中國大陸個人信息保護法草案全文發布

中國大陸第13屆全國人大常委會日前於第22次會議針對《個人信息保護法(草案)》進行審議,並公布草案全文,徵求各界意見至2020年11月19日止。

鑑於我國不乏有企業與中國大陸進行商務往來,此次中國大陸個人信息保護法草案,倘通過立法,其對於我國企業於中國大陸的經營,將可能帶來不小的衝擊。該草案全文共70條,內容不僅賦予自然人就其個人資料之權利,更課與個人信息處理者相應義務,且違反者最高可處5000萬元以下或上一年度營業額5%的罰款,同時可能遭命暫停相關業務、停業整頓或吊銷營業執照等處罰,其所規範的法律效果值得有關企業重視。

同時由該草案全文也可略窺歐盟一般資料保護規則(General Data Protection Regulation, GDPR)的影子,雖然並未全部移植GDPR規範內容,然而不論是對於自然人的權利、企業的義務、罰款金額,甚至是域外效力的規範,均可看出該個人信息保護法草案試圖仿效GDPR就個人資料的處理與保護進行規範。以下簡要介紹該草案的內容

一、地域適用範圍

依該草案第3條,於下列情形,均有個人信息保護法的適用

(一)在中國大陸境內處理(包含個人信息的收集、儲存、使用、加工、傳輸、提供、公開等活動)自然人個人信息的活動。

(二)在中國大陸境外處理自然人個人信息的活動,且符合下列情形:
1.以向境內自然人提供產品或服務為目的。
2.為分析評估中國大陸境內自然人的行為。
3.法律、行政法規規定的其他情形。

二、個人信息的定義

依該草案第4條規定,所謂個人信息是指以電子或者其他方式記錄的與已識別或者可識別的自然人有關的各種信息(不包括匿名化處理後的信息)。同時於草案第29條第2項將種族、民族、宗教信仰、個人生物特徵、醫療健康、金融帳戶、個人行蹤與其他一旦洩漏或者非法使用可能導致個人受到歧視或者人身、財產安全受到嚴重危害的個人信息列為敏感個人信息,而需另外遵守特別規定(第29條至第32條)。

三、個人自主權保障

(一)自主同意與個人信息處理

倘個人信息的處理是基於個人的同意,應當在個人充分知情的前提下、自願、明確作出意思表示。法律、行政法規規定處理個人信息應當取得個人單獨同意或者書面同意的,從其規定(第14條第1項),同時,個人有權撤回其同意(第16條)。

當個人信息的處理目的、處理方式和處理的個人信息種類發生變更的,應重新取得個人同意(第14條第2項)。另外,個人信息處理者知道或者應當知道其處理的個人信息為不滿14周歲未成年人個人信息時,應取得未成年人監護人的同意。

最後,除個人信息的處理是提供產品或服務所必須外,個人信息處理者不得以個人不同意處理個人信息或者撤回同意為由,拒絕提供產品或服務(第17條)。

(二)自動化決策相關權利

個人信息處理者利用個人信息進行自動化決策時,應保證決策的透明度和處理結果的公平合理。當個人認為自動化決策對其權益造成重大影響時,有權要求個人信息處理者說明,並有權拒絕個人信息處理者僅通過自動化決策的方式作出決定。

同時通過自動化決策進行商業營銷、信息推送時,個人信息處理者應同時提供不針對其個人特徵的選項。

(三)個人關於個人信息的權利

1.知情權(第44條)
2.決定權(第44條)
3.限制或拒絕個人信息的處理(第44條)
4.請求查閱、複製個人信息(第45條)
5.請求補充更正(第46條)
6.刪除權(第47條)

四、企業個人信息保護的義務

(一)個人信息保護原則的遵循

1.誠實信用原則(第5條)
2.目的特定原則、資料最小化原則(第6條)
3.公開透明原則(第7條)

(二)維持個人信息正確性(第8條)

(三)採取安全措施(第9條)
1.必要安全措施(第50條)
2.指定個人信息保護負責人,在中國大陸境外的個人信息處理者應於中國大陸境內設立專門機構或指定代表(第51條)。
3.定期審計(第53條)
4.風險評估(第54條)
5.個人信息洩漏通知義務(第55條)

(四)告知義務(第18條)

個人信息處理者在處理個人信息前,原則應以顯著方式、清晰易懂的語言向個人告知:
1.個人信息處理者的身份和聯繫方式;
2.個人信息處理目的、處理方式、處理的個人信息種類、保存期限;
3.個人行使本法規定權利的方式與程序;
4.法律、行政法規規定應告知的其他事項。

前述應告知事項變更時,應將變更部分向個人告知。

(五)保存期限(第20條)

個人信息的保存期限,除法律或行政法規另有規定外,應為實現處理目的所必要的最短時間。

(六)共同個人信息處理者(第21條)

該草案第21條類似GDPR共同控制者(joint controllers)的規定,規定兩個或兩個以上的個人信息共同決定個人信息處理目的和處理方式時,應約定各自的權利義務,該約定不影響個人向任何一個個人信息處理者行使本法規定的權利。

同時,個人信息處理者共同處理個人信息,侵害個人信息權益時,應依法承擔連帶責任。

(七)委託監督義務(第22條)

(八)個人信息轉移、提供之告知義務(第23條、第24條第1項、第39條)

個人信息處理者因合併、分立等原因須要轉移個人信息時,應向個人告知接收方的身份、聯繫方式。接收方應繼續履行個人信息處理者義務。接收方變更原先處理目的、處理方式時,應依照本法重新向個人告知,並取得同意。

另外個人信息處理者向第三方提供其處理的個人信息時,也應向個人告知第三方的身份、聯繫方式、處理目的、處理方式與個人信息的種類,且應取得個人的單獨同意。

(九)禁止第三方再識別(第24條第2項)

個人信息處理者向第三方提供匿名化信息時,第三方不得利用技術等手段重新識別個人身份。

五、跨境提供個人信息(第38條)

個人信息處理者因業務等需要,確需向中國大陸境外提供個人信息時,應符合以下其中之一的條件:
1.通過國家網信部門組織的安全評估;
2.按照國家網信部門的規定經專業機構進行個人信息保護認證;
3.與境外接收方訂立合同,約定雙方的權利和義務,並監督其個人信息處理活動達到本法規定的個人信息保護水準:
4.法律、行政法規或者國家網信部門規定的其他條件。

六、處罰規定(第62條)

違反本法處理個人信息,或未按照規定採取必要的安全保護措施,情節嚴重時,將由履行個人信息保護職責的部門責令改正,沒收違法所得,並處5000萬元以下或者上一年度營業額5%以下之罰款,並可責令暫停相關業務、停業整頓、通報有關主管部門吊銷相關業務許可或者吊銷營業執照。同時對直接負責的主管人員和其他直接責任人員最高處10萬元以上,100萬元以下的罰款。

綜觀中國大陸該份個人信息保護草案,儘管與我國個人資料保護法(下稱個資法)有許多相似之處(例如個人資料處理的合法事由、委託監督義務與部分當事人權利等),然而其個人信息保護法草案引入GDPR諸多概念,包含自動化決策、禁止再識別、個人信息保護負責人與個人信息跨境提供等規範,這些均為我國個資法所無。

另外該個人信息保護法草案有域外適用的規範,我國企業不僅與中國大陸通商頻繁,且均使用華語,倘該法通過,我國許多企業較其他國家業者容易被認定為有個人信息保護法之適用,我國企業宜密切注意該部草案立法動向,並事先部署個人資料保護管理制度,以利面對這波全球對於個人資料保護法立法或修法的浪潮。

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.從抖音案看中國大陸個人資料保護的發展
2.靠攏GDPR,日本通過新修正個人情報保護法
3.個資外洩,該怎麼辦?
4.如何落實GDPR法遵?英國ICO發布問責制框架
5.歐盟法院SCHREMS II案與常見問答

