March 2025
強化個資保護,防堵詐騙風險—電商合規重點(臺灣)
隨著電商產業的快速崛起,消費者越來越依賴網路交易,但同時也面臨日益嚴峻的個資外洩與詐騙風險,使消費者對於交易安全與隱私保護的關注度大幅提升。電商業者作為大量消費者資料的蒐集者,不僅須確保自身平台的資訊安全,更應建立完整的個資管理機制,以符合臺灣個人資料保護法(下稱「個資法」)及相關法令要求,降低資料外洩的風險,同時提升消費者對其品牌的信任。
由法規面而言,個資法課予業者對其保有的個人資料有安全維護義務。個資法第27條第1項及個資法施行細則第12條規定,非公務機關應採取適當之安全措施,以防止個人資料遭竊取、竄改、毀損、滅失或洩漏。所謂的「安全措施」,涵蓋技術面與組織面措施,包括配置管理人員及資源、建立風險評估及管理機制、設備安全管理、資料安全稽核機制等。有鑑於每一家業者之規模不同,施行細則也特別規定業者應根據其組織規模及保有個人資料之數量,依比例原則建置適當的個資保護機制。
針對電商業者,延續過去對於經濟部對於網際網路零售業及網際網路零售服務平台業之管理,數位發展部(「數發部」)依個資法第27條第3項授權,於112年10月12日制定「數位經濟相關產業個人資料檔案安全維護管理辦法」(下稱「安維辦法」),要求電商業者應訂定內部個人資料檔案安全維護計畫及業務終止後個人資料處理方法(下稱「安維計畫」),並進一步規範業者應採行之安全措施內容[1]。而為協助業者訂定安維計畫,數發部並提供「有關電商業者落實數位經濟相關產業個人資料檔案安全維護管理辦法參考指引」(下稱「安維指引」)及「個人資料檔案安全維護計畫範本」(下稱「安維計畫範本」)供業者參考。
委外個資處理的監督機制:事前選商與事後監督
實務上,電商業者為處理訂單、收款和出貨將消費者個資委外交由系統商、金流商或物流商處理,常因業者對委外廠商之監督、控制不足,而形成個資外洩的破口。根據安維辦法第19條第2項規定,業者委託他人蒐集、處理、利用個人資料,應對委外廠商的進行適當監督,並在委託契約或相關文件中明確約定其內容。參考數發部113年12月修訂之安維指引及安維計畫範本,建議電商業者透過以下事前與事後監督,確保委外廠商符合相關個資法令要求:
1. 事前監督:選商前,電商業者應建立適當選商程序;透過契約與委外廠商約定監督條款;要求委外廠商取得公正第三方認證;要求委外廠商依個資法施行細則第12條第2項提供自我檢核表等。
2. 事後監督:選商後,業者應依契約落實監督,具體可透過現場稽核、書面審查或提供公正第三方認證等方式為之,並應留存委外合約之修訂、實際監督證據或要求委外廠商填具之自評表等相關紀錄。
近期法院判決:電商業者對於防堵詐騙之作為義務
過去,法院已有數件關於消費者於電商平台消費,卻因個資外洩遭詐騙,業者無法舉證已採取適當之安全措施,盡其個資安全維護義務,須對消費者負民事損害賠償責任之判決。近期,臺北高等行政法院112年度訴字第889號判決更指出,依據非公務機關規模、特性、取得保有個人資料之性質及數量等因素,評估個人資料蒐集、處理、利用的流程,藉以分析可能產生的風險,並根據風險分析結果,訂定適當管控措施,實施後且應滾動檢討,就(疑似)發生個資被竊取或洩漏情形,採取應變措施以控制損害,查明事故狀況並以適當方式通知當事人,且應研議預防機制防止類似事故再次發生等,均應屬於個資法第27條第1項所稱適當之安全措施。法院認為,攔阻詐騙訊息循電信通訊或網路傳遞,需藉由公私協力方式,使民間業者承擔核對發送詐騙訊息者身分、阻截詐騙或惡意訊息來源繼續發送等任務。並進一步確認網路拍賣平台對於「網路釣魚詐騙」有採取適當且有效之預防、通報及應變機制的作為義務。
依前開判決意旨,若業者未能採取有效措施以阻止或減少詐騙案件之發生,仍可能構成個資法第27條第1項及個資法施行細則第12條之違反,而面臨個資法第48條第2項或第3項規定之裁罰。
電商業者應完善個資安全管理標準
為防範與打擊電信或網路詐騙,個資法已於112年修法提高未採行適當安全措施之罰則至最高新台幣1500萬元。實務判決也看出法院對電商業者就消費者個資保護安全維護義務所需採行之安全措施採相當高的標準。建議電商業者制定內部安維計畫時,除參考數發部的安維指引及安維計畫範本外,更應依自身之規模、保有之個資數量與風險採行符合比例原則之適當安全措施,並確保個資管理制度符合自身業務需求與法令標準,避免將安維計畫範本視為最低標準,而應依據自身營運風險與需求,訂定更為完善的個資保護機制,方能有效降低法律風險。
