一、前言
網際網路作為新興產業活動的場域,購併活動頻繁是產業具有活力的特徵之一。自二○○○年以來,網路公司的股價不斷向下修正,市場價值逐漸浮現,也促使網路公司間的購併活動不斷發生。購併除收購股權取得公司經營權外,也經常以資產購買的方式進行,即對於公司的某項營業連同客戶關係、服務資產甚至人員一併移轉至新公司。例如:午陽集團於二○○一年底接手資訊人所經營之「酷必得」網站,直接越過建置、行銷過程,利用酷必得既有的用戶基礎,直接進行B2C的網路銷售活動;日本SONY轉投資的So-net為快速擴張ADSL業務,承接新絲路約一萬名的撥接用戶等。
而網路電子商務主要的利基即在於個人化的服務,資料採礦(Data Mining)成為未來網路公司經營的重要工具,掌握愈多的個人資料,可能代表掌握愈多的商機。由前述案例我們也可以了解到,在網路事業進行資產購併的交易時,過去燒錢所累積的使用者個人資料,即成為重要的交易基礎。
然而,網路服務的資產移轉,由於涉及使用者的個人資料隨同移轉的問題,與過去公司一般資產移轉不同,牽涉到個人資料保護的問題,目前我國與個人資料保護的相關法律包姑:電腦處理個人資料保護法(以下簡稱「個資法」)、民法及刑法,分別針對不同情形保護民眾個人資料或隱私權。故若未妥善處理,可能造成使用者的疑慮,更有違法之虞。故本文之目的,即在探討個人資料隨同服務資產移轉時,可能涉及的法律規定及問題,而因為聚焦於個人資料移轉的合法性上,故對服務資產本身移轉上的法律問題不擬論述,而假定業者已履踐相關規定所設之要件及程序1。
須附帶澄清的是,個資法有適用範圍的限制,也就是該法所列舉的八大行業及法務部所指定之行業,才受個資法的規範,網路公司是否包含在內,頗有爭議,但並非本文重點,在此不擬討論2。以下本文仍先討論電腦處理個人資料保護法的相關規定,然後分別論及民法、刑法的適用問題。
二、個資法
(一)個人資料隨同服務資產出售所涉及之相關條文
個資法第六條規定:「個人資料之蒐集或利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍。」本條宣示二項法律上非常重要的原則,一是誠信原則,二是比例原則。由於個人資料轉售屬於「利用」的範圍,故適用本條規定。
同法第十八條規定:「非公務機關對個人資料之蒐集或電腦處理,非有特定目的,並符合左列情形之一者,不得為之:一 經當事人書面同意者。二 與當事人有契約或類似契約之關係而對當事人權益無侵害之虞者。三 已公開之資料且無害於當事人之重大利益者。四 為學術研究而有必要且無害於當事人之重大利益者。五 依本法第三條第七款第二目有關之法規及其他法律有特別規定者。」本條所謂「電腦處理」,依同法第三條第三款包括「使用電腦或或自動化機器為資料之輸入、儲存、編輯、更正、檢索、刪除、輸出、傳遞或其他處理」等行為態樣。本條規定個人資料的蒐集和處理,必須符合一定的條件,而且須有特定目的,其後的利用行為,須與該目的相配合。而個人資料轉售會涉及「輸出」、「傳遞」等電腦處理活動,故亦受規範。
同法第十九條規定:「非公務機關未經目的事業主管機關依本法登記並發給執照者,不得為個人資料之蒐集、電腦處理或國際傳遞及利用。徵信業及以蒐集或電腦處理個人資料為主要業務之團體或個人,應經目的事業主管機關許可並經登記及發給執照。前二項之登記程序、許可要件及收費標準,由中央目的事業主管機關定之。」若是國外公司收購國內公司部分資產的情形,即會涉及「國際傳遞」,因此,本條規定亦須注意。
第二十三條規定:「非公務機關對個人資料之利用,應於蒐集之特定目的必要範圍內為之。但有左列情形之一者,得為特定目的外之利用:一 為增進公共利益者。二 為免除當事人之生命、身體、自由或財產上之急迫危險者。三 為防止他人權益之重大危害而有必要者。四 當事人書面同意者。」本條表明了除非屬於列舉之例外情形,否則對個人資料的利用須在蒐集之特定目的範圍內。
(二)個人資料隨同服務資產移轉行為的定性