加州針對基因檢測公司通過基因資料隱私法

在加州消費者隱私法(California Consumer Privacy Act , CCPA )之後,加州( California)參議院於今(2020)年8月31日通過「基因資料隱私法( Genetic Information Privacy Act)」,該法尚待加州州長Gavin Newsom簽署。

立法者考量基因體資料(Genomic data)具有高度可區分性,只要有30到80個單核苷酸多型性(single nucleotide polymorphism, SNP)序列即可以唯一得識別一個個體。同時基因體資料非常穩定,其在個人的生命中幾乎沒有變化,因此具有長期價值(long-lived value),與其他具有到期日期的生物特徵資料(biometric data,例如血液檢測)不同。且基因檢測公司在很大程度上不受監管,並且可能暴露個人與基因資料,造成意想不到的後果,因而制定該法。

該法主要規範直接面向消費者的基因檢測公司(Direct-to-consumer genetic testing company),包含直接向消費者銷售(Sells),推銷(markets),解釋(interprets)或以其他方式提供消費者主動接觸( consumer-initiated)的基因檢測產品或服務的組織,或是分析從消費者取得的基因資料的組織,除非該基因資料的分析是由具醫療執照之人基於醫療診斷或治療的情況為之。

該法一旦正式頒佈,將要求前述基因檢測公司遵守比加州消費者隱私法更嚴謹的規範,包含:

1.向消費者提供蒐集、利用、維護和揭露基因資料的清楚且完整的政策和程序資訊,包含通俗易懂的隱私權實施原則(privacy practices)、明顯且易於接觸的隱私權聲明(privacy notice)與如何提出投訴的清楚描述。

2.取得消費者的明確同意,以蒐集、利用與揭露消費者的基因資料,其中至少應包含針對所蒐集基因資料用途(誰有權利用、如何共享基因資料)、每次將基因資料傳輸或揭露給第三方時(包含第三方名稱)與根據基因資料向消費者進行行銷等事項的單獨且明確的同意。同時該法也明文規定,依靠「暗黑模式(Dark pattern)」,即透過使用者介面(user interface, UI)操縱或設計實質影響消費者自主權、決策權或選擇權所獲得的同意並不構成明確同意。

3.提供有效的撤回同意機制,使消費者無須採取任何不必要的步驟,其中應包含公司與消費者聯繫的主要媒介。同時公司於收到消費者撤回同意後的30天內銷毀消費者的生物樣本(biological sample)。

4.實施並維護合理的安全程序與措施以保護消費者的基因資料遭到未經授權的存取、破壞、利用、修改或揭露。

5.制定程序與措施,使消費者能夠輕易得近用其基因資料、刪除消費者帳戶和基因資料、銷毀消費者的生物樣本。

6.不得因消費者行使相關權利而予以差別待遇,包含拒絕提供商品、服務或利益;對商品或服務收取不同價格或費率;向消費者提供不同級別或品質的商品、或利益等情形。

7.除特定情形外,不得將消費者的基因資料揭露給某些組織,例如與作出健康保險、人壽保險、長期照護保險、失能險或就業決策有關的組織。

8.每次違反該法將受到最高1萬美元的民事處罰(civil penalty)。

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※你可能會對這些文章有興趣
1.個資外洩,該怎麼辦?
2.當個資外洩發生時,企業是否可以向系統商求償?
3.投資個資保護的價值?
4.挪威資料保護主管機關推出監理沙盒,協助人工智慧的開發
5.歐盟法院SCHREMS II案與常見問答


從抖音案看中國大陸個人資料保護的發展

(本文主要介紹中國大陸法制與判決,相關用語均尊重原文)

中國大陸第13屆全國人民代表大會(下稱全國人大)第3次會議於今(2020)年5月28日表決通過了「中華人民共和國民法典(下稱民法典)」,民法典將於2021年1月1日起開始實施,民法典第1032條至第1039條針對隱私權與個人信息(即個人資料,以下為尊重原文與統一用語,將以個人信息稱之)制定基礎的保護原則、定義個人信息的概念、載明個人信息處理的合法基礎、規範個人信息處理者的義務、自然人就個人信息的權利與行政機關的職責等事項。另外,中國大陸的國家市場監督管理總局與國家標準化管理委員也於今年發布「GB/T 35273-2020信息安全技術個人信息安全規範」,將於今年10月1日正式實施,其針對「多項業務功能的自主選擇」、「用戶畫像(profiling)的使用限制」、「個性化展示的使用」、「基於不同業務目的所收集個人信息的匯聚融合」、「第三方接入管理」、「個人信息安全工程」、「個人信息處理活動紀錄」、「徵得授權同意的例外」、「個人信息主體註銷帳戶」、「明確責任部門與人員」以及「個人生物識別信息」等內容進行增加與修改。而全國人大常委會也於今年表示預計將「個人信息保護法」與「數據安全法」等草案提請審議,可以看得出中國大陸對於制定個人信息保護相關規範的重視。

另外北京互聯網法院於2020年7月30日就抖音App侵害個人權益一案進行一審判決(下稱本案),認定抖音App構成原告個人信息權益的侵權行為,成為網路時代下中國大陸關於App蒐集、處理與利用個人信息的典型判決。以下將簡要介紹本案的內容。

個人信息的定義

中華人民共和國民法總則(下稱民法總則)第111條規定:「自然人的個人信息受法律保護。任何組織和個人需要獲取他人個人信息的,應當依法取得並確保信息安全,不得非法收集、使用、加工、傳輸他人個人信息,不得非法買賣、提供或公開他人個人信息。」,另依網路安全法第76條第5項規定:「個人信息,是指以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別自然人個人身份的各種信息,包括但不限於自然人的姓名、出生日期、身份證件號碼、個人生物識別信息、住址、電話號碼等。」

本案判決認為,根據前揭規定,構成個人信息應滿足「可識別性」與「有一定的載體」兩個要件。「有一定的載體」是構成個人信息的形式要件,即個人信息應以電子或其他方式記錄,沒有一定載體記錄的信息無法構成個人信息。所謂可識別性,包含對於個體身份的識別(是誰)、個體特徵的識別(是什麼樣的人),同時在考量是否具可識別性時,不應機械割裂得對每一個單獨信息進行判斷,而應結合具體場景,以信息處理者處理的相關信息組合進行判斷。

本案所涉及的姓名、手機號碼與地理位置信息均構成個人信息

本案中,原告主張被告(北京微播視界科技有限公司)於2019年2月9日原告註冊使用抖音App前收集、存儲、使用其姓名及涉案手機號碼的行為構成侵權。法院判決認為,姓名是自然人作為社會個體與他人進行區別,在社會生活中具備可識別性的稱謂或符號。手機號碼是電話管理部門為手機設定的號碼,隨著「手機實名制」政策的推行和普及,手機號碼與特定自然人的關連性愈加緊密,因此自然人的姓名與其使用的手機號碼無論單獨或組合均具有可識別性,屬於個人信息。

另外針對地理位置信息部分,根據抖音App的「隱私政策」,其對「個人信息」的解釋包括「個人位置信息」,對「個人敏感信息」包括「精準定位信息」。可見「隱私政策」中的個人位置信息亦非僅限於「精準定位信息」。同時因為手機號碼具有可識別性,在收集手機號碼的情形下,被告收集的位置信息與手機號碼信息組合,能夠識別到特定人,屬於個人信息,與該位置的精確程度無關,因此地理位置信息也屬於個人信息。

本案所涉及的信息蒐集、處理與使用構成原告個人信息權益的侵害

一、被告於2019年2月9日原告註冊抖音App前收集、存儲原告姓名和手機號碼並使用的行為並未徵得原告同意

本案被告通過讀取其他手機用戶通訊錄的方式獲得原告姓名和手機號碼,並在原告註冊後向其推薦可能認識的人。被告對原告姓名和手機號碼的處理可以分為三個階段,而被告於第一階段與第三階段,針對原告姓名和手機號碼並使用的行為並未徵得原告同意:

