符合法律規定外,於當事人拒絕行銷時,組織亦應依其要求停止發送商業電子訊息。

類別:資訊監察【編號:M10608監看電郵惹議 美國安局宣佈停止

【焦點話題】

美國國安局(National Security Agency)日前宣佈將停止監看部分監看對象之電子郵件和簡訊等通訊紀錄;按該國之外國情報監控法(Foreign Intelligence Surveillance Act)第702節,係允該局於完備一定程序之前提下,蒐集其人民與外國人間可能涉及恐怖主義威脅等電子郵件或簡訊之通訊內容;然該等規定引發公民自由團體強烈抨擊,並要求應修正、限制法規之適用,否則將阻撓年底該法第702節之適用期限之展延。

【參考資料來源:中央社,106/4/29】

【重點摘要】

  1. 通訊保障及監察法(下稱通保法)所定辦理及准許通訊監察所需具備之要件,包括重罪原則、必要性、關聯性、令狀原則、事中監督以及事後通知等。
  2. 通保法規定電信、郵政業者有協助執行通訊監察機關進行通訊監察之義務。且電信業者必須建置且維持足夠的通訊設備以為通訊監察之用。

【法律觀點】

自從911後,世界各國以維安為由開始加強各種管制措施。按美國外國情報監控法規定,於當局進行情報監察時,需透過該法所設立之外國情報監視法院,依據美國外國情報監控法,核發監察令[17]

我國之通訊監察相關規範,係以通保法作為政府機關進行通訊監察之依據;依通保法規定,當調查發現相關情事可能危害國家安全之情節重大、通訊內容與案件相關,且無法以其他方式進行調查時,得發通訊監察書進行監察。有關通保法准許通訊監察之要件如下:一、重罪原則,涉犯三年以上有期徒刑之罪及其他所列舉之重罪者[18];二、必要性,須無法以其他方式為調查者;三、關聯性,通訊內容與案件相關者;四、令狀原則,須視情況由法院或綜理國家情報工作機關首長核發通訊監察書,由情報機關首長核發者,並須經法院事後補行同意;五、事中監督[19],每十五日至少作成一次以上之報告書;六、事後通知,通訊監察結束後應通知受監察人[20]

而為有效進行通訊監察,電信業者有義務提供設備,以利相關權責機關依法進行監聽等監察作業。且電信業者必須在合理範圍內建置、維持足夠的通訊設備以為監察之用[21]。當有關機關於進行通訊監察時,須符合相關法令規定,如違法監察他人通訊時,違法人員可處5年以下有期徒刑,若不法行為係意圖營利者,則最重可處7年以下有期徒刑[22];違法監聽取得之資料均應沒收[23],亦無證據能力;此外,違法監聽時亦須負損害賠償責任[24]

管理Tips

公務機關對於資訊保護與資訊(通訊)監察間應取得平衡,這也是為什麼通訊監察結束後,原則上必須針對受監察人為事後通知,使其知悉有通訊監察之情事發生。若以通訊監察之透明化角度思考,如通訊監察得以透明化,可有助於降低政府濫權監聽之可能,亦有助於政府運作之穩定性、透明性,此外,透過事後監督之檢視,得以釐清受監察人是否遭受侵害,以保障相關人員之權益。

相關標準

ISO 29100:2011(CNS29100)

  1. 5.8 公開、透明及告知
  1. 標準內容:

堅持公開、透明及告知原則,意指下列事項。

-提供予個人可識別資訊(personally identifiable information, PII)當事人,關於PII控制者對於處理PII之政策、程序及實務的清楚且易取得之資訊。

-告知中包括,處理中之PII、處理目的、PII可能接露對象之隱私權利害相關者型式,以及PII控制者身份含PII控制者之聯絡資訊。

-接露PII控制者提供予PII當事人之選擇及方式,以限制處理、存取、修正及移除其資訊。

-當PII處理程序發生重大變更時,告知PII當事人。

可要求包含PII處理邏輯之一般資訊的透性,尤其是PII處理涉及影響噹事人之決策時更應如此。處理PII之隱私權利害相關者宜使大眾容易取得關於管理PII有關之政策及實務的特定資訊。適當時,宜在內部紀錄及溝通,所有影響PII處理之契約義務。亦宜對外溝通該等契約義務之非機密範圍。

此外,PII處理之目的宜足夠詳盡,以便使PII當事人瞭解下列事項。

-所規定目的所要求之規定PII。

- PII蒐集之所規定目的。

-所規定之處理(包括蒐集、溝通及儲存機制)。

-將存取PII及PII可轉移對象之授權自然人的型式。

-所規定之PII資料持有及廢棄要求。

  1. 適用說明:

組織於處理個人可識別資訊時,其程序、機制應可被檢驗且透明,並使該資訊之權利人知悉蒐集、使用之目的、處理及保存方式等。如此可使相關權利人對組織產生信任,亦可幫助避免濫為蒐集、處理或利用權利人資料行為之發生。我國機關辦理之通訊監察,為使當事人瞭解受監察之範圍,以及是否有權益受侵害等情形,按通保法相關規定,除係為避免國家安全遭受危害而對外國勢力或境外敵對勢力情報之蒐集必要者外,執行機關應於通訊監察結束後,將通訊監察內容告知受監察者。

 

類別:資訊監察【編號:M10609澳洲防恐 逼臉書等交加密訊息

【焦點話題】

由於恐怖分子及犯罪集團等,利用諸如社群媒體等方式進行犯案訊息傳遞之作法日盛,澳洲警方對於目前僅能得透過電信商取得資料之方式感到不足,冀望可透過立法程序來增加相關規定,以利檢警執法。因此,澳洲政府將提出新法案,強制臉書、WhatsApp等社群媒體,向警方提供恐怖分子等嫌犯之加密訊息,若新法通過後,當局將可自相關網路公司取得經加密之資料,且電子裝置生產商、科技公司等亦需協助執法人員攔截及解讀犯嫌所發出之訊息。

【參考資料來源:世界日報,106/7/15】

【重點摘要】

  1. 訊保障及監察法(以下簡稱通保法)規定電信、郵政業者有協助執行通訊監察機關進行通訊監察之義務。且電信業者必須建置且維持足夠的通訊設備以為通訊監察之用。
  2. 電子通訊軟體業者並非電信業者,因而權責機關尚無法依通保法要求此類業者協助辦理通訊監察,且許多電子通訊軟體業者屬外國公司,伺服器亦設於國外,實質上亦不易向其要求提供協助。

【法律觀點】

我國之通訊監察相關規範,係以通保法作為政府機關進行通訊監察之依據,其立法目的在於保障人民秘密通訊自由及隱私權不受非法侵害,並確保國家安全,維護社會秩序[25]

依通保法規定,當調查發現相關情事可能危害國家安全之情節重大、通訊內容與案件相關,且無法以其他方式進行調查時,得發通訊監察書進行監察。有關通保法准許通訊監察之要件如下:一、重罪原則,涉犯三年以上有期徒刑之罪及其他所列舉之重罪者[26];二、必要性,須無法以其他方式為調查者;三、關聯性,通訊內容與案件相關者;四、令狀原則,須視情況由法院或綜理國家情報工作機關首長核發通訊監察書,由情報機關首長核發者,並須經法院事後補行同意;五、事中監督[27],每十五日至少作成一次以上之報告書;六、事後通知,通訊監察結束後應通知受監察人[28]

故如事涉國家安全,而相關權責機關依通保法規定得為合法之通訊監察時,電信業者有義務提供設備,以利相關權責機關依法進行監聽等監察作業。且電信業者必須在合理範圍內建置、維持足夠的通訊設備以為監察之用[29]

然電子通訊軟體業之業務,看似與電信業務相似,但目前並未被認定為電信事業[30],且電信法規亦未將其納入第一、二類電信業者管理[31],故權責機關尚未能將電子通訊軟體業認定為電信事業,並依通保法之相關規定,要求此類業者配合辦理通訊監察事務。

又,許多電子通訊軟體業者為外國業者,其伺服器亦常設於國外,執法機關因管轄權問題,時有無法請求業者提供必要協助之狀況。有論者認為,應修正電信法,將電子通訊軟體業者納入電信法之管理範圍,以要求電子通訊軟體業者配合執法機關依法進行通訊監察。惟於修法時仍應謹慎避免因反恐或其他執法事由,而任由政府輕易監控民眾;在反恐與人權間如何取得平衡,是規劃修法時,務必加以正視之課題。

管理Tips

未來對於電子通訊軟體應如何管理,宜以基本人權與國家安全間之平衡為原則,依通保法第1條,公務機關於進行通訊監察任務時,對於通訊監察之申請,應符合比例原則,尤應以相當性、必要性等原則為依歸。

其次,雖我國目前對電子通訊軟體進行通訊監察之相關法規,仍待訂定,然於相關法規完備後,所進行之通訊監察,亦應具備有效之管理措施,以避免相關疏漏、誤失之發生,諸如機關於辦理監察之申請、執行前準備、執行時、執行後,均須注意控制風險避免疏失、符合相關法令,以及紀錄留存等事務之辦理。

相關標準

ISO 27001:2013(CNS 27001)

  1. A.18.1.1 適用之法規及契約的要求事項之識別
  1. 標準內容:

對每個資訊系統及組織,應明確識別、文件化及保持更新所有相關法律、法令、法規及契約要求事項,以及組織為符合此等要求之作法。

  1. 適用說明:

組織應瞭解並依循其應適用之法令,進行相關業務之執行,以避免觸法。本案如為我國國安單位基於防恐而欲進行通訊監察,目前所適用之法規應屬通保法,依該法之規定,針對通訊監察應符合重罪原則、必要性原則、關聯性原則、令狀原則等辦理原則,且該法亦規定須配合之業者為電信、郵政業者,故若欲要求電子通訊軟體業者配合通訊監察,宜進行通保法之修法或另立新法,以供日後執行時之依歸,並符合依法行政原則。

類別:資訊保護【編號:S10610英商惡搞合約 2萬人同意1千小時社區服務換免費WIFI

【焦點話題】

許多人於消費時均未對所同意之契約條款進行瞭解,而英國某WIFI供應商為使消費者認知到謹慎審視契約條款之重要性,日前將「要求消費者須提供一1千小時之社區服務」條款加入WIFI服務契約中;約2萬人疑未審視條款內容即簽署契約。該公司表示,其無意要求消費者履行該條款,此舉係為提醒消費者,若未瞭解相關契約條款,可能在不知情的情況下同意不需要的加價服務或有違己願之契約條件;例如消費者可能因此授權業者取得與契約履行無關的私人資訊如網路瀏覽數據等。而在此之前,另一英國網路安全公司亦曾於2014年於倫敦進行了類似的實驗,該實驗中消費者可使用免費WIFI,惟須拿小孩做為交換;實驗亦發現許多消費者同意該契約條件。

【參考資料來源:自由電子報,106/7/16】

【重點摘要】

  1. 契約條款如係企業經營者為與多數消費者訂立同類契約之用,而預先擬定並提出者,其即屬於定型化契約,此類契約係由企業單方擬定,消費者應仔細確認內容,以避免不必要之糾紛。
  2. 依民法、消費者保護法(下稱消保法)與定型化契約相關規定之意旨,此類契約之條款應符合平等互惠原則、誠信原則,且不得有違公共秩序、善良風俗,違反者無效。
  3. 若契約約定蒐集之資料屬個人資料者,則有個人資料保護法之適用,相關資料必須符合法定要件方可蒐集、處理,且原則不得為特定目的外之利用。

【法律觀點】

網路服務業者若於其服務契約之條款中,加入諸如需蒐集使用者資訊等要求,而該等資訊若屬個人資料保護法所稱之個人資料者,應受個人資料保護法之規範,須符合法定要件方可蒐集、處理,且原則並應在符合特定目的之前提下方能利用。

服務提供者如為企業經營者[32]時,其服務條款因係企業經營者為與多數消費者訂立同類契約,所預先擬定,故屬於定型化契約條款[33],應適用消保法之相關規定。亦即,此類條款之內容,應本於平等互惠之原則,且若有違反誠信原則、對消費者顯失公平者,無效[34]。此外,民法有關法律行為之規範,亦有明定不得違反公共秩序或善良風俗,違反者無效之規定[35]。因此有關定型化契約條款是否有效,應檢視其內容是否符合平等互惠原則、誠信原則,以及有無牴觸公共秩序或善良風俗者而顯失公平或不當,加以判斷。

綜上所述,本案中WIFI供應商所訂定服務契約之條款,如有蒐集消費者資料並予以利用或要求消費者提供相關服務時,應注意該等資料是否屬個人資料,若是,必須符合法定要件方可蒐集、處理,且原則不得為特定目的外之利用。又該契約係與多數消費者訂立之同類契約,而所提出預先擬定之契約條款,應屬於定型化契約,契約內容要求使用服務者提供1千小時社區服務,斟酌契約之性質、締約目的、全部條款內容、交易習慣及其他情事,並比較同類契約情事,此種約定內容似非正常合理,因此,要求服務使用者應進行1千小時社區服務之條款,若於我國發生,按消保法之規定,可能會被認定為違反誠信原則,對消費者顯失公平而無效。

管理Tips

消費者在使用公共網路時,為避免個人資料外洩或其他不利益情事之發生,應妥善知悉使用者條款內容。而網路服務業者提供免費網路,從而蒐集個人資料時,亦應注意是否符合個人資料保護法等相關法令規範。

組織如欲使用定型化契約進行蒐集個人資料等業務時,除需先訂定完整蒐集、處理及利用個資之程序外,尚需善盡告知當事人之義務,且應注意避免於契約條款中加入不當條文,如斟酌契約之性質、締約目的、全部條款內容、交易習慣及同類契約內容,相關條款非屬正常合理時,即應考量調修,以免導致契約條款無效,甚至受到當事人求償。而消費者在簽訂定型化契約時,仍應仔細確認契約條款,避免對自己造成不必要之困擾,甚至受到實質損害。

