我是廣告 請繼續往下閱讀
近年來詐騙集團除了從消費資料下手外,這兩年也擴大到社福機構的捐款資料,防止個資外洩顯然是打詐的要務之一。雖然有「道高一尺,魔高一丈」的說法,但另一個問題是這些我們註冊、購物或捐款的平台,有沒有妥善保管消費者個資?要找出問題,政大法律系兼任助理教授萬幼筠解析,要先檢視網路消費的環節有哪些。
網路消費流程中,除了消費者的電腦或網路環境外,還有電商網站設計、內部網路安全性、人為危險,到信用卡公司或第三方支付、倉儲和物流等合作廠商,都可能走漏消費者資料。許多網路平台從網站製作到維護,都是外包軟體公司,又是另一個難以管控的風險源。像是去年7月,刑事局查出詐騙集團取得國內社福機構捐款人的資料後,一年騙取超過3000萬元,單筆最高騙得506萬,不過這些個資來源並非個別社福網站,而是基金會委託代管的資訊公司被駭,一口氣取得至少45間公益社福團體的捐款者個資。
雖然網購的複雜交易環節都存在風險,又有合作廠商或供應商的多重因素,但對消費者來說,當詐騙集團說出了交易細節時,首要怪罪的就是網購平台。加上從資安角度來看,除了使用者端的問題外,多半都是線上購物網站能夠自行處理的環節,另外從經濟部到數位發展部對個資的管理辦法更明確規範:如有委託蒐集、處理及利用個資者,委託人應適當監督受託人,也就是網路平台對外包或合作廠商的個資處理都有監督責任。
個資主管機關散落各部會 出事要找誰?
但如果業者管理有疏失,主管機關又是誰?我國的《個人資料保護法》並未設置單一專責機關,最初解釋機關為法務部,但國發會成立個資保護專案辦公室,負責協調GDPR(歐盟一般資料保護規定)相關事宜後,法務部也將《個資法》的解釋權移交國發會,但國內尚沒有《個資法》的專責機關,《個資法》條文中明訂,由中央目的事業主管機關或直轄市、縣(市)政府共同辦理,因此該行業別的主管機關也負責該產業個別業者的個資管理。舉例來說,如果經營旅宿、航空業的業者發生個資外洩,主管機關為交通部;如果人力銀行發生個資外洩,主管機關則為勞動部。
至於以網路販售並無實體店面的業者則列為無店面零售業,例如知名網購平台MOMO、PC home等,主管機關原先為經濟部商業司,去年8月27日起轉移為數位部主責。值得注意的是軟體開發、資訊服務業者除了受委託人監督外,其實發生個資外洩時也有相應的主管機關管理、審查,依登記項目不同主要為數位部或經濟部管理。
憲法法庭判決3年內成立個資獨立機關 國發會動起來
其實憲法法庭去年8月時宣判健保資料庫部分違憲時,大法官在判決書中提出我國沒有獨立個資保護機關,有違憲之虞,應從判決日3年內修法或建立法制,也就是說,國內3年內應該要成立個資的獨立機關。對此國發會早就有相關研究說明,如果設立如NCC、中選會同層級的獨立機關,不僅有獨立的組織法規和財務資源,也不受其他機關指揮監督,據悉國發會目前已委託學者專家針對《個資法》修法和成立獨立機關作可行性評估。
成立像歐盟模式的獨立個資管理機關,不僅能改善當下個資權責散落各目的事業主管機關的現況,更能有更多資源投注在個資保護。台灣人權協會研究員周冠汝分析,歐盟成立個資獨立機關的想法,其實是為了提升大眾信任,在保護好個資的情況下促進資料流通。
萬幼筠也點出,歐盟談數位經濟離不開「信賴」,因為信賴是交易最大的基礎,個資外洩或詐騙都連帶推升背後的交易成本,構築出可信賴的交易環境,才能進一步提升交易效率,這就包括業者須建立良好的資安環境,妥善保護消費者個資。