1.第一階段:2019年2月9日前被告通過向其他手機用戶申請授權收集並存儲了其他手機用戶的手機通訊錄信息,其中包含了原告的姓名和手機號碼,此時原告尚未註冊使用抖音App,被告在未徵得原告同意的情況下對手機號碼為處理。

2.第二階段:2019年2月9日原告使用手機號碼註冊抖音App時,被告收集並存儲了原告註冊時提供的手機號碼,原告註冊的行為應視為其同意被告收集其手機號碼。

3.第三階段:被告使用原告第二階段註冊使用的的手機號碼與第一階段從其他手機用戶手機通訊錄中收集、存儲的手機號碼進行匹配,並向原告推薦「可能認識的人」。被告雖主張該階段信息處理行為已透過「隱私政策」告知原告,但根據隱私政策內容:「你使用推薦通訊錄好友功能時,在獲得你的明示同意後,我們會將你通訊錄中的信息進行高強度加密算法處理後,用於向你推薦通訊錄的好友。」,法院認為該內容應指,被告讀取原告通訊錄後,向原告進行推薦,並非從他人通訊錄收集原告手機號碼並向原告推薦,兩種收集方式與推薦邏輯並不完全相同,不能視為被告已經告知並徵得原告同意。

二、被告未徵得原告同意處理其姓名和手機號碼的行為,構成對原告該項個人信息的侵害

本案法院認為,被告對於姓名和手機號碼的使用,會涉及手機用戶、通訊錄聯繫人與互聯網行業發展的不同利益需求的平衡,應從姓名和手機號碼「信息的特點與屬性」、「信息使用的方式和目的」、「對各方利益可能產生的影響」等面向進行分析。儘管本案被告讀取手機通訊錄時不可避免得會讀取原告的手機號碼,但讀取和匹配行為並不會對原告產生打擾,也通常不會不合理得損害原告利益,且有利於滿足其他有社交需求用戶的利益及行業和社會發展的需要,屬於對該信息的合理使用。

然而法院特別強調,該合理使用仍應符合處理個人信息的合法、正當、必要原則。本案中,原告未註冊時,不存在在抖音App中建立社交關係的可能,被告從其他用戶手機通訊錄收集到原告姓名和手機號碼後,通過匹配可以知道軟件內沒有使用該手機號碼作為帳戶的用戶,應及時刪除該信息,但被告並未及時刪除,直到原告起訴時,該信息仍存儲於被告的後台系統中,超出必要限度,故不屬於合理使用,構成對原告該項個人信息權益的侵害。

三、被告未徵得原告同意收集原告的地理位置信息,構成對原告該項個人信息的侵害

依據原告所提交的公證書顯示,原告下載抖音App後,在瀏覽「用戶隱私政策概要」及「隱私政策」之前,抖音App主頁視頻上方即顯示原告公證時公證處所在城市「成都」。在原告使用手機號碼登錄後,主頁視頻上方同樣顯示「成都」,隨後才彈窗詢問「允許訪問你的位置?你的城市信息將會在個人主頁上展示,可在資料頁手動修改或取消展示」。顯然,無論原告是否同意允許訪問其「位置」,被告已經在詢問前收集到該信息。

被告雖主張其通過IP地址獲得模糊的地理位置信息,然而未提交證據證明。縱使其陳述屬實,作為軟件經營者在互聯網信息交互時獲得了用戶的IP地址,但IP地址並不必然等同於地理位置,通過IP地址去分析用戶所在地理位置並在軟件中進行顯示,屬於對信息的進一步處理和使用,同樣需要徵得用戶的同意,否則依然構成對個人信息的不當使用和過度處理。同時根據抖音App的「隱私政策」條款:「你發布音視頻等信息並選擇顯示位置時,我們會請求你授權地理位置這一敏感權限,並收集與本服務相關的位置信息。這些技術包括IP地址、GPS……」,可知根據「隱私政策」通過IP地址獲得地理位置亦應徵得用戶同意。故被告在未徵得原告同意情況下收集原告的地理位置信息,構成對原告該項個人信息的侵害。

四、被告責任

1.被告應於判決生效日刪除未經原告同意所收集的姓名、手機號碼與地理位置信息等個人信息

依中華人民國共和國侵權責任法(下稱侵權責任法)第15條規定:「承擔侵權責任的方式主要有:(一)停止侵害;(二)排除妨礙;(三)消除危險;(四)返還財產;(五)恢復原狀;(六)賠償損失;(七)消除影響、恢復名譽。」另網路安全法第43條規定:「個人發現網路運營者違反法律、行政法規的規定或者雙方的約定收集、使用其個人信息的,有權要求網路運營者刪除其個人信息;發現網路運營者收集、存儲的其個人信息有錯誤的,有權要求網路運營者予以更正。網路運營者應當採取措施予以刪除或者更正。」

本案法院認為,依照前述規定,信息主體要求網路運營者刪除違法收集的個人信息時,無需以構成實際損害為前提。另原告雖要求被告停止使用並刪除2019年2月9日前收集、存儲的其姓名和手機號碼的個人信息與未經授權收集、存儲的地理位置信息,然而就責任承擔的方式,刪除信息即可以實現停止使用。因此,原告得要求被告刪除未經原告同意所收集的姓名、手機號碼與地理位置信息等個人信息。

2.被告應於判決生效日起7日內,以書面形式向原告道歉

依照最高人民法院關於審理利用信息網路侵害人身權益民事糾紛案件適用法律若干問題的規定第16條:「人民法院判決侵權人承擔賠禮道歉,消除影響或者恢復名譽等責任形式的,應當與侵權的具體方式和所造成的影響範圍相當。」由於被告侵權行為發生在抖音App中,並未給原告造成向抖音用戶公開的大範圍影響,因此考量被告的侵權方式和所造成影響範圍,法院判決被告應以書面方式向原告道歉。

3.被告應於判決生效日起7日內賠償原告經濟損失1000元與維權合理費用4231元

依照侵權責任法第20條規定:「侵害他人人身權益造成財產損失的,按照被侵權人因此受到的損失賠償;被侵權人的損失難以確定時,侵權人因此獲得利益的,按照其獲得的利益賠償;侵權人因此獲得的利益難以確定,被侵權人和侵權人就賠償數額協商不一致,向人民法院提起訴訟的,由人民法院根據實際情況確定賠償數額。」

本案法院認為,對個人信息的消極利用會給信息主體帶來人身和財產受到侵害的風險,對個人信息的積極利用會給使用者帶來利益。個人信息是數據的重要來源之一,而數據作為新型生產要素又是數字經濟發展的基礎,對於個人信息的採集和利用必然會帶來商業價值和經濟利益。儘管本案原被告均未就原告因個人信息權益受到侵害所遭受的財產損失或被告因此獲得利益的部分提出相關證據,但被告對個人信息的採集和利用必然會為其商業運贏帶來利益。因此判決被告在未徵得原告同意情況下採集原告的個人信息並加以利用的行為,應進行一定的經濟賠償,並考量本案情況酌定賠償數額為1000元(約新臺幣4272元),被告並應賠償原告的維權合理費用(公證費支出)4231元(約新臺幣18075元)。

結語

在數位時代下,消費者所使用的每項產品,其背後的技術與邏輯往往把持於經營者手上,就連法院也必須依據手上現有的證據逐一抽絲剝繭,並且透過專家的協助,才有可能稍稍瞭解其背後的真相。儘管本案判決的賠償金額不高,但其針對抖音App蒐集、處理與利用個人信息的過程,細緻區分每個階段流程,並加以分析判斷各階段流程個人信息處理的合法性,實屬難得。