相關標準

ISO 27001:2013(CNS 27001)

  1. A.18.1.1 適用之法規及契約的要求事項之識別
  1. 標準內容:

對每個資訊系統及組織,應明確識別、文件化及保持更新所有相關法律、法令、法規及契約要求事項,以及組織為符合此等要求之作法。

  1. 適用說明:

組織應知悉所適用之相關法規並依法行事。本案中,WIFI供應商之本意僅在測試消費者是否注意契約條款,並非真要在條款中加入不當之內容;但在一般狀況下,組織於訂定契約條款時,應妥善知悉、瞭解個人資料保護及其他相關法規規範,從而訂定符合法律規定及相關原則之契約條款。


[1] 政府資訊公開法第6條。

[2] 政府資訊公開法第7條。

[3] 政府資訊公開法第1條。

[4] 國家機密保護法第1條。

[5] 國家機密保護法第26條修正草案:「下列人員出境,應經其(原)服務機關或委託機關首長或其授權之人核准:一、國家機密核定人員。二、辦理國家機密事項業務人員。三、前二款退離職或移交國家機密未滿三年之人員。前項第三款之期間,國家機密核定機關得視情形延長之。」。

[6] 國家機密保護法第32條修正草案:「洩漏或交付經依本法核定之國家機密者,處一年以上七年以下有期徒刑。洩漏或交付前項之國家機密於外國、大陸地區、香港、澳門或其派遣之人者,處三年以上十年以下有期徒刑。因過失犯前二項之罪者,處二年以下有期徒刑、拘役或科或併科新臺幣二十萬元以下罰金。第一項、第二項之未遂犯罰之。預備或陰謀犯第一項或第二項之罪者,處二年以下有期徒刑。犯前五項之罪,所洩漏或交付屬絕對機密者,加重其刑至二分之一。」。

[7]國家機密保護法第33條修正草案:「洩漏或交付依第六條規定報請核定國家機密之事項者,處五年以下有期徒刑。洩漏或交付依第六條規定報請核定國家機密之事項於外國、大陸地區、香港、澳門或其派遣之人者,處一年以上七年以下有期徒刑。因過失犯前二項之罪者,處一年以下有期徒刑、拘役或科或併科新臺幣十萬元以下罰金。第一項、第二項之未遂犯罰之。預備或陰謀犯第一項或第二項之罪者,處一年以下有期徒刑。犯前五項之罪,所洩漏或交付屬擬訂等級為絕對機密之事項者,加重其刑至二分之一。」。

[8]國家機密保護法第34條修正草案:「刺探或收集經依本法核定之國家機密者,處五年以下有期徒刑。刺探或收集依第六條規定報請核定國家機密之事項者,處三年以下有期徒刑。為外國、大陸地區、香港、澳門或其派遣之人刺探或收集經依本法核定之國家機密或依第六條規定報請核定國家機密之事項者,處一年以上七年以下有期徒刑。前三項之未遂犯罰之。預備或陰謀犯第一項、第二項或第三項之罪者,處一年以下有期徒刑。犯前五項之罪,所刺探或收集屬絕對機密或其擬訂等級屬絕對機密之事項者,加重其刑至二分之一。」。

[9] 數位通訊傳播法草案已由行政院審查完竣,惟該審查完竣版本之草案似尚未公佈,本案例所引用之草案為國家通訊傳播委員會106年4月18日報請行政院審查版本,網址:http://www.ncc.gov.tw/chinese/news_detail.aspx?site_content_sn=3861&is_history=0&pages=0&sn_f=37260

[10] 電話號碼或電子郵件等聯絡方式,個人資料保護法規定,如得直接或間接方式識別該個人之資料即為個人資料,惟如何判斷能否識別,仍應從蒐集者角度加以觀察,如蒐集者能將電話號碼或電子郵件與其他資料對照、組合、連結而得識別特定個人,即屬個人資料,但仍需從蒐集者本身綜觀各種情況與事證加以判斷,無法僅依單一資料類型,即認定是否為個資法所稱之個人資料,參法務部102年5月15日法律字第10203502260號函釋、法務部103年6月18日字第10303506790號函釋。

[11] 個人資料保護法第5條:「個人資料之蒐集、處理或利用,應尊重當事人之權益,依誠實及信用方法為之,不得踰越特定目的之必要範圍,並應與蒐集之目的具有正當合理之關聯。」。

[12] 個人資料保護法第20條第2項、第3項:「非公務機關依前項規定利用個人資料行銷者,當事人表示拒絕接受行銷時,應即停止利用其個人資料行銷。  非公務機關於首次行銷時,應提供當事人表示拒絕接受行銷之方式,並支付所需費用。」