由前述個資法規定加以觀察,目前該法對個人資料因為隨同營業移轉並沒有明文規定,因此,可能必須透過該法對於個人資料的「利用」及「傳遞」行為的規範加以處理,然而,應如何適用,可能有所爭議,以下本文整理出四種可能的解釋進一步討論。
1.適用關於「電腦處理」之規定:個資法第三條第三款定義「電腦處理」指「使用電腦或或自動化機器為資料之輸入、儲存、編輯、更正、檢索、刪除、輸出、傳遞或其他處理。」個人資料隨同服務資產移轉時,會涉及「輸出」、「傳遞」行為,因此,應適用個資法關於「電腦處理」之規定。
就文義上而言,此說可以說得通﹔而且,德國聯邦個人資料保護法第三條是將「傳遞」定義為「示之第三者」的行為3,歐盟1995年資料保護指令第二條定義「處理」包括「蒐集、記錄、組織、儲存、改編或變更、檢索、諮詢、利用、經傳送揭露、散布或其他產生效用、排列或組合、凍結、刪除或銷毀之作業或整組作業方式。」4故若參考此二外國立法例的解釋,亦可支持此說﹔同時,在公務機關對公務機關傳遞之情形,能否解釋為第三人會發生問題5,若要求理解上的一致,可能也會傾向此說。國內亦有學者認為應適用個資法第十八條者6。
2.適用關於「利用」之規定:個資法第三條第五款定義「利用」為「指公務機關或非公務機關將其保有之個人資料檔案為內部使用或提供當事人以外之第三人。」把「提供當事人以外之第三人」納入利用的概念中,而個人資料的利用應適用第二十三條。就文義上而言,「提供當事人以外之第三人」屬利用規定並無疑義,國內亦有採此說者7。
3.分別適用「利用」、「蒐集」之規定:個人資料隨同服務移轉時,會存在一方交付、一方受領的情形,提供方屬「利用」行為、收受方屬「蒐集」行為,應分別符合利用、蒐集的規定。亦即,甲業者將個人資料移轉給乙業者的情形,甲的行為比較類似「利用」,而乙的行為則等於是「蒐集」。因此,就甲而言應符合關於利用的規定;就乙而言則應符合關於蒐集的規定,故甲應遵守個資法第二十三條,乙應遵守第十八條。
4.符合利用或蒐集即屬合法:以前述案例為例,只要甲的行為符合利用的規定,或乙的行為符合蒐集的規定,二者中其一具備即認為合法。主要原因在於既然甲可以合法利用,若認為乙不能合法取得,豈不是相互矛盾?舉例言之,若甲為盡其契約義務,請乙履行輔助,且屬目的必要範圍內,則仍要乙負違法之責似乎不是很合理;相反地,如果乙可以合法蒐集,而其由甲處獲取個人資料,並沒有造成當事人的損害,似乎也不應令甲負違法之責。
以上說法對於個人資料隨同服務資產移轉所應受之規範將產生寬嚴不一的結論,目前國內並沒有統一的見解,將來實務上如何解釋亦有待觀察,筆者個人認為,1.、2.兩說從理論、體系而言,似乎均有論理上不足之處,而3.、4.兩說本文雖未敢妄下斷言,但如由保護個人資料的角度來觀察,依個人資料移轉時的情形,分別適用「利用」與「蒐集」之規定,應較為妥適。
(三)個人資料得隨同服務契約及資產轉讓
從上述的討論可知,對個人資料的傳遞是受個資法規範的,不論採哪一說,任意將個人資料出售、交換是違反個資法的行為,並無疑義,若致生損害,須依同法第二十八、三十三條負民、刑事上之責任。
雖然個人資料不得任意販售、轉讓,不過,若是甲將所擁有的個人資料隨同其營業(服務資產)轉售給乙,則未必被評價為違法。因為,甲當初既然是為履行契約提供消費者特定服務而蒐集個人資料,當該服務所負權利義務合於法定要件及程序地移轉給乙時,將個人資料隨同移轉給乙,反有助服務的繼續履行,而在當初蒐集的目的範圍內,故符合第二十三條;同時,乙因為債權移轉、債務承受,而成為與消費者間契約的當事人,可認為符合第十八條第二款之情形,且是為促進該契約目的而為的蒐集。故不論採上述何種說,都可以落在合法的範圍內。
至於甲在移轉其營業(服務資產)後,本身對個人資料的蒐集目的已經消失,繼續保有個人資料已失去正當性,根據個資法第二十六條準用第十三條,應依職權或當事人之請求,刪除或停止電腦處理及利用該資料。
(四)「隱私權聲明」或其他當事人間約定對個資法規定的影響?