同時該案判決也於末段強調,因為技術能力,普通網路用戶很難瞭解其個人信息如何被處理和利用,其對網路空間中的個人信息和私人領域的控制力更為減弱。因此互聯網企業更需要從保護用戶權利的角度,合法合規得設計產品模式、開發技術應用。規範個人信息的處理行為並不會影響行業發展,反而會促使技術在個人信息保護方面不斷創新進步。企業可以透過諸如完善隱私政策內容和告知形式、對信息不可復原的匿名化處理等產品模式和技術創新的方式,在加強隱私權和個人信息保護的前提下,促進互聯網行業的發展,而非對公民個人權益和行業發展非此即彼的取捨,互聯網企業應承擔其應盡的法律責任和社會責任。

觀諸中國大陸現行與即將施行的民法典中關於個人資料保護的法令,儘管難謂完善,其仍尚待一部完整的個人資料保護法,然而從本案中可以看出,現時於中國大陸侵害自然人個人資料的權益仍有相對應的法律責任。同時今年10月1日實施的「GB/T 35273-2020信息安全技術個人信息安全規範」,其中已有歐盟一般資料保護規則(GDPR)的影子,未來中國大陸關於個人資料保護的規範,或許會有朝GDPR靠攏的趨勢。

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※你可能會對這些文章有興趣
1.個資外洩,該怎麼辦?
2.當個資外洩發生時,企業是否可以向系統商求償?
3.投資個資保護的價值?
4.挪威資料保護主管機關推出監理沙盒,協助人工智慧的開發
5.歐盟法院SCHREMS II案與常見問答

怎麼寫遺囑?

「未知生,焉知死。」幾千年前古人的一句話,影響了我國民眾對於提及後事的看法,不過最近Youtube上由《我是老爸,我不要當爸》所發起的「我的遺囑」活動,邀請志銘狸貓魚乾蕾菈等知名yotuber一同錄製並上傳自己的遺囑,究竟像這樣錄音錄影的方式,是否會有法律上「遺囑」的效力,讓我們下面為大家來說明。

根據民法第1189條的規定,遺囑必須依照法律規定的形式,因此民眾的遺囑只有在符合法律規定的自書遺囑、公證遺囑、密封遺囑、代筆遺囑與口授遺囑的要求下,才會具有「遺囑」的法律效力,遺囑中的內容才會有法律加以保障,確保遺囑的內容能夠依照民眾的意志來去執行。

一、自書遺囑

民法第1190條規定,「自書遺囑者,應自書遺囑全文,記明年、月、日,並親自簽名;如有增減、塗改,應註明增減、塗改之處所及字數,另行簽名。」簡單說,如果要符合「自書遺囑」,必須自己書寫遺囑,同時須於遺囑上簽名並且記清楚年月日,也就是說「自書遺囑」必須符合遺囑人自書遺囑全文、記明年月日、親自簽名等三個要件,才是有效的遺囑(最高法院28年上字第2293號判例意旨參照)。

至於以電腦打字的方式是否符合「自書遺囑」,由於遺囑制度在於尊重立遺囑人之遺志,而遺囑是在立遺囑人死亡後才發生效力,該遺囑的內容是否確為立遺囑人的本意已無從查證,為避免與遺囑有關的人之間發生爭執,以及確保立遺囑人的真意,而規定遺囑必須依一定之方式為之,才具備遺囑的效力,而如果遺囑以電腦打字的方式撰寫,實際上不僅難以證明該份遺囑是由立遺囑人以電腦親自繕打,同時實務上也認為民法第1190條對於「自書」的定義是指立遺囑人以「親筆書寫」之方式為之,才能透過筆跡鑑定的方式認定是否為本人書寫,在還沒修法前,不應該擴張解釋為包含以電腦打字的方式,因此以電腦打字的方式撰寫遺囑並不符合民法第1190條「自書遺囑」的規定(最高法院102年度台上字第900號民事裁定參照)。

依照前述實務見解,連電腦打字都不符合民法第1190條「自書遺囑」的規定,以錄音錄影的方式甚至是將其上傳Youtube或Podcast的話也不會構成「自書遺囑」。

二、公證遺囑

公證遺囑較自書遺囑慎重,雖可透過公證人與見證人確保立遺囑的人的真意,避免事後的爭執,但程序上較為麻煩,依照民法第1191條第1項的規定,須由遺囑人指定二人以上的見證人,並在公證人前口述遺囑意旨,由公證人筆記、宣讀、講解,經遺囑人認可後,記明年、月、日,由公證人、見證人及遺囑人同行簽名,才符合民法第1191條「公證遺囑」的規定。

公證遺囑須由立遺囑人於公證人前「口述」,此處的「口述」指以口頭陳述、言詞的方式為之,不得以其他舉動表達(最高法院102年度台上字第2141號民事裁定參照),另外公證遺囑的見證人必須於遺囑人立遺囑時始終親自在場,如見證人其中一人中途離去,僅留一人在場時,則不符合「公證遺囑」的方式(最高法院102年度台上字第98號民事判決參照),這些都是公證遺囑時須要特別注意的地方。

三、密封遺囑

密封遺囑(不是蜜蜂遺囑),依民法第1192條第1項規定,立遺囑人應於遺囑簽名後,將遺囑密封,並於封縫處簽名後向公證人提出(如遺囑不是立遺囑人本人書寫,須同時陳述繕寫人之姓名、住所),由公證人於封面記明該遺囑提出之年、月、日及遺囑人所為的陳述,與遺囑人及見證人一同簽名。

四、代筆遺囑

民法第1194條規定,「代筆遺囑,由遺囑人指定三人以上之見證人,由遺囑人口述遺囑意旨,使見證人中之一人筆記、宣讀、講解,經遺囑人認可後,記明年、月、日及代筆人之姓名,由見證人全體及遺囑人同行簽名,遺囑人不能簽名者,應按指印代之。」當遺囑人不便書寫或不識字時,此時便可以透過代筆遺囑,由遺囑人口述遺囑意旨,使見證人中之一人筆記、宣讀、講解遺囑內容,經遺囑人認可後,記明年、月、日及代筆人的姓名,由見證人全體及遺囑人一同簽名。

「代筆遺囑」中所謂「使見證人中之一人筆記」,依照實務見解,由於法律並未規定「筆記」的方式,因此只需將遺囑意旨以文字表明即可,所以不論是由代筆見證人親自書寫,或是由代筆見證人起稿而後以打字方式為之,都符合「代筆遺囑」的規定。(最高法院86年度台上字第432號民事判決參照)。

另外,民法第1194條中關於「使見證人中之一人筆記、宣讀、講解遺囑內容」的部分,最高法院認為,遺囑的筆記、宣讀與講解並不一定都須要由同一個見證人完成,避免增加法律所沒有的限制(最高法院105年度台簡上字第36號民事判決參照)。

五、口授遺囑

口授遺囑是唯一可以透過「錄音方式」作成的遺囑,然而依民法第1195條規定必須限於「遺囑人因生命危急或其他特殊情形,不能依其他方式為遺囑者」的情形,才可以用下列的方式為口授遺囑:
1.由遺囑人指定二人以上之見證人,並口授遺囑意旨,由見證人中之一人,將該遺囑意旨,據實作成筆記,並記明年、月、日,與其他見證人同行簽名。(筆記口授遺囑)
2.由遺囑人指定二人以上之見證人,並口述遺囑意旨、遺囑人姓名及年、月、日,由見證人全體口述遺囑之為真正及見證人姓名,全部予以錄音,將錄音帶當場密封,並記明年、月、日,由見證人全體在封縫處同行簽名。(錄音口授遺囑)

當遺囑人死亡後,應由見證人中之一人或利害關係人,於遺囑人死亡後三個月內,提交給親屬會議認定其遺囑真偽,如對於親屬會議之認定如有異議,得聲請法院判定之(民法第1197條參照)。

