問題意識
個人資料保護法(以下簡稱本法)關於違法的責任共有三種,別別是民事責任的損害賠、行政責任的罰鍰及刑法責任的刑罰。
民事責任部分,可由本法第1條「為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。」知其保護的是人格權」,而民法第18條第1項規定「人格權受侵害時,得請求法院除去其侵害;有受侵害之虞時,得請求防止之。」故由人格權的保護可以介接本法與民法。除此之外,民法第184條第2項規定「違反保護他人之法律,致生損害於他人者,負賠償責任。但能證明其行為無過失者,不在此限。」及民法第18條第項項規定「前項情形,以法律有特別規定者為限,得請求損害賠償或慰撫金。」故由「保護他人之法律」亦可介接本法與民法。
行政罰(Administrative sanction)是國家為維持行政秩序,達成行政目的,對於違反行政法上義務的人民,由行政機關依照法律或自治條例等規定,所為處以罰鍰、沒入或其他種類行政罰的處罰。判斷是否屬行政罰,應視處分中是否具有「裁罰性」及「不利處分」之要件。依行政罰法第1條規定「違反行政法上義務而受罰鍰、沒入或其他種類行政罰之處罰時,適用本法。但其他法律有特別規定者,從其規定。」由於行政罰鍰,規範於本法第47條至第50條,因此,本法為行性罰法的特別法。
本法適用的資料不限於電腦處理之資料,本文擬從電腦處理之資料探討個人資料保護法第42條(以下簡稱本條文)之罪的適用。
違反本條文規定者,處五年以下有期徒刑、拘役或科或併科新臺幣一百萬元以下罰金。由處罰的類型可知,該等處罰係刑事罰責,但本法並非刑法,對於刑法如何適用,是否可以直接援引刑法相關規定,例如人的效力、地的效力、刑之規定…等。倘可適用刑法之規定,則本法與刑法的介接條文或規定為何?此等相關問題即為本文所要討論者。
介接條文
依刑法第33條規定:「主刑之種類如下:一、死刑。二、無期徒刑。三、有期徒刑:二月以上十五年以下。但遇有加減時,得減至二月未滿,或加至二十年。四、拘役:一日以上,六十日未滿。但遇有加重時,得加至一百二十日。五、罰金:新臺幣一千元以上,以百元計算之。」可知本條文之罪之處罰應為刑罰,但如何適用刑法之規定,依刑法第11條規定:「本法總則於其他法律有刑罰、保安處分或沒收之規定者,亦適用之。但其他法律有特別規定者,不在此限。」可知本法仍可適用刑法總則之規定。
由於刑法總則有適用,因此對本法僅第43條:「中華民國人民在中華民國領域外對中華民國人民犯前二條之罪者,亦適用之。」有提及效力部分,但仍有不足者,可依刑法之規定。其中關於地之效力,主要係刑法第3條及第4條的主要原則:
一、刑法關於地之效力係以「屬地原則」為主要原則。
二、而「屬地原則」,係指凡在本國領域內發生之犯罪,不論行為人或被害人為本國人或外國人或無國籍人,亦不問何種犯罪,侵害何種法益,均應適用本國刑法處斷。
三、刑法§3前段規定,「本法於在中華民國領域內犯罪者,適用之。」即明示屬地原則。
四、又所謂領域包括「領土」、「領空」與「領海」。
五、此外,依刑法§3後段規定,「在中華民國領域外之中華民國船艦或航空器內犯罪,以在中華民國領域內犯罪論。」可知,本國之船艦或航空器,無論為國有或私有,雖航行或停泊或停放於領域之外,但仍以本國之領域論,故在領域外之本國國有或私有船艦或航空機內犯罪者,仍適用刑法處斷。
六、刑法§4規定:「犯罪之行為或結果,有一在中華民國領域內者,為在中華民國領域內犯罪。」亦即只要犯罪之結果或行為部分發生在中華民國內者,其犯罪之所有部分皆視為發生於中華民國領域內,而適用本法(亦稱為「隔地犯」)。