網友加入會員、訂閱電子報或參加線上活動等其他服務時,通常網站經營者會要求使用者填寫個人資料,例如:姓名、年齡、地址、性別、教育程度、行業類別、職務類別、E-mail等相關資料,並聲明僅供資料統計分析、方便與網友互動並提供更好服務等目的說明。並保證將對網友提供之個人資料予以保密,不會出售、出租予第三者。這些規定可能出現在網站的「隱私權聲明」或類似的宣示中,而構成與消費者契約的一部份。
隨之而來可能的疑問是,該等聲明或約定,如果和個資法的規定不同,是否影響相關法律關係的認定?由於個資法第十八、二十三條等規定屬於強制禁止規定,與之牴觸會歸於無效,並不能排除個資法的適用,故原則上該約定若低於個資法的保護標準,也不會對上述討論造成影響8。
三、民法
(一)隨資產轉售個人資料是否有違約責任?
網站上的「隱私權聲明」或類似的宣示,會構成與消費者契約的一部份已如前述。因此,即使沒有個資法的規定,這些聲明的內容,也具有契約法上的效力,可能對於公司在出售資產時個人資料的移轉產生是否違約的問題。
而是否發生違約情形,亦繫於雙方契約之約定及營業轉售時之安排。倘若在前揭網站上隱私權聲明或類似宣示中,表明於服務或資產合於法定要件及程序地移轉時,將隨同移轉個人資料,由於依前面的討論此行為並不違反個資法,即使是適用個資法的業者,該約定也仍屬有效,隨同服務資產移轉個人資料之行為,符合雙方約定而無違約問題;倘若在隱私權聲明等宣示中表明,不論在任何情形下,均不移轉予他人,則還是會產生違約的問題,必須另行取得當事人的同意。
若隱私權保護的條款未針對個人資料的移轉有特別約定,則類似於前面個資法(三)處的討論,如果該服務所負權利義務合於法定要件及程序地移轉給乙時,網友之個人資料,為履行債務所必要之資訊,而應可合法隨同營業(服務資產)移轉,而不致於有違約之問題。
(二)隨資產轉售個人資料是否構成侵權行為?