另外,由於口授遺囑的前提是「遺囑人因生命危急或其他特殊情形,不能依其他方式為遺囑者」的情形,因此當遺囑人能依其他方式為遺囑的時候起,口授遺囑經過三個月而失去效力(民法第1196條參照)。

最後民法第1195條第1款與第2款分別為筆記口授遺囑與錄音口授遺囑,而民法第1195條第2款雖規定「錄音」與「將錄音帶當場密封」等要件,然而考量現今科技技術,而且原則上錄影會包含錄音的內容,此處或許可以包含透過手機、錄音筆錄音、或錄影後當場燒錄為光碟並密封的情形。

結語

Youtuber們「我的遺囑」活動立意出發良善,讓人省思以及感謝周遭的人事物,並且思考身後財產的分配,然而筆者也必須提醒像這樣以錄影方式作出的「遺囑」,並不符合前面所列出的合法遺囑的情形,因此在民法上並無法構成具有法律效力的「遺囑」,前面提及的Youtuber們有些也有於說明欄特別提醒這個部分。以下本文會簡單整理五種法定遺囑的要件,讓大家比較清楚其中的不同。

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※你可能會對這些文章有興趣
1.個資外洩,該怎麼辦?
2.當個資外洩發生時,企業是否可以向系統商求償?
3.投資個資保護的價值?
4.談性向、約炮、多人運動與性隱私的保護

除了告他還能告誰,個資外洩與系統商責任

最近又傳出購物網站發生個資外洩,導致民眾受到詐騙,損失金額高達2000多萬元。一般民眾通常遇到個資外洩時,通常會選擇向個資外洩的公司求償,不過除此之外,依具體案件情形,民眾也可以考慮一併向維護該公司網站或系統的廠商(下稱系統商)求償,最近便有藝人於A公司的網站上訂購商品,因此於該網站留存姓名、手機號碼、E-mail、地址等個人資料,之後居然發現於Google搜尋引擎可以搜尋到她的個人資料,經過法院審理後,認為維護網站的系統商(B公司)與負責該專案的專案經理應負連帶賠償責任,以下是該臺灣雲林地方法院108年度六簡字第198號民事判決的簡要整理與分析。

一、被告B公司與負責該專案的專案經理應負連帶賠償責任

1.原告隱私權確實遭到侵害

法院認為,依據原告所提出被告A公司會員專區、GOOGLE搜尋引擎所得資料等網頁截圖,能見原告之姓名、手機號碼、E-mail、住家住址等資料,足以認為不特定多數人於被告A公司網站故障當時,若於GOOGLE搜尋引擎鍵入原告之姓名,即能獲得上開資訊,因此足以證明原告隱私權已遭侵害。

2.被告B公司的專案經理沒有提出網站資安防護工作建置相關資料,無法認定其有採取適當安全措施

本件被告B公司負責的專案經理雖然表示經營五年以來都沒有出事過,事發之後也都有進行補救,然而卻沒有提出事前為A公司建置網站資安防護工作的相關資料,作為個資外洩時有對其所取得客戶資料建置有效防護措施之證據,無法認定其有依個人資料保護法(下稱個資法)第27條採取適當安全措施,因此法院認定原告得依個資法第29條與民法第184條第1項之規定請求該專案經理負損害賠償責任。

3.被告B公司應與專案經理負連帶賠償責任

法院認為專案經理於被告B公司任職時,對被告A公司網站取得的客戶資料沒有建置有效的防護措施,導致侵害原告隱私權,依照民法第188條第1項規定,被告B公司應與專案經理未適當保護個人資料的侵權行為負連帶賠償責任。

二、被告A公司與法定代理人無須負賠償責任

本件法院認為,被告A公司的網站所留存的個人資料是由被告B公司支配掌握,被告A公司及其法定代理人對於個人資料被竊取或外洩風險並沒有控制能力,難認原告受有隱私權的損害與被告A公司及其法定代理人間有相當因果關係存在。

三、結論與評析

本件判決僅認定被告B公司與其專案經理應負擔損害賠償責任,卻認為被告A公司及其法定代理人無須負責,否則即有不當擴大企業責任之虞,然而依照個資法施行細則第8條,委託他人蒐集、處理或利用個人資料時,委託者應對受託者為適當之監督,同時必須定期確認與紀錄受託者執行的狀況。因此,本件被告A公司將其網站委託給被告B公司與其專案經理管理時,如有依法善盡委託者的監督管理責任,是否即能於事前發現被告B公司與專案經理並沒有為網站建置防護措施的情形,則被告A公司及其法定代理人是否毫無責任,似乎仍有討論的空間。

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※你可能會對這些文章有興趣
1.個資外洩,該怎麼辦?
2.當個資外洩發生時,企業是否可以向系統商求償?
3.投資個資保護的價值?
4.談性向、約炮、多人運動與性隱私的保護

當個資外洩發生時,企業是否可以向系統商求償?

企業與系統商簽訂契約,要求系統商提供電子商務網站平台及相關服務時,當網站平台的資訊安全系統設計不符合現行科技水準,導致企業因個資外洩所造成賠償消費者金錢、商譽損害等損失,系統商是否須負損害賠償責任?國內最近即有一間公司(原告)向提供不符合現行科技水準網站系統的廠商(被告)成功求償102萬1976元(臺灣臺北地方法院108年度訴字第1721號民事判決),以下簡單介紹該判決的內容。

1.雙方的契約性質為承攬契約

法院認為依照雙方契約內容,原告基於契約所取得的並非僅有旗艦版平台,還包含網址服務、電子發票服務項目、SSL加密憑證、SSL憑證檔嵌入服務、其他系統串接維護費、物流系統串接維護費、系統串接維護費等多項加值服務,所以原告所打算取得的標的是具備上開功能與服務之電子商務網站,而非只是單純地租用網路平臺。同時依照契約內容所記載交件、驗貨與報酬給付等細節,可以認為雙方所約定的客製化網路平臺服務,屬於民法第490條所謂的承攬契約。

2.被告應證明損害的發生為不可歸責於被告事由所導致

基於民事訴訟法第277條舉證責任的分配,債務人抗辯損害之發生為不可歸責於己之事由所致,應由其負舉證責任,如不能舉證證明,即不能免責(最高法院107年度台上字第638號民事判決參照)。因此,本件被告主張個資事故是因為駭客攻擊所導致,屬不可歸責於被告之事由而不須要負責時,便應該由被告舉證證明本件損害的發生屬不可歸責於被告之事由所導致。

3.本件被告沒有盡到事前防禦措施,無法證明被告與損害的發生無關

(1)其他使用被告公司提供平台的業者也曾發生多次個資事故

本件判決認為被告雖說明已提供至少有十數項資安防護措施,並有多重之驗證措施、安全性設定機制,以加強使用者使用系統網站功能之保密性及安全性。然而其他使用被告所提供之電子商務平台之業者,也曾陸續發生遭駭客入侵盜取消費者個人資料之情形,甚至同樣使用被告之網路平台之VIVO公司,其網站之資訊安全保護經OWASP標準檢測為最低等級之F。

(2)被告提供的網站平台不符合現行科技水準

被告雖然辯稱他使用至少十數項資安防護措施,且創設數道繁複的手續,然而被告所提供之網路平台在2年間即發生數次個人資料因駭客攻擊而外洩之事件,法院認為如果真像被告所表示採取國際公司規則之資安防護技術,應不致發生如此多次數駭客入侵之情形,且原告與被告雙方雖沒有約定以OWASP標準作為網頁安全漏洞之檢測依據,然而被告所提供之網站如果符合現行科技水準,依OWASP標準檢測之結果,其所獲得之評價也不應該會落入最低等級之程度,因此難以認為被告所提供之網站平台符合現行科技水準。

