臺北高等行政法院判決
高等行政訴訟庭第六庭
112年度訴字第1396號
113年9月12日辯論終結
原 告 旋轉拍賣有限公司
代 表 人 陳翊偉MARCUS TAN YI WEI(董事)
訴訟代理人 吳志光 律師
蕭秀玲 律師
陳毓芬 律師
被 告 數位發展部
代 表 人 黃彥男(部長)
訴訟代理人 白心瑩
林青嶔
黃國源
上列當事人間個人資料保護法事件,原告不服行政院中華民國112年10月4日院臺訴字第1125020202號訴願決定,提起行政訴訟,本院判決如下:
主 文
原告之訴駁回。
訴訟費用由原告負擔。
事實及理由
壹、程序方面
原告起訴後,被告代表人於民國113年5月20日由部長唐鳳變更為黃彥男,並具狀聲明承受訴訟,經核無不合,應予准許(本院卷3第25-30頁)。
貳、實體方面
一、爭訟概要:
㈠原告所經營之「carousell」旋轉拍賣網站(下稱系爭拍賣網站),依據內政部警政署(下稱警政署)165反詐騙諮詢專線資料庫被害案件統計資料(下稱165反詐騙專線統計資料),被害人陳稱接獲冒用系爭拍賣網站名義詐騙電話案件於30日內達10件以上,被害人遭詐騙之訂單區間為111年2月至112年2月中,詐騙電話內容均包含購買時間、商品名稱、金額及付款方式等交易個人資料(下稱交易個資),顯有重大個資外洩之虞,疑有違反行為時即104年12月30日修正公布、自105年3月15日施行之個人資料保護法(下稱個資法)情事,乃以112年4月7日警署刑研字第11200034882號函移送被告處理(下稱112年4月7日函)。被告於112年4月28日召開個資保護行政檢查會議(下稱112年4月28日行政檢查會議),並於112年4月20日以數授產經字第11240004022號函通知原告先行提供相關佐證資料並出席會議說明(下稱112年4月20日函),經該會議評核結果,認為原告違反個資法第27條第1項規定,仍有待改正事項,被告遂依行為時個資法第48條第4款規定,以112年5月5日數授產經字第1124000400號函通知原告限期改正(下稱原處分1),經原告以112年5月22日2023-018525號函復被告(下稱112年5月22日函)。
㈡嗣警政署依據該署165反詐騙專線統計資料,被害人陳稱接獲冒用系爭拍賣網站名義詐騙電話案件於30日內達10件以上,被害人遭詐騙之訂單區間為111年10月至112年4月中,詐騙電話內容均包含交易個資,顯有重大個資外洩之虞,疑有違反個資法情事,遂以112年5月17日警署刑研字第11200053074號函移送被告(下稱112年5月17日函)。被告於112年5月29日召開個資外洩改善作為複查會議(下稱112年5月29日複查會議),檢視原告112年5月22日函提供之說明資料,認為原告仍未改正,違反個資法第27條第1項規定,依行為時個資法第48條第4款規定,再以112年5月30日數授產經字第1120004108號函通知原告限期改正(下稱原處分2)。原告以112年6月14日2023-02140號函檢附個資保護改善計畫予被告(下稱112年6月14日函),經被告以112年7月21日數授產經字第1120005950號函復觀察至112年10月6日止,後續視觀察期間是否再有警政署通報疑似個資外洩案件判斷結案與否(下稱112年7月21日函)。原告不服原處分1、2,提起訴願,經行政院以112年10月4日院臺訴字第1125020202號訴願決定書決定訴願駁回(下稱訴願決定),嗣被告以112年10月24日數授產經字第11240009671號函復警政署並副知原告,近期系爭拍賣網站疑似個資外洩案件已有改善,爰予以結案(下稱112年10月24日函),原告仍不服原處分1、2,於是提起本件行政訴訟。
二、原告起訴主張及聲明:
㈠主張要旨:
原告為電商平臺業者,透過所經營之系爭拍賣網站,使一般民眾得利用系爭拍賣網站之網路平臺,彼此間進行線上拍賣及商品購買。觀諸警政署通報之案件,明顯係用戶受騙,自行提供個資之「網路釣魚詐騙」事件,並非原告將用戶個資外洩事件,亦非個資安全措施所得防範,被告以警政署165專線之詐騙案件即認原告有重大個資外洩之虞,明顯無據。又原告對於被告來函指定之說明或改正事項,不論是否構成原告之改正義務,均已於期限內逐項提供說明及資料,然原處分1、2並未記載其所認原告違反個資法第27條第1項規定之事實及理由,僅係一再索取資料,或籠統稱有未盡事宜,即認原告未完成改正,而一再命原告改正,始終未具體說明被告所認原告於個資法第27條第1項規定下,未採行之「適當之安全措施」究竟為何、原告究應如何改正,亦未說明改正標準,僅不斷持續作成處分命原告限期改正,致原告不斷因應被告新文件的要求而進入改正之無限迴圈。原處分1、2不僅構成要件事實認定錯誤,亦有行政行為有失明確、欠缺期待可能性之違法,自應撤銷。
㈡聲明:
確認原處分1、2為違法。
三、被告答辯及聲明:
㈠答辯要旨:
⒈原告持續為警政署通報之個資外洩業者,依據警政署165反詐騙專線統計資料之紀錄,原告所經營之系爭拍賣網站自111年7月25日至112年5月17日逐月均有民眾通報詐騙電話被害案件,詐騙電話內容均包含買賣過程中所涉及之交易個資,其經營之系爭拍賣網站已長期被列入警政署所公布之高風險賣場名單。
⒉被告先後於112年3月23日及112年4月28日召開行政檢查(作業)會議,歷次召開行政檢查會議函請原告到場說明並與審查委員之間詢答,審查委員已多次於會議上促請原告具體說明、改善所要求事項。原處分1係依據112年4月28日行政檢查會議決議作成,因原告就112年3月23日行政檢查作業會議結論指示事項及警政署112年4月7日函通報112年第2次165反詐騙專線統計資料等之說明,仍有未盡事宜,其未依個資法第27條第1項規定及同法施行細則第12條規定採行適當技術上與組織上之安全措施至明,被告爰係依行為時個資法第48條第4款規定,以原處分1限期命原告改正並補充說明或提供相關資料佐證,並無違誤。
⒊被告於112年5月29日召開複查會議,經檢視原告112年5月22日函提供之說明資料,仍未據112年4月28日行政檢查會議決議及原處分1之內容為改正,原告顯未依個資法第27條第1項規定及個資法施行細則第12條規定,採行適當技術上與組織上之安全措施,是被告依行為時個資法第48條第4款規定,作成限期改正之原處分2,亦屬適法妥適。
㈡聲明:
原告之訴駁回。
四、爭點:
㈠原告提起本件確認訴訟,是否具有即受確認判決之法律上利益及權利保護之必要?
㈡原處分1、2有無認定事實錯誤、違反明確性及欠缺期待可能性之違法?
五、本院的判斷:
㈠前提事實:
上開爭訟概要欄所述之事實,除本件爭點外,為兩造所不爭執,並有警政署112年4月7日函(被證9)、被告112年4月20日函(本院卷2附件14)、被告112年4月28日行政檢查會議紀錄(被證12)、原告112年5月22日函(原證9)、原處分1及送達證書(被證1、本院卷2附件37)、警政署112年5月17日函(本院卷3第169-179頁)、被告112年5月29日複查會議紀錄(被證14)、原處分2及送達證書(被證2、本院卷2附件38)、原告112年6月14日函及檢附之個資保護改善計畫(本院卷1第226-269頁)、被告112年7月21日函(本院卷1第270頁)、訴願決定及送達證書(被證3、訴願卷2第31-33頁)、被告112年10月24日函(被證18)可查,堪信為真。
㈡原告提起本件確認訴訟,具有即受確認判決之法律上利益及權利保護之必要:
⒈行政訴訟法第6條第1項規定:「確認行政處分無效及確認公法上法律關係成立或不成立之訴訟,非原告有即受確認判決之法律上利益者,不得提起之。其確認已執行而無回復原狀可能之行政處分或已消滅之行政處分為違法之訴訟,亦同。」其立法理由載明:「……為防止濫訴,爰規定限於原告之權利或法律上利益有受侵害之危險,且得以確認判決除去者,始得提起之。」依上揭規定,提起確認訴訟,限於原告的權利或法律上利益有受侵害之危險,且得以確認判決除去者,始得提起之。而所謂即受確認判決之法律上利益,須因法律關係存否不明確,導致原告在公法上地位有受侵害之危險,且此項危險得以確認判決除去者,即屬存在。