[13] 數位通訊傳播法草案第23條,立法理由二。

[14] 數位通訊傳播法草案第23條第2項。

[15] 數位通訊傳播法草案第23條,立法理由三、四。

[16] 數位通訊傳播法草案第19條,立法理由。

[17] FISA also established the United States Foreign Intelligence Surveillance Court ( FISC ), a special US Federal court that holds nonpublic sessions to consider issuing search warrants under FISA. https://it.ojp.gov/PrivacyLiberty/authorities/statutes/1286,最後瀏覽日:106年8月31日。

[18] 通訊保障及監察法第5條第1項略以:「有事實足認被告或犯罪嫌疑人有下列各款罪嫌之一,並危害國家安全、經濟秩序或社會秩序情節重大,而有相當理由可信其通訊內容與本案有關,且不能或難以其他方法蒐集或調查證據者,得發通訊監察書。…」。

[19] 通訊保障及監察法第5條第4項:「執行機關應於執行監聽期間內,每十五日至少作成一次以上之報告書,說明監聽行為之進行情形,以及有無繼續執行監聽之需要。檢察官或核發通訊監察書之法官並得隨時命執行機關提出報告。法官依據經驗法則、論理法則自由心證判斷後,發現有不應繼續執行監聽之情狀時,應撤銷原核發之通訊監察書。」。

[20] 通訊保障及監察法第15條第1項:「第五條、第六條及第七條第二項通訊監察案件之執行機關於監察通訊結束時,應即敘明受監察人之姓名、住所或居所、該監察案件之第十一條第一項各款及通訊監察書核發機關文號、實際監察期間、有無獲得監察目的之通訊資料及救濟程序報由檢察官、綜理國家情報工作機關陳報法院通知受監察人。如認通知有妨害監察目的之虞或不能通知者,應一併陳報。」。

[21] 通訊保障及監察法第14條:「通訊監察之執行機關及處所,得依聲請機關之聲請定之。法官依職權核發通訊監察書時,由核發人指定之;依第七條規定核發時,亦同。  電信事業及郵政事業有協助執行通訊監察之義務;其協助內容為執行機關得使用該事業之通訊監察相關設施與其人員之協助。  前項因協助執行通訊監察所生之必要費用,於執行後,得請求執行機關支付;其項目及費額由交通部會商有關機關訂定公告之。電信事業之通訊系統應具有配合執行監察之功能,併負有協助建置機關建置、維持通訊監察系統之義務。但以符合建置時之科技及經濟上合理性為限,並不得踰越期待可能性。  前項協助建置通訊監察系統所生之必要費用,由建置機關負擔。另因協助維持通訊監察功能正常作業所生之必要費用,由交通部會商有關機關訂定公告之。」。

[22] 通訊保障及監察法第24條:「違法監察他人通訊者,處五年以下有期徒刑。  執行或協助執行通訊監察之公務員或從業人員,假借職務或業務上之權力、機會或方法,犯前項之罪者,處六月以上五年以下有期徒刑。  意圖營利而犯前二項之罪者,處一年以上七年以下有期徒刑。」。

[23] 通訊保障及監察法第26條第1項:「前二條違法監察通訊所得之資料,不問屬於犯人與否,均沒收之。」

[24] 通訊保障及監察法第19條:「違反本法或其他法律之規定監察他人通訊或洩漏、提供、使用監察通訊所得之資料者,負損害賠償責任。  被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回覆名譽之適當處分。  前項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者,不在此限。」。

[25] 通訊保障及監察法第1條。

[26] 通訊保障及監察法第5條第1項:「有事實足認被告或犯罪嫌疑人有下列各款罪嫌之一,並危害國家安全、經濟秩序或社會秩序情節重大,而有相當理由可信其通訊內容與本案有關,且不能或難以其他方法蒐集或調查證據者,得發通訊監察書。…」。

[27] 通訊保障及監察法第5條第4項:「執行機關應於執行監聽期間內,每十五日至少作成一次以上之報告書,說明監聽行為之進行情形,以及有無繼續執行監聽之需要。檢察官或核發通訊監察書之法官並得隨時命執行機關提出報告。法官依據經驗法則、論理法則自由心證判斷後,發現有不應繼續執行監聽之情狀時,應撤銷原核發之通訊監察書。」。

[28] 通訊保障及監察法第15條第1項:「第五條、第六條及第七條第二項通訊監察案件之執行機關於監察通訊結束時,應即敘明受監察人之姓名、住所或居所、該監察案件之第十一條第一項各款及通訊監察書核發機關文號、實際監察期間、有無獲得監察目的之通訊資料及救濟程序報由檢察官、綜理國家情報工作機關陳報法院通知受監察人。如認通知有妨害監察目的之虞或不能通知者,應一併陳報。」。