(3)被告盡到善良管理人注意義務,才有辦法免責

法院更進一步指出,雖然在現行科技水準下,網路世界中雖無法百分之百避免外來之駭客入侵,然網路平台業者仍須善盡其注意義務,維護網絡環境,建置更為良善之資安系統,降低遭駭客惡意侵入之情事發生。被告作為提供網路平台予他人使用之業者,其應負的契約義務除提供權限管道與客戶使用外,還包括維護網站之資訊安全,只有在被告已善盡其善良管理人之注意義務,針對駭客攻擊之事件才有辦法得以免除責任,然而被告並沒有盡到事前防禦措施,因此仍須負起相關責任。

4.原告得向被告請求賠償項目與金額

經過法院認定,原告可以向被告主張的賠償項目與金額有以下三項

(1)解除契約返還報酬

由於原告依民法第494條解除雙方的承攬契約,因此原告可以依照民法第259條第1款、第2款請求先前已給付予被告的承攬報酬。

(2)賠償第三人和解金

由於原告公司因個資外洩事故,導致原告與訴外人達成和解,並給付和解金。同時該和解金與被告提供網路平台的瑕疵間具有相當因果關係,因此原告可以向被告請求此部分損害的賠償。

(3)商譽損失

原告因為網站平台的瑕疵,導致消費者於公共論壇上抱怨與討論,導致原告公司的商譽有所減損,因此法院認定原告可以向被告請求商譽損失。

至於原告主張其他的損失(例如另外與其他網站系統商簽約的支出、網站系統轉換停止營運等損失),則與被告網站平台的瑕疵無關,因此原告不得向被告求償。

由本件判決來看,被告在抗辯的時候除提出抵銷抗辯外,似乎並沒有提出民法第217條過失相抵的抗辯,有點可惜,因此原告公司就個資事故的發生是否有過失,而使被告得以主張賠償金額的減免,在本判決內並無法得知,之後希望可以在上級審的判決中看到更詳細的論述。

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※你可能會對這些文章有興趣
1.談性向、約炮、多人運動與性隱私的保護
2.個資外洩,該怎麼辦?
3.投資個資保護的價值?

談性向、約炮、多人運動與性隱私的保護

近期陸續發生藝人與網紅被揭露約炮、多人運動或是性向等情形,引起許多風波,從法律的角度來看,前述這些與性有關的資訊原則都屬於個人資料保護法(下稱個資法)第6條所謂的特種個人資料,而不得隨意蒐集、處理或利用。我國立法委員今年也分別提出「侵害個人性私密影像防制條例草案」、「性隱私侵害防制條例草案」與「性隱私影像侵害犯罪防制條例草案」等法案,希望對於性隱私侵害的情形能有進一步的規範,保障受侵害當事人的權益。

個資法第6條第1項

有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:
1、法律明文規定。
2、公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
3、當事人自行公開或其他已合法公開之個人資料。
4、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
5、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。 六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。

而個資法施行細則第4條第4項針對所謂的「性生活」個人資料,其定義為:「指性取向或性慣行之個人資料。」,因此揭露他人性向(性取向)、約炮或多人運動(性慣行)都可能會有個資法第6條特種個資規定的適用,只有在符合該條1到6款法律所規定的事由時,才能蒐集、處理或利用(例如將該等資料公開揭露)。

在媒體接獲爆料者爆料而揭露他人與性有關的資料的情形,其既非法律規定、也不是履行法定義務範圍內,更不可能是為了學術研究或是得到當事人同意,因此可能會有違反個資法第6條的規定。而違反個資法第6條時,可能會有以下民事、刑事與行政責任:

民事責任(個資法第28條第1項與第29條第1項):損害賠償

公務機關或非公務機關違反個資法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,都應負損害賠償責任。同時受害者請求損害賠償時,還應特別注意個資法第30條關於請求權時效的規定,即必須自知有損害及賠償義務人時起2年內或自損害發生起5年內行使請求民事損害賠償的權利。

刑事責任(個資法第41條):5年以下有期徒刑,得併科新臺幣100萬元以下罰金

意圖為自己或第三人不法之利益或損害他人之利益,而違反第6條第1項、第15條、第16條、第19條、第20條第1項規定,或中央目的事業主管機關依第21條限制國際傳輸之命令或處分,足生損害於他人者,處5年以下有期徒刑,得併科新臺幣100萬元以下罰金。

行政責任(個資法第47條第1款):5萬元以上50萬元以下罰鍰,並限期改正

非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣5萬元以上50萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之:1、違反第6條第1項規定。

另外依照個資法第50條 ,如非公務機關受到前述罰鍰處罰時,非公務機關之代表人、管理人或其他有代表權人,除能證明已盡防止義務者外,否則原則上應受同一額度罰鍰之處罰。以前述案例來說,媒體公司的董事長(代表人)除非能證明其就該公司非法揭露他人性生活特種個人資料有盡到防止的義務,否則當該公司受到罰鍰時,仍可能會受到同一金額的罰鍰處罰。

性隱私保護之立法

除了前述個人資料保護法的規定,我國立法委員也分別於今(2020)年提出「侵害個人性私密影像防制條例草案」、「性隱私侵害防制條例草案」與「性隱私影像侵害犯罪防制條例草案」等法案,「性隱私侵害防制條例草案」較其他草案所規範的「性隱私影像」外,更將「未經同意,將他人與性有關之行為紀錄、傳送、公開或揭露」等行為,定義為性隱私侵害。因此公開揭露他人的性生活等資訊,均可能屬於該「性隱私侵害防制條例草案」所謂的性隱私侵害,而有相關罰則的適用。

同時前述草案也都針對網際網路平臺業者、電信業者與廣播電視事業等有特別規範(例如於時限內移除相關資訊內容),如果違反的話甚至可能會按「每小時10萬元」處以罰鍰。

性隱私無疑是個人最私密的資訊,然而隨著資訊的流通,既有的規範難免有無法周全的時候,也因此會有新的立法與修法不斷推陳出新,而除了不要侵害他人的隱私之外,對於自身的隱私,仍然要多加注意,畢竟一經洩漏,可能是一生的傷害。

※你可能對這些文章會有興趣:
1.個資外洩,該怎麼辦?
2.關於COOKIES同意,你有更好的作法
3.個人資料保護管理制度(PIMS)比較
4.華盛頓州州長簽署臉部辨識法案
5.加拿大隱私專員辦公室提出AI監管方案

代理孕母與人工生殖法修法草案

2020年5月29日是釋字791號大法官解釋關於通姦除罪化的日子,大法官認定刑法通姦罪與刑事訴訟法第239條但書規定均違憲,自即日失效。使通姦不再歸刑法管,但仍然可以透過民事訴訟等方式來對外遇的配偶與小三求償。

不過今天要談的是立法院於今年5月1日一讀通過的「人工生殖法部分條文修正草案」,預計將代理孕母納入人工生殖法的規範裡面,為代理孕母合法化翻開新的篇章。

現行法制代理孕母合法性疑義

1.由代理孕母懷孕出生的小孩,無法視為受術夫妻的婚生子女

我國民法第1065條第2項規定:「非婚生子女與其生母之關係,視為婚生子女,無須認領。」,在立法上是採「分娩者為母原則」,所以在其他法律無特別規定時,代孕所生出的子女,依民法規定,代理孕母為其法律上之母親(法務部民國101年06月08日法律字第10100573820號函釋參照),而受術夫妻(即希望透過代理孕母獲得子女的夫妻)則必須多花一道程序,透過民法上認領或收養的方式來與代孕子女產生法律上親子關係(可參考〈誰才是爸爸媽媽?──代理孕母親子關係之認定〉)。