另外,除了是否違約的問題外,由於個人資料亦可能構成網友個人「隱私權」之一部分,網路公司將網友個人資料隨資產轉售予其他人,若符合侵權行為之要件,亦可能產生侵權行為之損害賠償責任。
什麼情形下會成立侵權行為?大概可依下述三個原則判斷:
- 若網路公司是依據與網友間之契約關係,合於法定要件及程序地將網友的個人資料隨服務資產及因此所生之權利義務一併移轉,則原則上因為有契約關係存在而無不法,因此,不符合侵權行為的要件;
- 若網路公司並沒有依契約約定處理網友之個人資料,或未符合法定要件及程序地移轉服務資產,在判斷是否構成民法上侵權行為時,則可參酌個資法有關個人資料保護之規定。依民法第一百八十四條第二項規定:「違反保護他人之法律,致生損害於他人者,負賠償責任。但能證明其行為無過失者,不在此限。」個資法對於電腦處理個人資料的規定,對於適用之行業,可認為是屬於「保護他人之法律」。
- 若網路公司非屬適用個資法之行業,則回歸一般民法侵權原則來判斷,依民法第一百八十四條第一項前段規定:「因故意或過失,不法侵害他人之權利者,負損害賠償責任。」不過在此類案件中,要證明「隱私權」被侵害及所生之損害,在舉證上較為困難,未來恐怕仍有待於進一步擴大個資法適用範圍,以使網友在「個人資料」的保護法制更加完備。
總而言之,網友的個人資料絕非可任意轉讓,即令業者願承擔違約責任,也仍要注意構成侵權行為的風險,尊重個人資料保護,才是最佳的策略。
四、刑法
刑法第三百十八條之一規定:「無故洩漏因利用電腦或其他相關設備知悉或持有他人之秘密者,處二年以下有期徒刑、拘役或五千元以下罰金。」
其中的「秘密」如何解釋,是一困難的問題,而在本文所要關切的是,個人資料是否屬於本條的「秘密」。本文初步認為,個人資料未必能和刑法的秘密畫上等號,因為我們可以設想某些情形,個人資料的洩漏尚未能造成立即的損害,簡單地說,愈是洩漏多數個人資料、洩漏的愈是隱私核心的個人資料9,侵害性愈大,反之愈小,而如果僅為個別的、未與其他個人資料連結的個人資料(例如只是一個名字,沒有其他東西),因為人們無法從中獲得有意義的解讀,因此對此種情形的個人資料揭露,可能尚未產生侵害性﹔如果僅洩漏少數較屬隱私邊緣的個人資料,也有可能不具侵害性或侵害微小,但這部分須個案判斷,且恐有見仁見智的模糊空間。總之,可能存在洩漏個人資料但未產生立即侵害性的情形,應該是可以肯定,既然如此,如果將個人資料一概認為屬於秘密,由於刑法本條規定並沒有如同個資法第三十三條中「致生損害於他人者」的要件,會變成只要洩漏個人資料不論有無損害均受刑罰制裁,似非合理。因此,並非個人資料就一定屬於本條的秘密,是本文的初步結論,至於何種情形算是何種情形不算是,本文尚未敢斷言,只能參考前述標準,認為僅為個別的、未與其他個人資料連結的個人資料,或僅為少數較屬隱私邊緣的個人資料,有可能不算是刑法上的秘密,而仍須個案認定。
但不管秘密一詞的解釋如何,須注意本條還有一個「無故」的要件,所謂無故,一般解為無正當理由,也就是說,如果有正當理由即可排除在處罰之外,而本文所要關切的就是,將個人資料隨同其與消費者間之契約一同轉讓,是否屬於有正當理由。本文認為,似可能解為有正當理由,尤其基於法律之間價值的一致性,參考個資法上的價值判斷,更可強化此一結論﹔詳言之,在甲基於其與消費者間的契約合法蒐集個人資料,然後將該服務的權利義務合於法定要件與程序地移轉給乙,同時隨同移轉個人資料這樣的例子中,由於係出於為繼續履行契約所定服務之目的,因此是在當初蒐集的目的範圍內,而不違反個資法,參考此一價值判斷,可加強解釋此種情形為屬於「有正當理由」的說服力。因此,本文認為上述例舉情形應該也不違反刑法本條規定。
五、結論
電子商務時代的來臨,使得消費者的個人資料,成為企業重要的營業資產。然而,由於消費者個人資料亦同時與其人格相結合,而可能屬於消費者「隱私權」的一部分,受到電腦處理個人資料保護法及民、刑法的保護。因此,本文主要希望提醒企業不應完全將個人資料當作一般的資產隨意處分,必須要注意到消費者對個人資料掌控權利的尊重,以避免違法責任。