[29] 通訊保障及監察法第14條:「通訊監察之執行機關及處所,得依聲請機關之聲請定之。法官依職權核發通訊監察書時,由核發人指定之;依第七條規定核發時,亦同。  電信事業及郵政事業有協助執行通訊監察之義務;其協助內容為執行機關得使用該事業之通訊監察相關設施與其人員之協助。  前項因協助執行通訊監察所生之必要費用,於執行後,得請求執行機關支付;其項目及費額由交通部會商有關機關訂定公告之。電信事業之通訊系統應具有配合執行監察之功能,併負有協助建置機關建置、維持通訊監察系統之義務。但以符合建置時之科技及經濟上合理性為限,並不得踰越期待可能性。  前項協助建置通訊監察系統所生之必要費用,由建置機關負擔。另因協助維持通訊監察功能正常作業所生之必要費用,由交通部會商有關機關訂定公告之。」。

[30] 按行政院主計總處於105年1月發佈之行業分類標準,電信業指「從事有線電信、無線電信及其他電信相關服務之行業;提供網際網路接取服務(IASP),以及透過提供有線電信傳輸服務,將電視頻道節目有系統地整合併傳送至收視戶亦歸入本類。不包括:線上提供可安裝於個人行動裝置之通信軟體供應者,應依其主要經濟活動歸入適當類別。」。

[31] 電信法第11條:「電信事業分為第一類電信事業及第二類電信事業。第一類電信事業指設置電信機線設備,提供電信服務之事業。前項電信機線設備指連接發信端與受信端之網路傳輸設備、與網路傳輸設備形成一體而設置之交換設備、以及二者之附屬設備。第二類電信事業指第一類電信事業以外之電信事業。」。

[32] 消費者保護法第2條第2款:「二、企業經營者:指以設計、生產、製造、輸入、經銷商品或提供服務為營業者。」。

[33] 消費者保護法第2條第7款:「七、定型化契約條款:指企業經營者為與多數消費者訂立同類契約之用,所提出預先擬定之契約條款。定型化契約條款不限於書面,其以放映字幕、張貼、牌示、網際網路、或其他方法表示者,亦屬之。」。

[34] 詳見消費者保護法第11條、第12條之規定。

[35] 民法第72條:「法律行為,有背於公共秩序或善良風俗者,無效。」。

自我評量

是非題:(每題十分)

  1. ( )政府資訊公開制度,目的是在於便利人民共享及公平利用政府資訊,保障人民知的權利,增進人民對公共事務的了解、信賴及監督,並促進民主參與,而相關資訊除諸如涉及國家機密等得依規定限制公開或不予提供者外,應主動公開。【資訊保護S10606】
  2. ( )花花的電子郵件信箱每日平均收到約百封垃圾郵件,花花可依濫發商業電子郵件管理條例向違法發信人請求違法使用電子郵件之民事損害賠償金。【資訊保護S10607】
  3. ( )通訊保障及監察法之立法目的在於保障人民秘密通訊自由及隱私權不受非法侵害,並確保國家安全,維護社會秩序。【資訊監察M10608】
  4. ( )如涉及國家安全而必須監聽特定通訊時,電子通訊軟體業者因所經營業務亦屬電信業務範疇,故有義務依通訊保障及監察法建置、提供監聽設備以利權責單位進行監聽。【資訊監察M10609】
  5. ( )某股份有限公司於各家商店提供免費WIFI供人使用,並於使用者條款中提及會蒐集使用者資料等內容,此類條款應有消費者保護法關於定型化契約條款規定之適用。【資訊保護S10610】

選擇題:(每題十分)