2.代理孕母請求報酬的權利無法獲得保障

對於代理孕母來說,其擔任代理孕母所應獲得的報酬,由於法律上未特別保障代理孕母請求的權利,因此往往仰賴於代理孕母與受術夫妻間所約定的契約,然而依照民法第72條規定,法律行為如果背於公共秩序或善良風俗,其效力為無效。因此法院實務上,有認為代理孕母契約並約定報酬的協議屬於違反公序良俗,因此導致代理孕母於分娩後無法獲得其應得的報酬的前例(臺灣新竹地方法院98年度竹簡字第281號民事判決參照)。

3.施行代理孕母手術的醫生可能面臨法律責任

過往亦有醫師為他人實施代理孕母方式之人工生殖,而經法院認定違反醫師法第28條之4規定而判賠民事損害賠償51萬元(臺灣臺中地方法院97年度訴字第2432號民事判決參照),甚至可能有醫師法相關罰鍰、停業或廢止執業執照等風險

4.侵害配偶身份法益的問題

在釋字791號大法官解釋讓通姦除罪化前,代理孕母方式之人工生殖由於沒有「性器接合」,所以不會有刑法上通姦罪的問題,然而讓有配偶的女子以人工生殖方式受孕並生出子女,是否會侵害該名配偶的身份法益?似乎值得討論。不過在老公讓第三人提供卵子,以人工生殖方式受孕的情形,實務上則有判決認為該第三人已侵害該名老公與配偶間共同生活之美滿與幸福,干擾夫妻間婚姻關係,而應負民法第184條第1項後段與第195條的損害賠償責任(臺灣高等法院95年度重上字第310號民事判決參照)。

人工生殖法代理孕母相關修正草案重點

1.將代孕生殖納入規範

修正草案第2條明文規定代孕者與代孕生殖的定義,代孕者指「與受術夫妻約定,接受其胚胎植入子宮,代為孕育及生產胎兒者。」,代孕生殖則是「以人工生殖方式,對代孕者施行孕育及生產胎兒之技術。」,同時刪除受術夫妻關於「妻能以其子宮孕育生產胎兒」的限制,以期將代理孕母的人工生殖方式納入既有人工生殖法的規範內。

2.受術夫妻與代孕者資格限制

修正草案第18條之1與第18條之2針對受術夫妻與代孕者資格為限制,例如受術夫妻必須一方具備中華民國國籍,且符合妻無子宮、因子宮、免疫疾病或其他事實,難以孕育子女或因懷孕或分娩有嚴重危及生命之虞。同時代孕者必須符合成年女性、曾有生產經驗、經評估與檢查適合代孕、完成代孕生殖次數不得超過2次等條件。

另外修法草案內提到代孕生殖時,不得使用代孕者之卵子,因此前述案例中使用第三人卵子與子宮代孕的人工生殖方式(臺灣高等法院95年度重上字第310號民事判決參照),在該修法草案的規定下,仍不合法。

3.代孕契約

修正草案第18條之3規定受術夫妻委託代孕者代孕前,應接受專業諮詢並簽訂代孕契約,同時代孕契約必須經過公證。如果代孕者有配偶的話,該配偶也必須接受專業諮詢與簽訂代孕契約,以減少日後爭議。

代孕契約的內容,必須保障代孕者的隱私權、懷孕期間關於健康的身體自主權、探視代孕子女、懷孕失敗後終止或解除契約與投保人身保險等權利,同時規定主管機關必須訂定代孕契約的應記載與不得記載事項。

4.代孕者的酬金與費用

修正草案第18條之5明文規定在主管機關所定的範圍內,受術夫妻得對代孕者提供酬金,並應提供營養費或營養品,或負擔代孕者必要的檢查、諮詢、醫療、照護、交通、工時損失及其他相關費用。透過主管機關限定酬金範圍,避免因金錢利誘所形成的商業行為,同時使受術夫妻負擔代孕者因代孕所伴隨的成本費用。

5.代孕子女視為受術夫妻婚生子女

如同前面所提到,依民法規定,代理孕母所生的代孕子女,無法視為受術夫妻的婚生子女,因此修正草案第18條之9特別規定合法代孕者所生的子女,其視為受術夫妻的婚生子女,如果該條文通過的話,受術夫妻便不用另外收養或認領原本應該是屬於自己的小孩。

6.代孕者的身體自主權

儘管代孕者是接受受術夫妻的委託而代孕,然而在代孕者經人工生殖手術懷孕後,經診斷或證明胎兒有嚴重遺傳性疾病、有畸形發育之虞者或有優生保健法規定的情形時,依修正草案第18條之10規定,仍得施行人工流產,以保障代孕者的身體自主權,然而此等情形,代孕者是否可能會須依照代孕契約的約定負擔賠償責任或違約金,如果須負擔賠償金或違約金是否合理?此部分似乎須仰賴主管機關所訂定的代孕契約的應記載與不得記載事項來作進一步的規範,使代孕者的身體自主權有更合理的保障。

過往的人工生殖法未將代理孕母納入規範,導致衍生許多爭議,希望本次修正草案得順利於立法院三讀通過,以減少相關紛爭,並讓求子而不可得的父母得以透過代孕生殖的方式喜獲子女,進而提升我國的生育率。

個資外洩,該怎麼辦?

隨著網路的普及與電子商務活動的盛行,民眾將個人資料透過各種管道提供給企業時,都會希望企業能夠善盡保管個人資料的義務,作好適當安全維護措施,避免將寶貴的個人資料洩漏給無關的第三人,然而我們仍然時常聽聞聽到媒體報導某某企業發生個資外洩事件,究竟在企業個資外洩的時候,民眾如何透過民事訴訟程序來獲得應有的賠償呢?

個資外洩受害當事人可以主張的權利

1.個人資料保護法(下稱個資法)第29條第1項、第28條第2項

「非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。」(個資法第29條第1項)
「被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。」(個資法第28條第2項)

2.民法第184條第1項前段、第195條第1項

「因故意或過失,不法侵害他人之權利者,負損害賠償責任。」(民法第184條第1項前段)
「不法侵害他人之身體、健康、名譽、自由、信用、隱私、貞操,或不法侵害其他人格法益而情節重大者,被害人雖非財產上之損害,亦得請求賠償相當之金額。其名譽被侵害者,並得請求回復名譽之適當處分。」(民法第195條第1項)

3.其他

另外依據具體發生個案內容,實務上也有原告主張下列權利的情形:
「因可歸責於債務人之事由,致為不完全給付者,債權人得依關於給付遲延或給付不能之規定行使其權利。」(民法第227條第1項)
「債務人因債務不履行,致債權人之人格權受侵害者,準用第192條至第195條及第197條之規定,負損害賠償責任。」(民法第227條之1)
「企業經營者違反前二項規定,致生損害於消費者或第三人時,應負連帶賠償責任。但企業經營者能證明其無過失者,法院得減輕其賠償責任。」(消費者保護法第7條第3項)

請求民事損害賠償需要注意的地方

1.請求損害賠償類型(財產上損害與非財產上損害)

如果民眾因個資外洩導致受到財產上的損害或是非財產上損害(例如個資外洩往往可能伴隨人格權、隱私權的侵害,此時即可主張請求非財產上損害,也就是俗稱的精神慰撫金),此時即可分別向被告公司主張前述兩種損害賠償類型。

實務上常看到民眾不清楚可以請求的權利與損害賠償類型,往往僅主張其中之一,而未能另外請求其他損害賠償類型,導致無法成功求償的情形。因此如果評估自身有因個資外洩導致受有財產上損害與非財產上損害,即可向法院表明,以維護自身的權益。

2.請求金額

依個資法請求損害賠償時,原告如果無法證明實際損害時,依個資法第28條第3項,可以請求法院依個資被侵害情節,以每人每一事件新臺幣500元以上2萬元以下計算。因此在無法或難以證明因個資外洩的損害金額時,可以請求法院依照該條計算。