筆者相信,未來消費者個人資料保護的範圍,勢必在使用者權利保護意識提升的趨勢下,陸續擴張到絕大多數行業,而非侷限於目前的「八大行業」。故有關個人資料保護的問題,值得企業界重視,網站上的隱私權條款,也並非只是讓消費者安心的「裝飾品」,企業必須真誠面對消費者個人資料保護的問題,始能在電子商務時代中,真正博得消費者的信賴。
本文撰寫的目的,是希望提醒業者在進行購併活動時,除考量購併資產的價格、客戶關係的重新安排、員工的僱用等問題外,亦須一併考量消費者個人資料權益的保護,而消費者也應注意自己的個人資料是否被濫用,否則一旦產生損害時,對於消費者個人或是企業形象都將是極大的傷害。
- 例如民法第二百九十七條規定:債權之讓與,非經讓與人或受讓人通知債務人,對於債務人不生效力﹔第三百零一條:第三人與債務人訂立契約承擔其債務者,非經債權人承認,對於債權人,不生效力﹔第三百零五條:就他人之財產或營業概括承受其資產及負債者,因對於債權人為承受之通知或公告,而生承擔債務之效力。前項情形,債權人關於到期之債權,自通知或公告時起,未到期之債權,自到期時起,二年以內,與承擔人連帶負其責任。 ↩︎
- 相關討論可參照賴文智、劉承愚、顏雅倫,網路事業經營必讀,台北,元照,頁161-163(2001/5) ↩︎
- 「傳遞,指將已儲存或經資料處理所獲得之個人資料,依左列方式示之第三者:a.由儲存單位將資料傳達於接收者,b.由接收者從儲存單位查閱或截取原已備妥之資料。」德國「聯邦個人資料保護法」的中譯,參閱林錫堯譯,德國聯邦個人資料保護法,法學叢刊,三十六卷四期,頁1-18 ↩︎
- 歐盟1995年資料保護指令之中譯,參照熊愛卿、詹文凱合譯,歐盟1995年資料保護指令,收錄於熊愛卿,網際網路個人資料保護之研究,台灣大學法研所博士論文,附錄(2000/7) ↩︎
- 根據電腦處理個人資料保護法施行細則第六條規定:「本法第三條第五款所稱第三人,指保有個人資料檔案之公務機關或非公務機關以外之自然人、法人或其他團體。但不包括受委託處理資料之團體或個人。」看起來公務機關提供給公務機關似乎就不算提供給第三人,但這樣就會變成提供給公務機關和提供給非公務機關發生分流的現象,相較於德國規定的「人或單位」以及歐盟的「任何自然人或法人、公務機關、機構或其他團體」,恐怕是立法疏漏。 ↩︎
- 參照許文義,個人資料保護法論,台北,三民,頁252-256,261(2001/1) ↩︎
- 參照簡榮宗,網路上資訊隱私權保障問題之研究,http://cyberlawyer.com.tw/alan4-08_6-2.html(2002/4/26瀏覽) ↩︎
- 例如:假設甲在隱私權聲明中表明自己有任意移轉消費者個人資料的權利,不受任何限制,則因為牴觸個資法強制禁止規定,會歸於無效,而仍應遵照個資法的規定處理﹔雖然個資法第二十三條有「當事人書面同意者」作為利用個人資料目的限制的例外規定,但因為網路頁面上的點選通常不符合「書面」的要件,即使已因當事人之同意而成為契約的一部分,也無法產生免除個資法責任的效力。關於「書面」要件的討論,可參照收錄於本書的另一篇文章「電腦處理個人資料保護法第十八條對個人資料蒐集行為之規範」。 ↩︎
- 所謂隱私的核心或邊緣,可參考歐盟1995資料保護指令中的「敏感性資料」之概念,依該指令規定,「揭示種族血源、政治意向、宗教或哲學信仰、工會會員資格等之個人資料及涉及個人醫療或性生活等資料」為敏感性資料,原則上禁止處理,另外,「關於犯罪、刑事判決或保安處分等資料」也與一般個人資料不同,其處理,「限由公務機關監管下進行之,或國家法律已提供適當特定之安全維護措施者,會員國得訂定例外條款。但刑案有罪判決之完整記錄,應限由公務機關監管。」該指令可說已對個人資料做了一個分類,表明了個人資料有處於個人隱私較核心或較邊緣的不同,應給予不同的保護,但這也只是一個初步的區分,只有當我們對什麼樣性質的個人資料的疏忽會造成什麼樣的傷害有更多的了解,才能對個人資料從核心到邊緣的光譜,有更細緻的認識,這仍有待努力。 ↩︎