⒉個資法第2條第1款、第2款、第7款及第8款規定:「本法用詞,定義如下:一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式檢索、整理之個人資料之集合。……七、公務機關:指依法行使公權力之中央或地方機關或行政法人。八、非公務機關:指前款以外之自然人、法人或其他團體。……」第27條第1項規定:「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」行為時第48條第4款規定:「非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者,按次處新臺幣2萬元以上20萬元以下罰鍰:……四、違反第27條第1項……。」(112年5月31日修正之第48條將第4款分列第2項及第3項規範,修正該等情形之裁罰方式,採裁處罰鍰並命限期改正之處分,並提高罰鍰金額,且就屆期未改正者,加重處罰額度為15萬元以上1千5百萬元以下,另就違反安全維護義務情節重大者,於第3項增訂裁處較重罰鍰之規定。修正後之規定未對原告有利)可知,非公務機關保有得以直接或間接方式識別個人之資料檔案者,應採行適當之安全措施;如有違反,經主管機關限期改正而未改正者,應按次處以罰鍰。
⒊本件依原告之主張,原處分1、2因認定事實錯誤,而違法課予原告作為義務,縱使原告已依此改正完畢,被告仍可據以為後續之裁罰,被害人亦可能執此,以原告違反個資法為由,對原告提起民事侵權行為訴訟。故自原告主張之內容觀之,其確有可能因原處分1、原處分2違法與否,因兩造各執一詞,使法律關係陷於不明狀態,其權利或法律上利益有受侵害之危險,且得以確認判決除去之,是原告提起本件確認訴訴訟,應認具有確認利益及權利保護之必要。被告辯稱原處分1、2係就原告有無採取個資法第27條適當安全措施,非就個資外洩事實為認定,且其就原處分1、2作成期間所涉及之所有案件皆已通報警政署予以結案,原告提起本件確認訴訟並無確認利益,亦無權利保護必要等語,尚難憑採。
㈢原處分1、2核無認定事實錯誤、違反明確性及欠缺期待可能性之違法:
⒈法務部依個資法第55條規定授權訂定之個資法施行細則,其中第12條規定:「(第1項)本法……第27條第1項所稱適當之安全措施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施。(第2項)前項措施,得包括下列事項,並以與所欲達成之個人資料保護目的間,具有適當比例為原則:一、配置管理之人員及相當資源。二、界定個人資料之範圍。三、個人資料之風險評估及管理機制。四、事故之預防、通報及應變機制。五、個人資料蒐集、處理及利用之內部管理程序。六、資料安全管理及人員管理。七、認知宣導及教育訓練。八、設備安全管理。九、資料安全稽核機制。十、使用紀錄、軌跡資料及證據保存。十一、個人資料安全維護之整體持續改善。」上開規定明定個資法第27條第1項應採取之技術上及組織上措施,核與母法及其他相關法規無違,可資適用。準此,非公務機關保有個人之個資檔案者,應採取與所欲達成之個人資料保護目的間,具有適當比例為原則,得包含上述事項之技術上及組織上的措施,以防止所保有之個資檔案被竊取、竄改、毀損、滅失或洩漏。
⒉限期改正在性質上並非對於行為人所為之制裁,而係主管機關為防止危害繼續或擴大,命處分相對人除去違法狀態,係課予處分相對人一定之作為義務,本質上為單純之負擔處分。如處分相對人未依該負擔處分之內容履行其義務者,依前揭行為時個資法第48條第4款規定,非公務機關違反同法第27條第1項規定者,其法律效果為處罰鍰。換言之,被告依此規定所為之「限期改正」,係就原告違反個資法第27條第1項及個資法施行細則第12條所定應採行適當之安全措施者,科以「限期改正」之行政法上義務,並以此作為未改正時,科處罰鍰之要件,而非以原告過去所為之違法之行為為處罰對象(最高行政法院104年度判字第121號判決意旨參照)。