至於時之效力,則有從舊從新原則的適用:
一、依刑法§2Ⅰ規定,「行為後法律有變更者,適用行為時之法律,但行為後之法律有利於行為人者,適用最有利於行為人之法律。」
二、故倘行為人行為後,法律有所變更,若新法有利於行為人時,則得適用較輕之新法規定。
三、所謂「行為後」係指該罪的不法內涵都完成之後。以刑法§302剝奪他人行動自由罪為例,縱然在拘禁期間遇有修法,仍不得主張從舊從輕原則而適用舊法。亦即「繼續犯」須在犯罪「終了」之後遇有修法才得主張從舊從輕原則。
介接電腦犯罪
雖然刑法第11條直接言明他有有刑法總之適用,但涉及分則者,則可能有一行為涉犯數罪名而有刑法第55條想像競合之適用。本文主要探討關於電腦處理之資料,因此,本條文是否同時涉犯刑法分則之規定,則在於本條文中關於「意圖為自己或第三人不法之利益或損害他人之利益,而對於個人資料檔案為非法變更、刪除或以其他非法方法,致妨害個人資料檔案之正確而足生損害於他人者」中的個人資料檔案之定性。本文認為,本法關於個人資料檔案,其本質應為刑法第10條第6項關於電磁紀錄之定義:稱電磁紀錄者,謂以電子、磁性、光學或其他相類之方式所製成,而供電腦處理之紀錄。
一旦承認本條文在電腦處理資料的情形下,其個人資料檔案實為電磁紀錄,則刑法關於電磁紀錄的規定,則亦有適用之餘地。刑法第36章之妨害電腦吏用罪章是直接相關者。
本條文與妨害電腦使用罪章第359條規定有重疊處。本條文係關於「正確」的要求,而影響電磁紀錄正確者,應包括電磁紀錄的刪除或變更,而此二種行為亦規定在第359條:「無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。」例如:
一、黃琪岳各承前開違反個人資料保護法及行使偽造準私文書之單一犯意,於107年5月20日15時14分至15分許、15時42分許、15時59分許,以前揭之行動電話門號0000000000號撥打聯邦銀行客服電話,冒用陳萬全之身分,偽造陳萬全個人資料之屬準私文書性質之電磁紀錄,行使以向聯邦銀行表示欲辦理行動電話及電子郵件變更,且於核對資料時,將陳萬全之姓名、手機號碼、出生日期、地址等資料告知不知情之聯邦銀行客服人員,使不知情之客服人員誤以為係陳萬全本人之申請,將陳萬全留存於該行之電話號碼依被告之指示變更為0000000000,EMAIL則變更為000000000@gmail.com,足生損害於陳萬全及聯邦銀行(涉犯個人資料保護法第42條之非法變更個人資料檔案罪、同法第359條無故變更電磁紀錄罪部分(臺灣高等法院 110 年度上訴字第 1618 號刑事判決)。
二、就犯罪事實欄一(一)、附表一編號2、11、13所示之犯行,均係犯個人資料保護法第42條之非法變更個人資料罪、刑法第359條之非法變更電磁紀錄罪及修正前刑法第339條第1項之詐欺取財罪(詐取台新、花旗及聯邦銀行之信用卡),其餘犯罪事實欄一(一)、附表一各編號所示之犯行,則均係犯個人資料保護法第42條之非法變更個人資料罪、刑法第359條之非法變更電磁紀錄罪。所示之犯行,及附表一編號1、3至10、12、14至16所示之犯行,分別為以一行為同時觸犯個人資料保護法第42條之非法變更個人資料罪、刑法第359條之非法變更電磁紀錄罪、修正前刑法第339條第1項及個人資料保護法第42條之非法變更個人資料罪、刑法第359條之非法變更電磁紀錄罪,為想像競合犯,亦應依刑法第55條前段之規定,分別從一重之非法變更個人資料罪處斷。行為人犯行,分別為以一行為同時觸犯個人資料保護法第42條之非法變更個人資料罪、刑法第359條之非法變更電磁紀錄罪、修正前刑法第339條第1項及個人資料保護法第42條之非法變更個人資料罪、刑法第359條之非法變更電磁紀錄罪,為想像競合犯,亦應依刑法第55條前段之規定,分別從一重之非法變更個人資料罪處斷(臺灣高等法院 臺中分院 104 年度上訴字第 942 號刑事判決 )。