[1] 參本所 數位經濟相關產業個人資料檔案安全維護管理辦法之簡介(臺灣) 。
由法規面而言,個資法課予業者對其保有的個人資料有安全維護義務。個資法第27條第1項及個資法施行細則第12條規定,非公務機關應採取適當之安全措施,以防止個人資料遭竊取、竄改、毀損、滅失或洩漏。所謂的「安全措施」,涵蓋技術面與組織面措施,包括配置管理人員及資源、建立風險評估及管理機制、設備安全管理、資料安全稽核機制等。有鑑於每一家業者之規模不同,施行細則也特別規定業者應根據其組織規模及保有個人資料之數量,依比例原則建置適當的個資保護機制。
針對電商業者,延續過去對於經濟部對於網際網路零售業及網際網路零售服務平台業之管理,數位發展部(「數發部」)依個資法第27條第3項授權,於112年10月12日制定「數位經濟相關產業個人資料檔案安全維護管理辦法」(下稱「安維辦法」),要求電商業者應訂定內部個人資料檔案安全維護計畫及業務終止後個人資料處理方法(下稱「安維計畫」),並進一步規範業者應採行之安全措施內容[1]。而為協助業者訂定安維計畫,數發部並提供「有關電商業者落實數位經濟相關產業個人資料檔案安全維護管理辦法參考指引」(下稱「安維指引」)及「個人資料檔案安全維護計畫範本」(下稱「安維計畫範本」)供業者參考。
委外個資處理的監督機制:事前選商與事後監督
實務上,電商業者為處理訂單、收款和出貨將消費者個資委外交由系統商、金流商或物流商處理,常因業者對委外廠商之監督、控制不足,而形成個資外洩的破口。根據安維辦法第19條第2項規定,業者委託他人蒐集、處理、利用個人資料,應對委外廠商的進行適當監督,並在委託契約或相關文件中明確約定其內容。參考數發部113年12月修訂之安維指引及安維計畫範本,建議電商業者透過以下事前與事後監督,確保委外廠商符合相關個資法令要求:
1. 事前監督:選商前,電商業者應建立適當選商程序;透過契約與委外廠商約定監督條款;要求委外廠商取得公正第三方認證;要求委外廠商依個資法施行細則第12條第2項提供自我檢核表等。
2. 事後監督:選商後,業者應依契約落實監督,具體可透過現場稽核、書面審查或提供公正第三方認證等方式為之,並應留存委外合約之修訂、實際監督證據或要求委外廠商填具之自評表等相關紀錄。
近期法院判決:電商業者對於防堵詐騙之作為義務
過去,法院已有數件關於消費者於電商平台消費,卻因個資外洩遭詐騙,業者無法舉證已採取適當之安全措施,盡其個資安全維護義務,須對消費者負民事損害賠償責任之判決。近期,臺北高等行政法院112年度訴字第889號判決更指出,依據非公務機關規模、特性、取得保有個人資料之性質及數量等因素,評估個人資料蒐集、處理、利用的流程,藉以分析可能產生的風險,並根據風險分析結果,訂定適當管控措施,實施後且應滾動檢討,就(疑似)發生個資被竊取或洩漏情形,採取應變措施以控制損害,查明事故狀況並以適當方式通知當事人,且應研議預防機制防止類似事故再次發生等,均應屬於個資法第27條第1項所稱適當之安全措施。法院認為,攔阻詐騙訊息循電信通訊或網路傳遞,需藉由公私協力方式,使民間業者承擔核對發送詐騙訊息者身分、阻截詐騙或惡意訊息來源繼續發送等任務。並進一步確認網路拍賣平台對於「網路釣魚詐騙」有採取適當且有效之預防、通報及應變機制的作為義務。
依前開判決意旨,若業者未能採取有效措施以阻止或減少詐騙案件之發生,仍可能構成個資法第27條第1項及個資法施行細則第12條之違反,而面臨個資法第48條第2項或第3項規定之裁罰。
電商業者應完善個資安全管理標準
為防範與打擊電信或網路詐騙,個資法已於112年修法提高未採行適當安全措施之罰則至最高新台幣1500萬元。實務判決也看出法院對電商業者就消費者個資保護安全維護義務所需採行之安全措施採相當高的標準。建議電商業者制定內部安維計畫時,除參考數發部的安維指引及安維計畫範本外,更應依自身之規模、保有之個資數量與風險採行符合比例原則之適當安全措施,並確保個資管理制度符合自身業務需求與法令標準,避免將安維計畫範本視為最低標準,而應依據自身營運風險與需求,訂定更為完善的個資保護機制,方能有效降低法律風險。
[1] 參本所 數位經濟相關產業個人資料檔案安全維護管理辦法之簡介(臺灣) 。