⒊原告為電子商務事業,為個資法第2條第8款規定所稱之非公務機關,該業別之個資保護事項係由所屬之中央目的事業主管機關即被告負責監管等情,為兩造所不爭執(本院卷1第442頁),並有原告公司基本資料(本院卷1第9頁)、行政院111年8月24日院台規字第1110184307號公告(本院卷2附件36)可稽,此部分事實,應堪認定。
⒋本件事實經過:
⑴原告所經營之系爭拍賣網站,據警政署165反詐騙專線統計資料,111年間被害人陳稱接獲冒用系爭拍賣網站名義詐騙電話案件於30日內達10件以上,內容均包含購買交易個資,顯有重大個資外洩之虞,疑有違反個資法之情事,經警政署分別以111年7月25日警署刑研字第1110004017號函(被證4、本院卷1第451、457頁、本院卷3第9、11頁)、111年9月13日警署刑研字第11100101341號函(被證5、本院卷1第453、459頁、本院卷3第9、13-18頁)移送經濟部,以111年10月26日警署刑研字第11100110051號函(被證6)、111年11月30日警署刑研字第11100123951號函(被證7)、112年1月7日警署刑研字第11200002291號函(被證8)移送被告處理。
⑵嗣被告所屬數位產業署(下稱數產署)於111年12月30日召開個資保護行政檢查會議(下稱111年12月30日行政檢查會議),並通知原告出席會議說明,評核結果認為原告仍有待改正事項,經數產署分別以112年1月19日產經字第1124000044號及112年2月4日產經字第11240000661號函(下稱112年1月19日函、112年2月4日函,本院卷1第109-112頁)知原告略以,依該署111年12月30日行政檢查會議結論(本院卷1第201-204頁),該署自111年8月27日成立以來迄111年12月30日止,接獲警政署165反詐騙諮詢專線資料庫通報計3次來函(分別為111年9月13日、111年10月26日、111年11月30日),係有關原告發生個資外洩情形,經該署函請原告就個資外洩情形做出妥善處理,並回報改善狀況,來回函文共計5次,經該署檢視結果,原告均未踐行個資法第12條規定以適當方式通知當事人、原告平臺內使用者之對話視窗功能,未採行有效阻斷QR Code及惡意連結之機制功能,致衍生個資外洩事件等,分別違反個資法第12條及第27條第1項規定,爰依行為時第48條第2款及第4款規定,請原告於上開2函文送達之次日起2個月內完成向當事人個別通知及提出適當之安全措施等改正事項,並回報改正情形。
⑶原告於收受前開2函文後,以112年3月21日2023-01006、2023-01007號函(原證4)復數產署略以,其於112年3月1日透過電子郵件通知曾向其舉報受詐騙之用戶,通知內容包含受詐騙之事實、其調查結果、已採取之因應措施及當事人可採取之保護措施等,並說明針對平臺內使用者之對話視窗功能,其已採行阻斷QR Code及惡意連結之機制等功能及其他防制詐騙措施。
⑷經被告於112年3月15日、112年3月23日召開第2次及第3次行政檢查會議(本院卷2附件10、原證5、本院卷1第205-207頁),並通知原告出席會議說明,評核結果請原告於個資事故通知部分,除針對原告平臺上之QR Code詐騙案件提供個資事故通知之佐證,對於111年10月新加坡旋轉拍賣公司總部發生個資外洩案件,涉及我國民眾個資部分,亦請一併提供該個資外洩案件臺灣部分個資事故通知之佐證。
⑸原告據以112年4月10日2023-01303號函(原證6)復數產署說明下列事項:
①有關112年3月23日行政檢查作業會議提及何姓用戶遭詐騙案例,其查無該用戶資料,亦未曾收受該用戶舉報受到詐騙;因警方提供之資料,均未提供具體個案之賣家姓名、賣家或買家註冊帳號、受騙金額、受詐騙日期等,有待警方釐清後,其再配合辦理凍結帳戶等事宜。
②原告於110年10月21日確認受影響之臺灣用戶後,已於110年10月24日以電子郵件通知受影響之用戶,並說明相關事實、其採取之防護措施、提醒用戶提高警覺等,並檢附110年10月24日之通知資料。