  1. ( )按國家機密保護法規定,下列何者敘述正確?(1)國家機密法之立法目的在於為建立國家機密保護制度,確保國家安全及利益。(2)辦理國家機密事項業務人員出境須經核准。(3)以上皆是。(4)以上皆非。【資訊保護S10606】
  2. ( )關於「數位通訊傳播法」草案之說明,下列何者敘述錯誤?(1)草案規定商業電子訊息之發送方,應提供接收方得拒絕接收之方式。(2)如使用者與數位通訊傳播服務提供者發生紛爭,僅得向提供者要求民事損害賠償,而不得聲請定暫時時狀態處分。(3)該草案希望能透過其制定,強化服務提供者與使用者的平等關係,確保資訊得充分揭露,使消費者有所救濟管道。(4) 該草案希望能使政府透過公眾諮詢和參與機制,落實開放政府之理念,建構網際網路的基本規範。【資訊保護S10607】
  3. ( )以下為通訊保障及監察法對於國安事件准許通訊監察之要件,請問下列何者錯誤?(1)事前通知。(2)令狀原則。(3)重罪原則。(4)事中監督。【資訊監察M10608】
  4. ( )如權責機關擔憂可能有國安問題,希望行動通訊軟體業者,協助進行通訊監察時,請問下列敘述何者正確?(1)權責機關得依通訊保障及監察法,於擔憂國安問題發生時,逕行要求行動通訊軟體業者配合通訊監察。(2)行動通訊軟體業者有義務建置設備讓權責機關進行特定電話的監聽。(3)以上皆是。(4)以上皆非。【資訊監察M10609】
  5. ( )下列何者屬於消費者保護法所稱之「定型化契約條款」?(1)某電子商務公司法務部門所擬定並公告於該公司購物平台上,以利消費者瞭解之網站購物服務條款。(2)由某健身運動公司請律師代其預擬,以供會員入會使用之健身會員條款。(3)某出版公司業務經理為該公司所擬定,並由該公司之電子書銷售代表提供消費者審閱、簽約之電子書閱讀與其他服務契約。(4)以上皆是。【資訊保護S10610】

評量解析

是非題:(每題十分)

  1. (O) 政府資訊公開制度,目的是在於便利人民共享及公平利用政府資訊,保障人民知的權利,增進人民對公共事務的了解、信賴及監督,並促進民主參與,而相關資訊除諸如涉及國家機密等得依規定限制公開或不予提供者外,應主動公開。【資訊保護S10606

解析:

按政府資訊公開法第1條:「為建立政府資訊公開制度,便利人民共享及公平利用政府資訊,保障人民知的權利,增進人民對公共事務之瞭解、信賴及監督,並促進民主參與,特制定本法。」,以及同法第6條、第7條等規定,故所述正確。

  1. (X) 花花的電子郵件信箱每日平均收到約百封垃圾郵件,花花可依濫發商業電子郵件管理條例向違法發信人請求違法使用電子郵件之民事損害賠償金。【資訊保護S10607】

解析:

目前我國現行法規並未制訂濫發商業電子郵件管理條例,故無法依此請求民事損害賠償;如花花確受有損害,目前須視具體情形,依個資法或其他法律求償。未來如數位通訊傳播法草案通過施行後,類似花花之情形,則可參照數位通訊傳播法草案規定並配合相關法規,請求損害賠償。

  1. (O) 通訊保障及監察法之立法目的在於保障人民秘密通訊自由及隱私權不受非法侵害,並確保國家安全,維護社會秩序。【資訊監察M10608】

解析:

按通訊保障及監察法第1條:「為保障人民秘密通訊自由及隱私權不受非法侵害,並確保國家安全,維護社會秩序,特制定本法。」,故所述正確。

  1. (X) 如涉及國家安全而必須監聽特定通訊時,電子通訊軟體業者因所經營業務亦屬電信業務範疇,故有義務依通訊保障及監察法建置、提供監聽設備以利權責單位進行監聽。【資訊監察M10609】

解析:

電子通訊軟體業之業務,依一般民眾之使用方式,雖看似與電信業務提供民眾通訊服務相仿,但按行政院主計總處於105年1月發布之行業分類標準,電信業係指「從事有線電信、無線電信及其他電信相關服務之行業。不包括:線上提供可安裝於個人行動裝置之通信軟體供應者,應依其主要經濟活動歸入適當類別。」,可知電子通訊軟體業,尚非上述電信事業,亦不受電信法規範。而依現行通訊保障及監察法規定,僅電信業者有建置、提供通訊監察設備以利權責機關監聽之義務,故電子通訊軟體業者不在規範範圍內。若因應科技趨勢,有使該類業者提供設備,並配合權責機關進行通訊監察之必要,應先對電信法或通訊保障及監察法進行修訂。

  1. (O) 某股份有限公司於各家商店提供免費WIFI供人使用,並於使用者條款中提及會蒐集使用者資料等內容,此類條款應有消費者保護法關於定型化契約條款規定之適用。【資訊保護S10610】

解析:

消費者保護法第2條第7款:「七、定型化契約條款:指企業經營者為與多數消費者訂立同類契約之用,所提出預先擬定之契約條款。定型化契約條款不限於書面,其以放映字幕、張貼、牌示、網際網路、或其他方法表示者,亦屬之。」,某股份有限公司之條款,乃其為與多數消費者訂立同類契約,所預先擬定者,故屬消費者保護法所稱之定型化契約條款,應有該法相關規定之適用。

選擇題:(每題十分)

  1. ( 3 ) 按國家機密保護法規定,下列何者敘述正確?(1)國家機密法之立法目的在於為建立國家機密保護制度,確保國家安全及利益。(2)辦理國家機密事項業務人員出境須經核准。(3)以上皆是。(4)以上皆非。【資訊保護S10606】

