March 2025
强化个资保护,防堵诈骗风险—电商合规重点(台湾)
随着电商产业的快速崛起,消费者越来越依赖网路交易,但同时也面临日益严峻的个资外泄与诈骗风险,使消费者对于交易安全与隐私保护的关注度大幅提升。电商业者作为大量消费者资料的搜集者,不仅须确保自身平台的资讯安全,更应建立完整的个资管理机制,以符合台湾个人资料保护法(下称「个资法」)及相关法令要求,降低资料外泄的风险,同时提升消费者对其品牌的信任。
由法规面而言,个资法课予业者对其保有的个人资料有安全维护义务。个资法第27条第1项及个资法施行细则第12条规定,非公务机关应采取适当之安全措施,以防止个人资料遭窃取、窜改、毁损、灭失或泄漏。所谓的「安全措施」,涵盖技术面与组织面措施,包括配置管理人员及资源、建立风险评估及管理机制、设备安全管理、资料安全稽核机制等。有鉴于每一家业者之规模不同,施行细则也特别规定业者应根据其组织规模及保有个人资料之数量,依比例原则建置适当的个资保护机制。
针对电商业者,延续过去对于经济部对于网际网路零售业及网际网路零售服务平台业之管理,数位发展部(「数发部」)依个资法第27条第3项授权,于112年10月12日制定「数位经济相关产业个人资料档案安全维护管理办法」(下称「安维办法」),要求电商业者应订定内部个人资料档案安全维护计画及业务终止后个人资料处理方法(下称「安维计画」),并进一步规范业者应采行之安全措施内容[1]。而为协助业者订定安维计画,数发部并提供「有关电商业者落实数位经济相关产业个人资料档案安全维护管理办法参考指引」(下称「安维指引」)及「个人资料档案安全维护计画范本」(下称「安维计画范本」)供业者参考。
委外个资处理的监督机制:事前选商与事后监督
实务上,电商业者为处理订单、收款和出货将消费者个资委外交由系统商、金流商或物流商处理,常因业者对委外厂商之监督、控制不足,而形成个资外泄的破口。根据安维办法第19条第2项规定,业者委托他人搜集、处理、利用个人资料,应对委外厂商的进行适当监督,并在委托契约或相关文件中明确约定其内容。参考数发部113年12月修订之安维指引及安维计画范本,建议电商业者透过以下事前与事后监督,确保委外厂商符合相关个资法令要求:
1. 事前监督:选商前,电商业者应建立适当选商程序;透过契约与委外厂商约定监督条款;要求委外厂商取得公正第三方认证;要求委外厂商依个资法施行细则第12条第2项提供自我检核表等。
2. 事后监督:选商后,业者应依契约落实监督,具体可透过现场稽核、书面审查或提供公正第三方认证等方式为之,并应留存委外合约之修订、实际监督证据或要求委外厂商填具之自评表等相关纪录。
近期法院判决:电商业者对于防堵诈骗之作为义务
过去,法院已有数件关于消费者于电商平台消费,却因个资外泄遭诈骗,业者无法举证已采取适当之安全措施,尽其个资安全维护义务,须对消费者负民事损害赔偿责任之判决。近期,台北高等行政法院112年度诉字第889号判决更指出,依据非公务机关规模、特性、取得保有个人资料之性质及数量等因素,评估个人资料搜集、处理、利用的流程,藉以分析可能产生的风险,并根据风险分析结果,订定适当管控措施,实施后且应滚动检讨,就(疑似)发生个资被窃取或泄漏情形,采取应变措施以控制损害,查明事故状况并以适当方式通知当事人,且应研议预防机制防止类似事故再次发生等,均应属于个资法第27条第1项所称适当之安全措施。法院认为,拦阻诈骗讯息循电信通讯或网路传递,需藉由公私协力方式,使民间业者承担核对发送诈骗讯息者身分、阻截诈骗或恶意讯息来源继续发送等任务。并进一步确认网路拍卖平台对于「网路钓鱼诈骗」有采取适当且有效之预防、通报及应变机制的作为义务。
依前开判决意旨,若业者未能采取有效措施以阻止或减少诈骗案件之发生,仍可能构成个资法第27条第1项及个资法施行细则第12条之违反,而面临个资法第48条第2项或第3项规定之裁罚。
电商业者应完善个资安全管理标准
为防范与打击电信或网路诈骗,个资法已于112年修法提高未采行适当安全措施之罚则至最高新台币1500万元。实务判决也看出法院对电商业者就消费者个资保护安全维护义务所需采行之安全措施采相当高的标准。建议电商业者制定内部安维计画时,除参考数发部的安维指引及安维计画范本外,更应依自身之规模、保有之个资数量与风险采行符合比例原则之适当安全措施,并确保个资管理制度符合自身业务需求与法令标准,避免将安维计画范本视为最低标准,而应依据自身营运风险与需求,订定更为完善的个资保护机制,方能有效降低法律风险。