③警方於112年3月23日行政檢查作業會議時表示,原告用戶之通報案件皆為假買方透過網路釣魚手法騙取賣方個資及財物,並無跡象顯示歹徒著手詐騙前已掌握被害人之個資。
④原告已於平臺對話功能採行阻斷QR Code及惡意連結,併附佐證資料。
⑹警政署復依據該署165反詐騙專線統計資料,被害人陳稱接獲冒用系爭拍賣網站名義詐騙電話案件於30日內達10件以上,被害人遭詐騙之訂單區間為111年2月至112年2月中,詐騙電話內容均包含交易個資,顯有重大個資外洩之虞,疑有違反個資法情事,以112年4月7日函(被證9)移送被告。被告於112年4月28日召開行政檢查會議(被證12),並以112年4月20日函(本院卷2附件14)通知原告先行提供相關佐證資料並出席會議說明,該會議評核結果認為原告仍有待改正事項,被告乃據之於112年5月5日作成原處分1(被證1),告以被告於112年4月28日行政檢查會議,請原告分別就111年12月30日限期改正處分、112年3月23日行政檢查作業會議結論指示事項及112年4月7日警政署112年第2次通報等相關資料為說明,仍有未盡事宜,原告違反個資法第27條第1項規定,爰依行為時個資法第48條第4項規定,請原告於原處分1送達之次日起2週內,依下列事項補充說明或提供資料等為限期改正,並將改正結果逕復被告,逾期未回復或經檢視改正不完全者,將依行為時個資法第48條及個資法第50條(非公務機關之代表人、管理人或其他有代表權人,除能證明其已盡防止義務者外,應並受同一額度罰鍰之處罰)規定辦理:
①新加坡總部提供給新加坡個資保護委員會(下稱PDPC)之個資外洩事件執行報告(因外洩部分包含臺灣用戶個資)與鑑識調查報告。
②原告委託新加坡總部蒐集、處理及利用個資之契約或協議。
③原告落實個資法施行細則第12條第2項共11款安全控制之執行紀錄與佐證,若屬於委託新加坡總部執行個資保護控管,應提供確認或稽核紀錄。
④原告「完整」執行個資外洩通知受害當事人之紀錄。
⑤原告針對目前個資外洩手段翻新之具體防範措施。
⑺經原告以112年5月22日函(原證9)復被告,除稱其對於原處分1所指111年12月30日限期改正處分、112年3月23日行政檢查作業會議結論指示事項及112年4月7日警政署112年第2次通報等事項,均已於指定期限逐項回應,毫無規避及遺漏,不應認其已構成違反個資法第27條第1項規定外,並就改正結果說明如下:
①新加坡總部之個資外洩事件係於111年10月21日發現臺灣用戶之個資亦受波及,並於111年10月24日通知受影響之臺灣用戶,故新加坡總部於111年10月17日向PDPC提供之評估報告不包含臺灣用戶之個資。
②檢附原告委託新加坡總部蒐集、處理及利用個資之服務契約、原告與新加坡總部簽訂之個資處理服務契約增補協議。
③原告已於111年10月24日通知因新加坡總部個資外洩事件受影響之臺灣用戶,通知之電子郵件截圖業於112年4月10日函提供數產署;至警政署112年1月7日通報之網路釣魚詐騙案件,原告已於112年3月1日以電子郵件通知其中可識別帳號之用戶,並檢附原告委託外部第三方平臺電子郵件發送紀錄。
④說明原告採取之防範措施9項及陸續實施之措施4項。
⑻嗣警政署依據165反詐騙專線統計資料,被害人陳稱接獲冒用系爭拍賣網站名義詐騙電話案件於30日內達10件以上,被害人遭詐騙之訂單區間為111年10月至112年4月中,詐騙電話內容均包含交易個資,顯有重大個資外洩之虞,疑有違反個資法情事,再以112年5月17日函(本院卷3第169-179頁)移送被告。被告於112年5月29日召開複查會議(被證14),檢視原告提供之說明資料,認為原告仍未改正,原告違反個資法第27條第1項規定,依行為時第48條第4款規定,於112年5月30日作成原處分2(被證2),請原告於文到次日起14日內就下列事項研擬改善計畫送交,如屆期未改正,將依個資法規定按次處分:
①未清楚說明委任新加坡總部處理個資內容中有關新加坡總部及原告間之分工。
②111年新加坡總部發生個資外洩,所宣稱之個資外洩筆數不符合。
③未提供完整查核紀錄。
④未加強網站警語,並明確標示詐騙手法。