三、黃琪岳與蔡玉蟬(由本院另行審結)為男女朋友,其等均明知姓名、出生年月日、國民身分證統一編號、聯絡方式、銀行帳戶密碼、Google帳號及密碼等,均屬個人資料保護法第2條第1款所規定之個人資料,不得任意非法蒐集、利用,竟共同意圖為自己不法之所有及不法利益,基於妨害電腦使用、非法蒐集及利用個人資料、非法以電腦相關設備製作不實財產權得喪紀錄取財、行使偽造準私文書、詐欺取財、詐欺得利之犯意聯絡,先由黃琪岳於民國107年5月29日前不詳時間,透過網際網路取得姚慧玲之酒店名片翻拍照片,因而知悉姚慧玲之姓名及行動電話號碼,黃琪岳繼而以在姚慧玲之行動電話門號前加不特定英文字母之方式,測試姚慧玲之Google帳號及密碼,繼而在Google網站頁面輸入該帳號及密碼,無故入侵姚慧玲之Gmail電子郵件信箱及雲端硬碟,以此方式非法蒐集姚慧玲之姓名、聯絡方式、Google帳號及密碼、出生年月日、國民身分證統一編號、姚慧玲之遠東商業銀行股份有限公司(下稱遠東銀行)信用卡資料(卡號詳卷)及姚慧玲在永豐商業銀行股份有限公司(下稱永豐銀行)之帳戶資訊等個人資料。嗣後黃琪岳即分別於107年5月29、31日及同年6月1日指示蔡玉蟬撥打遠東銀行及永豐銀行之客服專線電話,非法利用姚慧玲之個人資料而冒用姚慧玲之身分表示欲變更姚慧玲上開銀行帳戶之權限,並在不知情之銀行客服人員與其核對身分資料時,由蔡玉蟬依照黃琪岳之指示將姚慧玲之姓名、行動電話號碼及出生年月日等個人資料提供給該客服人員,致該客服人員誤信後,而使蔡玉蟬得以利用該不知情之客服人員進行姚慧玲信用卡解除控管,並重新設定上開姚慧玲遠東銀行信用卡之權限,且開啟姚慧玲之網路銀行功能。蔡玉蟬復將姚慧玲在永豐銀行、遠東銀行所留之市內電話、行動電話號碼及電子郵件信箱變更為(00)0000000、0000000000號及Z0000000000@proponmail.com,以避免其嗣後使用姚慧玲信用卡或銀行帳戶之網路銀行轉帳時,姚慧玲將可能因收到系統自動發出之一次性密碼(即One Time Password,下稱OTP)簡訊而查悉上情,足生損害於姚慧玲本人及遠東銀行、永豐銀行管理客戶資料之正確性。其後,再由黃琪岳於購物網站偽填姚慧玲之遠東銀行信用卡資料而盜刷姚慧玲之信用卡消費共計42筆(內容詳如附表所示),於此期間黃琪岳復未經姚慧玲之同意,登入姚慧玲在遠東銀行之網路銀行帳戶,進而轉帳新臺幣8萬元用以繳納黃琪岳上開盜刷姚慧玲信用卡所生之費用,以利其後續使用姚慧玲信用卡購物之行為,因而製作姚慧玲上開遠東銀行帳戶內財產權之得喪紀錄。嗣姚慧玲因接獲永豐銀行及遠東銀行之電話,方得知其上開永豐銀行及遠東銀行帳戶遭他人不法利用及信用卡遭盜刷。核被告所為,係犯個人資料保護法第41條違反同法第20條第1項之非公務機關未於蒐集之特定目的必要範圍內利用個人資料罪、個人資料保護法第42條之非法變更個人資料檔案罪、及刑法第358條之無故侵入電腦罪、刑法第359條無故變更電磁紀錄罪、刑法第339條之3第1項之非法以電腦相關設備製作不實財產得喪紀錄取財罪、刑法第216條、第210條、第220條第2項之行使偽造準私文書罪及刑法第339條第1項之詐欺取財罪、第339條第2項之詐欺得利罪。