解析:

國家機密保護法第1條:「為建立國家機密保護制度,確保國家安全及利益,特制定本法。」;同法第26條:「下列人員出境,應經其(原)服務機關或委託機關首長或其授權之人核准:一、國家機密核定人員。二、辦理國家機密事項業務人員。三、前二款退、離職或移交國家機密未滿三年之人員。前項第三款之期間,國家機密核定機關得視情形縮短或延長之。」,故選項(3)正確。

  1. ( 2 ) 關於「數位通訊傳播法」草案之說明,下列何者敘述錯誤?(1)草案規定商業電子訊息之發送方,應提供接收方得拒絕接收之方式。(2)如使用者與數位通訊傳播服務提供者發生紛爭,僅得向提供者要求民事損害賠償,而不得聲請定暫時時狀態處分。(3)該草案希望能透過其制定,強化服務提供者與使用者的平等關係,確保資訊得充分揭露,使消費者有所救濟管道。(4) 該草案希望能使政府透過公眾諮詢和參與機制,落實開放政府之理念,建構網際網路的基本規範。【資訊保護S10607】

解析:

係按數位通訊傳播法草案第19條:「數位通訊傳播服務提供者與其使用者或第三人間,因數位通訊傳播服務之使用行為發生爭執,為防止發生重大之損害或避免急迫之危險或有其他相類之情形而有必要時,數位通訊傳播服務提供者、其使用者或第三人得依民事訴訟法之規定,聲請法院為定暫時狀態之處分。」,故選項(2)所述有誤。

  1. ( 1 ) 以下為通訊保障及監察法對於國安事件准許通訊監察之要件,請問下列何者錯誤?(1)事前通知。(2)令狀原則。(3)重罪原則。(4)事中監督。【資訊監察M10608】

解析:

通訊保障及監察法准許通訊監察之要件如下:一、重罪原則,涉犯三年以上有期徒刑之罪及其他所列舉之重罪者;二、必要性,須無法以其他方式為調查者;三、關聯性,通訊內容與案件相關者;四、令狀原則,須視情況由法院或綜理國家情報工作機關首長核發通訊監察書,由情報機關首長核發者,並須經法院事後補行同意;五、事中監督,每十五日至少作成一次以上之報告書;六、事後通知,通訊監察結束後應通知受監察人。以上諸原則中,並不包含事前通知,因此選項(1)錯誤。

  1. ( 4 ) 如權責機關擔憂可能有國安問題,希望行動通訊軟體業者,協助進行通訊監察時,請問下列敘述何者正確?(1)權責機關得依通訊保障及監察法,於擔憂國安問題發生時,逕行要求行動通訊軟體業者配合通訊監察。(2)行動通訊軟體業者有義務建置設備讓權責機關進行特定電話的監聽。(3)以上皆是。(4)以上皆非。【資訊監察M10609】

解析:

縱然暫不考慮通訊保障及監察法之規範對象等問題,依據通訊保障及監察法之規定,欲進行通訊之監察必須符合重罪原則、必要性等諸多要件,不可僅依權責機關之擔憂即啟動通訊監察;而依通訊保障及監察法第14條第2項前段:「電信事業及郵政事業有協助執行通訊監察之義務。」,由於目前電信事業並不包括線上提供可安裝於個人行動裝置之通信軟體供應者,故相關機關不得依通訊保障及監察法要求行動通訊軟體業者協助進行通訊監察。

  1. ( 4 ) 下列何者屬於消費者保護法所稱之「定型化契約條款」?(1)某電子商務公司法務部門所擬定並公告於該公司購物平台上,以利消費者瞭解之網站購物服務條款。(2)由某健身運動公司請律師代其預擬,以供會員入會使用之健身會員條款。(3)某出版公司業務經理為該公司所擬定,並由該公司之電子書銷售代表提供消費者審閱、簽約之電子書閱讀與其他服務契約。(4)以上皆是。【資訊保護S10610】

解析:按消費者保護法第2條第7款:「定型化契約條款:指企業經營者為與多數消費者訂立同類契約之用,所提出預先擬定之契約條款。定型化契約條款不限於書面,其以放映字幕、張貼、牌示、網際網路、或其他方法表示者,亦屬之。」規定,因此,本題各選項所舉例子均符合上述規定,故應擇選項(4)。

自我評量檢測成果評分說明

得分

溫馨提醒

100分

資安小博士非您莫屬

80分~90分

小粗心,別灰心

60分~70分

釐清觀念,滿分到手

40分~50分

再接再厲,繼續努力

20分~30分

牛刀小試,再來一次


2017/10/30 16:54:34