然而上開規定僅規範在個人資料保護法,因此如果原告依其他法條(民法第184條第1項前段)請求損害賠償時,則不受前述個資法「每人每一事件新臺幣500元以上2萬元以下計算」的限制,然而相對來說也必須負擔不一樣的舉證責任。

最後必須說明的是,前述限制適用於「每人每一事件」,因此如果發生多次的個資侵害事件,則是以「個資侵害次數 ╳ 請求金額=請求總金額」。在臺灣高等法院107年度上易字第188號民事判決中,法院即認為被告每查詢個資1次,便應賠償非財產上損害1萬元,最高判賠8萬元。

3.舉證責任

由於舉證之所在,敗訴之所在,原告如果想要成功求償,除了引用適當的法條之外,還必須特別注意下列關於舉證的事項:
(1)被告是否有個資外洩的情形?
(2)與原告受損害間有無因果關係?
(3)被告公司有無採行適當安全措施?
筆者將相關判決整理如後,由於個資外洩所造成的金額均較少,無法透過上訴由最高法院統一法律見解。因此,目前法院實務上對於個資外洩相關請求損害賠償事件的舉證責任,仍有些許分歧。

然而筆者認為,隨著時代的發展與商業模式的演變,類似這種個人資料外洩的侵權行為損害賠償,不論是個人資料如何外洩等資料、被告公司是否有依法落實適當安全措施以及相關證據,大多均偏向被告公司一方,而導致民眾有時候求償時,因無法提出確切證明而遭到敗訴的結果。

如果民眾想要向被告公司主張前述權利時,以實務上常見的透過個資、網路訂單的詐騙電話為例,民眾如要維護自身權益,可以透過電話錄音將與詐騙集團的對話錄音存證,同時在後續的訴訟程序中,除了請求法院調查被告公司是否有依個人資料保護法相關規定制定與落實個人資料檔案安全維護計畫,以及所保存的相關紀錄,也可以請求法院適時運用舉證責任轉換的原則,要求由被告公司負擔舉證責任,以減輕原告方舉證的壓力,進而獲得有利的判決結果。

※相關判決見解

(1)被告是否有個資外洩的情形

※認為應由原告負擔舉證責任的判決見解
「原審就本件上訴人(按:即原告)應先就其遭詐騙時之個資係「來自」被上訴人公司網站乙節負舉證之責後,再由被上訴人(按:即被告)就其未違反個資法第27條所定義務,即已採行適當安全措施而無故意或過失一事提出反證,所為之舉證責任分配並未違反前揭規定,即無違背法令之情事。」(臺灣新竹地方法院108年度小上字第29號民事判決
「原告既主張被告違反個人資料保護法規定,致其權利受損,則原告就其有利於己之事實即主張其遭詐騙時之個人資料係來自被告公司網站,及被告違反個人資料保護法規定之事實,即應先負舉證責任。」(臺灣士林地方法院107年度湖簡字第644號民事簡易判決

※認為應由被告負擔舉證責任的判決見解
「駭客入侵營業公司之電腦竊取其大量客戶資訊,要屬常態;反之,侵入個人電腦以竊取個人之消費資料,則屬變態。是應由被告先行舉證證明其確已善盡對於該公司客戶(含本件原告在內)所留消費資料之保存責任,且未遭不法蒐集,而不應推責於原告。」(臺灣士林地方法院107年度湖簡字第110號民事簡易判決臺灣士林地方法院107年度湖小字第401號小額民事判決意旨參照)

2)與原告受損害間有無因果關係

※認為應由原告負擔舉證責任的判決見解
「侵權行為之成立,須行為人因故意過失不法侵害他人權利,亦即行為人須具備歸責性、違法性,並不法行為與損害間有相當因果關係,始能成立,且主張侵權行為損害賠償請求權之人,對於侵權行為之成立要件應負舉證責任。是以,原告自應就被告公司有前開侵權行為之要件舉證。……被告公司對其所保有個人資料已採行符合個資法規定之安全措施,雖有本件個人資料外洩之事件,卻係第三人入侵電腦作業系統竊取所致,實難認被告公司就此具有故意或過失,況且,如附表1-A-2所示之人所受財產上損害,亦因第三人故意不法行為所造成,尚不能認與被告公司個人資料外洩間有相當因果關係。」(臺灣士林地方法院107年度消字第6號民事判決

※認為應由被告負擔舉證責任的判決見解
「被告未依法訂立個人資料檔案安全維護計畫及安全稽核機制致駭客入侵竊取原告個資,抑或因而遭被告公司人員外洩等情,惟此等事實因宥於網際網絡科技浩瀚並參雜人為因素之變異而有高度舉證困難,責令被害人擔負完全之舉證責任實有不公;而被告既為以此交易營利之企業經營者,原告交付個資後即由其支配掌握,其對於個資被竊取或外洩風險之控制及分擔能力俱優於原告,本院斟酌本件訴訟性質、兩造之舉證能力及被告違反義務之情節及風險分配之合理性,而比照我國實務就公害訴訟降低被害人因果關係舉證責任之見解,認被告行為所生之危險已有相當合理確定性,即推定有一般因果關係之存在……被告未依法採取訂立個人資料檔案安全維護計畫及稽核機制等防免個資遭竊取或外洩之安全措施,106年3月間即發生包括原告在內之大量旅客個資外洩情事,被告過失行為與原告個資外洩之損害間具備相當合理關聯,即推定有一般因果關係存在,被告自應提出確切反證始足推翻該因果關係之認定。」(臺灣臺北地方法院106年度北小字第2161號小額民事判決臺灣臺南地方法院臺南簡易庭106年度南簡字第1450號民事判決臺灣士林地方法院107年度湖簡字第110號民事簡易判決意旨參照)

(3)被告公司有無採行適當安全措施

※認為應由原告負擔舉證責任的判決見解
「原告主張依據個資法第29條第1、2項、第28條第2項規定請求損害賠償,自應先由原告就被告公司有違反個資法規定,亦即未就所保有個人資料檔案採行適當之安全措施一事,負舉證之責,若原告先不能舉證,以證實自己主張之事實為真實,則被告就其抗辯之事實即令不能舉證,或其所舉證據尚有疵累,亦應駁回原告之請求。」(臺灣士林地方法院107年度消字第6號民事判決

※認為應由被告負擔舉證責任的判決見解
「原審就本件上訴人(按:即原告)應先就其遭詐騙時之個資係「來自」被上訴人公司網站乙節負舉證之責後,再由被上訴人(按:即被告)就其未違反個資法第27條所定義務,即已採行適當安全措施而無故意或過失一事提出反證,所為之舉證責任分配並未違反前揭規定,即無違背法令之情事。」(臺灣新竹地方法院108年度小上字第29號民事判決
「被告因原告訂購機票而取得原告之姓名、電話號碼及搭乘客機活動等個人資料,依法應採行適當之安全措施以防止該個人資料被竊取或洩漏,被告倘未能舉證證明已盡此注意義務,即可認有過失,原告因而個資被竊取或外洩,自得依個人資料保護法第29條之規定請求被告為財產上或非財產上之損害賠償。」(臺灣臺北地方法院106年度北小字第2161號小額民事判決
「自原告上開個資事後為第三人所竊取或洩漏之事實以觀,足認被告對原告之個資應未採行適當之安全措施甚明。依前揭個資法第29條第1項規定,被告推定為有故意、過失,應就其行為負損害賠償責任;被告如主張免責,即須就其已善盡注意採行適當安全措施,而無故意或過失一事負舉證責任。」(臺灣臺北地方法院107年度北小字第266號小額民事判決

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※你可能還會對這些文章有興趣
1.除了告他還能告誰,個資外洩與系統商責任
2.當個資外洩發生時,企業是否可以向系統商求償?
3.投資個資保護的價值?
4.個人資料保護管理制度(PIMS)比較
5.紐約SHIELD Act