[1] 参本所 数位经济相关产业个人资料档案安全维护管理办法之简介(台湾) 。
由法规面而言,个资法课予业者对其保有的个人资料有安全维护义务。个资法第27条第1项及个资法施行细则第12条规定,非公务机关应采取适当之安全措施,以防止个人资料遭窃取、窜改、毁损、灭失或泄漏。所谓的「安全措施」,涵盖技术面与组织面措施,包括配置管理人员及资源、建立风险评估及管理机制、设备安全管理、资料安全稽核机制等。有鉴于每一家业者之规模不同,施行细则也特别规定业者应根据其组织规模及保有个人资料之数量,依比例原则建置适当的个资保护机制。
针对电商业者,延续过去对于经济部对于网际网路零售业及网际网路零售服务平台业之管理,数位发展部(「数发部」)依个资法第27条第3项授权,于112年10月12日制定「数位经济相关产业个人资料档案安全维护管理办法」(下称「安维办法」),要求电商业者应订定内部个人资料档案安全维护计画及业务终止后个人资料处理方法(下称「安维计画」),并进一步规范业者应采行之安全措施内容[1]。而为协助业者订定安维计画,数发部并提供「有关电商业者落实数位经济相关产业个人资料档案安全维护管理办法参考指引」(下称「安维指引」)及「个人资料档案安全维护计画范本」(下称「安维计画范本」)供业者参考。
委外个资处理的监督机制:事前选商与事后监督
实务上,电商业者为处理订单、收款和出货将消费者个资委外交由系统商、金流商或物流商处理,常因业者对委外厂商之监督、控制不足,而形成个资外泄的破口。根据安维办法第19条第2项规定,业者委托他人搜集、处理、利用个人资料,应对委外厂商的进行适当监督,并在委托契约或相关文件中明确约定其内容。参考数发部113年12月修订之安维指引及安维计画范本,建议电商业者透过以下事前与事后监督,确保委外厂商符合相关个资法令要求:
1. 事前监督:选商前,电商业者应建立适当选商程序;透过契约与委外厂商约定监督条款;要求委外厂商取得公正第三方认证;要求委外厂商依个资法施行细则第12条第2项提供自我检核表等。
2. 事后监督:选商后,业者应依契约落实监督,具体可透过现场稽核、书面审查或提供公正第三方认证等方式为之,并应留存委外合约之修订、实际监督证据或要求委外厂商填具之自评表等相关纪录。
近期法院判决:电商业者对于防堵诈骗之作为义务
过去,法院已有数件关于消费者于电商平台消费,却因个资外泄遭诈骗,业者无法举证已采取适当之安全措施,尽其个资安全维护义务,须对消费者负民事损害赔偿责任之判决。近期,台北高等行政法院112年度诉字第889号判决更指出,依据非公务机关规模、特性、取得保有个人资料之性质及数量等因素,评估个人资料搜集、处理、利用的流程,藉以分析可能产生的风险,并根据风险分析结果,订定适当管控措施,实施后且应滚动检讨,就(疑似)发生个资被窃取或泄漏情形,采取应变措施以控制损害,查明事故状况并以适当方式通知当事人,且应研议预防机制防止类似事故再次发生等,均应属于个资法第27条第1项所称适当之安全措施。法院认为,拦阻诈骗讯息循电信通讯或网路传递,需藉由公私协力方式,使民间业者承担核对发送诈骗讯息者身分、阻截诈骗或恶意讯息来源继续发送等任务。并进一步确认网路拍卖平台对于「网路钓鱼诈骗」有采取适当且有效之预防、通报及应变机制的作为义务。
依前开判决意旨,若业者未能采取有效措施以阻止或减少诈骗案件之发生,仍可能构成个资法第27条第1项及个资法施行细则第12条之违反,而面临个资法第48条第2项或第3项规定之裁罚。
电商业者应完善个资安全管理标准
为防范与打击电信或网路诈骗,个资法已于112年修法提高未采行适当安全措施之罚则至最高新台币1500万元。实务判决也看出法院对电商业者就消费者个资保护安全维护义务所需采行之安全措施采相当高的标准。建议电商业者制定内部安维计画时,除参考数发部的安维指引及安维计画范本外,更应依自身之规模、保有之个资数量与风险采行符合比例原则之适当安全措施,并确保个资管理制度符合自身业务需求与法令标准,避免将安维计画范本视为最低标准,而应依据自身营运风险与需求,订定更为完善的个资保护机制,方能有效降低法律风险。
[1] 参本所 数位经济相关产业个人资料档案安全维护管理办法之简介(台湾) 。