⑤未提供新加坡總部與原告拍賣平臺之系統架構及差異說明。
⑼經原告以112年6月14日函檢附個資保護改善計畫(本院卷1第226-269頁)予被告,經被告以112年7月21日函(本院卷1第270頁)復觀察至112年10月6日止,後續視觀察期間是否再有警政署通報疑似個資外洩案件判斷結案與否。
⒌由上述始末可知,原告自111年至112年間疑似有交易個資外洩情事,經警政署分別以111年10月26日、111年11月30日、112年1月7日、112年4月7日、112年5月17日函移請經濟部及被告辦理。被告自111年8月27日成立以來,陸續於111年12月30日、112年3月15日、112年3月23日召開行政檢查會議,評核結果認為原告有待改正事項,經被告所屬數產署依行為時個資法第48條第2款或第4款規定,分別以112年1月19日、112年2月4日函通知原告限期改正,及經被告以112年4月20日函請原告提供相關佐證資料。原告雖據以112年3月21日、112年4月10日及112年4月24日函回復,或稱已通知受詐騙之用戶,或稱已採行阻斷QRCode及惡意連結機制等語,然經被告112年4月28日行政檢查會議評核結果,原告對於上開會議結論指示事項及警政署通報等相關資料之說明(本院卷2附件9、13、原證7),仍有未盡事宜,尚有待補充資料5項,因認違反個資法第27條第1項規定,依行為時個資法第48條第4款規定,以原處分1命原告於2週內補充說明或提供相關資料等改正措施,及將改善結果函復該部,函內並敘明倘未於期限內回復或經檢視改正不完全者,將依行為時個資法第48條及個資法第50條規定辦理,經核並無不合,原處分1並無原告所指認定事實錯誤之違法。
⒍嗣原告再以112年5月22日函回復,並檢附其與新加坡總部間之個人資料處理服務契約(原證9、本院卷2附件18),經被告112年5月29日複查會議檢視原告之函復資料,核認原告仍有未改正事項5項,違反個資法第27條第1項規定,依行為時個資法第48條第4款規定,以原處分2命原告於14日內就未改正部分研擬改善計畫送交被告,函內並敘明如屆期未改正,將依個資法規定按次處分,經核亦無不合,原處分2亦無原告所指認定事實錯誤之違法。
⒎原告雖又主張本件警政署所接獲民眾舉報之詐騙案件,性質上實為「網路釣魚詐騙」事件,並非原告洩漏用戶個資所致等語。然細觀警政署通報案件列表內容,民眾所通報接獲冒用原告系爭拍賣網站名義之詐騙電話,其交易資訊包含買賣時間、商品名稱、金額及付款方式等細節,甚至有因曾經使用原告賣場上架商品,爾後收到詐騙集團電話冒用為原告或金融機構客服,以訂單錯誤等內容,引導進行ATM相關匯款操作之情形,上開交易資訊衡情非屬一般人可任意取得,而可合理推測該等由原告所保有之交易個資遭外洩,而非純屬網路釣魚詐騙事件;縱使本件不乏亦有原告所稱,詐騙集團利用網路釣魚手法,騙取系爭拍賣網站用戶自行洩漏個資之情事,然原告身為系爭拍賣網站之提供者,並因此保有用戶之個資檔案,其依前述個資法第27條第1項及個資法施行細則第12條之規定,就「網路釣魚詐騙」事件之發生,仍有採取適當且有效之預防、通報及應變機制的作為義務,以防止其用戶個資外洩,原告所採取之相關防制措施,既經前述被告所召開多次行政檢查及複查會議,經外部專家檢視原告歷次所提供之資料後,發現原告所採行措施仍有所缺漏,因而導致假冒系爭拍賣網站名義之詐騙案件一再發生,自難謂原告未違反個資法第27條第1項規定。是原告上開主張,並非可採。
⒏原告雖再主張原處分1、2有違反明確性及欠缺期待可能性之違法等語。然:
⑴由前述個資法第27條第1項及個資法施行細則第12條規定可知,其所稱「適當之安全措施」,係指為防止個人資料被竊取、竄改、毀損、滅失或洩漏,非公務機關所應採取技術上及組織上之措施,包括配置管理之人員及相當資源、資料安全管理及人員管理、設備安全管理、資料安全稽核機制等。其立法意旨為非公務機關對於所保有之個人資料檔案,仍應負安全保管責任,以確保個人資料檔案之合法且正當蒐集、處理或利用,同時考量組織規模與保有個人資料之數量或內容,依比例原則建立技術上與組織上之措施。