被告偽造準私文書之低度行為,應為行使偽造準私文書之高度行為所吸收,不另論罪。起訴書之所犯法條欄雖漏引刑法第339條第1項之詐欺取財罪、第339條第2項之詐欺得利罪之法條,然於犯罪事實欄業已敘明被告盜刷如附表所示信用卡消費共42筆之情,復經檢察官於原審審理中當庭補充(見本院原訴字卷二第147頁),本院自應併予審究(臺灣臺北地方法院 111 年度原簡上字第 3 號刑事判決)。
綜上述三個案之刑事判決可知,行為人涉犯本法第42條時,亦有刑法第359之適用,因此再依刑法第55條「從一重處斷」。但本條之罪之罰則為「處五年以下有期徒刑、拘役或科或併科新臺幣一百萬元以下罰金」,而違反刑法第359條之處罰為處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金」,依本法第46條規定:「犯本章之罪,其他法律有較重處罰規定者,從其規定。」,因此依刑法第35條規定:主刑之重輕,依第三十三條規定之次序定之。同種之刑,以最高度之較長或較多者為重。最高度相等者,以最低度之較長或較多者為重。刑之重輕,以最重主刑為準,依前二項標準定之。最重主刑相同者,參酌下列各款標準定其輕重:一、有選科主刑者與無選科主刑者,以無選科主刑者為重。二、有併科主刑者與無併科主刑者,以有併科主刑者為重。三、次重主刑同為選科刑或併科刑者,以次重主刑為準,依前二項標準定之。故本條文之罪顯較刑法第359條為重,應無刑法之適用。如此一來,是否一行為涉犯數罪名,但實際上並無刑法第359條規定之適用。
刑法第359條之適用
依本法第45條規定「本章之罪,須告訴乃論。但犯第四十一條之罪者,或對公務機關犯第四十二條之罪者,不在此限。」此與刑法第363條規定「第三百五十八條至第三百六十條之罪,須告訴乃論及第361條規定「對於公務機關之電腦或其相關設備犯前三條之罪者,加重其刑至二分之一。」相同。但本法對公務機關犯第42條之罪,並未如同刑法加重其刑至二分之一,因此,倘行為人對公務機關犯第42條之罪時,除同時該當本法第42條之外,亦同時該當刑法第361條、第359條及第363條。由第363條加重其刑至二分之一,故刑度由原先的第359條的「五年以下有期徒刑、拘役或科或併科六十萬元以下罰金」加重至「7.5年以下有期徒刑、拘役或科或併科90萬元以下罰金」,此時依刑法第33條及第35條規定,刑罰顯較本法為重,依本法第46條規定,則應處刑法之刑罰。
除此之外,如果行為人具有公務員身分,依未法第44條規定「公務員假借職務上之權力、機會或方法,犯本章之罪者,加重其刑至二分之一。」而刑法第34條規定「公務員假借職務上之權力、機會或方法,以故意犯本章以外各罪者,加重其刑至二分之一。但因公務員之身分已特別規定其刑者,不在此限。」故適用後,本罪經加重其刑之後仍較刑法加重第359條之刑為重,因此,仍僅有本條文而無刑法第359條之其刑罰。
由此可知,行為人涉犯本法第42條時,除非其對象非為公務機關,一律以本法論處;若為公務機關,則一律以刑法論處。
依刑法
結論
透過刑法第11條之規定,本法有刑法總則之適用,而本罪實與刑法第359有競合之處,若要論以刑法總則第55條規定「一行為而觸犯數罪名者,從一重處斷。但不得科以較輕罪名所定最輕本刑以下之刑。」但本法第46條規定顯然已與刑法總則有所抵觸。本文認為,應有刪除本法第46條之必要。
