當個人資料外洩之後

近來檢調單位查獲多起官商勾結、盜賣民眾個人資料的案件。對此,大家的討論焦點多放在「消費者權益」與「侵害人權」的議題上,但針對法務部近日擬將違反「電腦處理個人資料保護法」(下稱個資法)的單一事件賠償總額由現行二千萬元提高到五千萬元,個人則希望另從「立法政策」的角度,來探討此一修法方向的合理性。

現行個資法雖明定每人每事件的損害賠償金額,原則上以二萬元至十萬元為度,但該法亦同時規定同一原因事實的最高賠償總額不得超過二千萬元(第廿七、廿八條參照)。這樣的立法,不但與損害賠償的法理原則相違,且在實際運作上,也極易出現荒謬的情形。例如,報載個人電信資料每筆約值「市價」五百元,倘若某家電信業者將其一百萬名用戶的個人資料販售出去,則該業者不但可輕鬆賺取五億元的「業外」收入,且縱使他日東窗事發,在依法賠償受害用戶二千萬元後,還可「淨賺」四億八千萬元,投資報酬率令人咋舌!更嚴重的是,此種「犯罪誘因」並不會因法務部擬將賠償總額提高到五千萬元而消失(挺多不法利得降低),反倒是這一百萬名受害用戶實際僅能分得二十元或五十元的賠償金額,讓「每人每事件賠償二萬元至十萬元」的規定,形同具文。

當然,以上的論述目的不在鼓勵犯罪,但會出現這麼荒謬的推論結果,恐怕個資法「設定損害賠償總額」的立法方式要負最大責任。事實上,以「法律經濟學」(law and economics)的觀點而論,個資法這樣的管制手段確實大有問題,因為它讓最有能力控制風險,也最有能力防止損害發生的政府機關或企業,不思加強內部控管及層層把關的機制(以免將來賠償金額太高),反而可能鼓勵其外洩資料以賺取暴利。另外,從「自由平等主義」(egalitarian liberalism)的法哲學思想來看,也讓人高度懷疑政府或立法者在擬定相關法條時,並未參照羅爾斯(J. Rawls)所主張的方法論:在制訂社會契約時,大家先站在無知之幕的背後(behind the veil of ignorance),拋開自己原有的身分、地位、財富、能力等,以確保討論的公正進行(參照朱敬一、李念祖著,基本人權,時報出版,二00三年)。否則怎會制訂出企業對消費者收費並無設限,但消費者向企業索賠卻有總額限制的法律?

不論「法律經濟學」或「自由平等主義」,都可算是現今法學界頗受重視,且可用來檢驗法律設計良窳的利器。而今,個資法有關「設定損害賠償總額」的立法方式,似乎無法通過以上兩種方法論的檢驗,則我們不禁要問:法務部或行政院此次修法,究竟依循何種立法哲學?或者,只是根據當權者、立法者或特定利益團體的意志?而未真正考量大多數人民的付託?

「法律」是一門實踐的社會科學,因此立法之初設想不週,以致日後必須重新檢討修正,實在所難免。不過,「公投法第十七條與三二0公投」、「總統副總統選舉罷免法未納入行政驗票機制,且準用民事訴訟程序」所引起的爭議殷鑑不遠,我們實在不希望政府及立法者在民眾個人資料外洩之後,又倉促立法、草率立法,讓沒有法理哲學、沒有人權關懷,甚至沒有管制功效的法條充斥我們的社會。

※ 刊登處:中國時報