⑵本件依前揭警政署通報函所載,民眾通報接獲冒用原告網站名義詐騙電話,詐騙電話內容包含購買時間、商品名稱、金額及付款方式等細節之交易資訊,涉及足以識別民眾於網際網路之活動軌跡,係屬於個資法第2條第1款所定「社會活動」之個人資料,原告依前揭規定,即有於技術上與組織上為適當安全措施之必要,以確保所持有個人資料檔案之安全。
⑶被告作成原處分1,係依被告112年3月23日、112年4月28日召開行政檢查會議原告到場說明、原告就被告112年3月23日行政檢查作業會議結論指示事項及警政署112年4月7日函所檢附165反詐騙專線統計資料所為112年第2次通報等相關資料之說明等事實及證據,所據均為112年5月5日前之事證,被告稽諸本件所涉個資法第27條第1項及行為時個資法第48條第4款之構成要件、所蒐集證據之明確性、比例原則、原告所提供之事證等,依裁量權限作成原處分1,調查已臻完備;又被告於112年5月29日召開複查會議,經檢視原告提供之說明資料仍未據112年4月28日行政檢查會議決議及原處分1之內容為改正,認定原告顯未依個資法第27條第1項及個資法施行細則第12條規定,採行適當技術上與組織上之安全措施,乃依行為時個資法第48條第4款規定作成原處分2。故被告數次召開行政檢查會議及複查會議,乃為釐清原告是否符合個資法規定,並蒐集相關事證,均屬行政調查程序,且原告皆有參與該等會議及陳述意見,惟仍有未符個資法第27條第1項規定情事,被告爰依行為時第48條第4款規定作成原處分1及2,命原告限期改正,經核並無不合;況且,原告依其112年6月14日函檢附之個資保護改善計畫執行後,經被告觀察至112年10月6日止,系爭拍賣網站疑似個資外洩案件已獲改善,被告並以112年10月24日函予以結案,益徵原處分1、2並無原告所指違反明確性及欠缺期待可能性之違法。是原告此部分主張,亦不足取。
㈣綜上所述,原告各項原處分違法之主張,均不可採,原處分認事用法,並無違誤,訴願決定予以維持,亦無不合,原告以原處分1、2已執行完畢,而訴請確認原處分1、2為違法,為無理由,應予駁回。
六、本件判決基礎已經明確,兩造其餘攻擊防禦方法及訴訟資料經本院斟酌後,核與判決結果不生影響,無一一論述之必要,一併說明。
中 華 民 國 113 年 9 月 26 日
審判長法 官 洪慕芳
法 官 郭銘禮
法 官 孫萍萍
一、上為正本係照原本作成。
二、如不服本判決,應於送達後20日內,向本院高等行政訴訟庭提出上訴狀,其未表明上訴理由者,應於提出上訴後20日內補提理由書;如於本判決宣示或公告後送達前提起上訴者,應於判決送達後20日內補提上訴理由書(均須按他造人數附繕本)。
三、上訴未表明上訴理由且未於前述20日內補提上訴理由書者,逕以裁定駁回。
四、上訴時應委任律師為訴訟代理人,並提出委任書(行政訴訟法第49條之1第1項第3款)。但符合下列情形者,得例外不委任律師為訴訟代理人(同條第3項、第4項)。
| |
(一)符合右列情形之一者,得不委任律師為訴訟代理人 | 1.上訴人或其代表人、管理人、法定代理人具備法官、檢察官、律師資格或為教育部審定合格之大學或獨立學院公法學教授、副教授者。 2.稅務行政事件,上訴人或其代表人、管理人、法定代理人具備會計師資格者。 3.專利行政事件,上訴人或其代表人、管理人、法定代理人具備專利師資格或依法得為專利代理人者。 |
(二)非律師具有右列情形之一,經最高行政法院認為適當者,亦得為上訴審訴訟代理人 | 1.上訴人之配偶、三親等內之血親、二親等內之姻親具備律師資格者。 2.稅務行政事件,具備會計師資格者。 3.專利行政事件,具備專利師資格或依法得為專利代理人者。 4.上訴人為公法人、中央或地方機關、公法上之非法人團體時,其所屬專任人員辦理法制、法務、訴願業務或與訴訟事件相關業務者。 |
是否符合(一)、(二)之情形,而得為強制律師代理之例外,上訴人應於提起上訴或委任時釋明之,並提出(二)所示關係之釋明文書影本及委任書。 | |
中 華 民 國 113 年 9 月 26 日 書記官 李虹儒