使用電子商務平台有助於擴大業者的銷售額,並及時調整以滿足市場需求。因此,建立良好的電子商務平台使用體驗,對提升業者的市場競爭力至關重要,而業者也應該加強相關保護措施,以保障消費者和傳銷商的個人資料安全。
隨著智慧手機和網路的進步,直銷產業的銷售策略也跟著轉型,越來越多地利用網路科技拓展銷售通路。其中,使用電子商務平台進行產品銷售,已成為普遍的方式。透過業者所設計的網站或手機應用程式,直銷商和消費者可以在任何時間和地點瀏覽所需商品,並快速獲取相關資訊。
購物的整個過程省去了時間和成本,讓人們感到更加便利和輕鬆。此外,業者還可以利用網站記錄消費者的偏好,並根據市場反應進行調整。使用電子商務平台有助於擴大業者的銷售額,並及時調整以滿足市場需求。因此,建立良好的電子商務平台使用體驗,對提升業者的市場競爭力至關重要。
以電子商務平台為核心
然而,使用電子商務平台也存在著資訊安全和個人資料外洩的風險。此商業模式的運作需要收集消費者和傳銷商的個人資料,如姓名、地址、電話、電子郵件地址等。如果這些資料外洩,將對傳銷商和消費者的隱私帶來嚴重威脅,並可能損害業者的信譽和利益。因此,業者應該加強相關保護措施,保障消費者和傳銷商的個人資料安全,以避免外洩事件的發生。
通常電子商務平台係由前台網站系統、ERP或後台管理系統以及金流服務系統等介接架構,傳銷商與消費者的個人資料便是在這些架構中透過前台網站系統蒐集,透過後台管理系統及金流服務系統處理及利用。此種與消費行為高度相關的個人資料,常被不法人士用作電話詐騙等用途
。
通常直銷業者會將系統建置與維護委託給系統商即資訊服務業者進行,或甚至自行維運。若資安能力不足或個人資料管理不當,則將有高度可能發生個人資料外洩事件,對此政府研擬若干專案,強調個人資料保護係業者及政府責無旁貸的任務。
有關個人資料保護規範,直銷業者應注意「個人資料保護法」、「個人資料保護法施行細則」,以及「多層次傳銷業訂立個人資料檔案安全維護計畫及業務終止後個人資料處理方法作業辦法」等有關於個人資料保護適當安全措施之相關規範。以下分別就「直銷業者自行維運電子商務平台」及「直銷業者委託資訊服務業者維運電子商務平台」之案型,分別簡述各自在個人資料保護規範下之義務,以及實際執行之可能作法。
直銷業者自行建置、維運電子商務平台
如電子商務平台係由直銷業者所自行建置及維運,除依個人資料保護法第27條應採行適當安全措施,相關資訊安全措施,包括規劃階段之「配置管理之人員及相當資源[2]」、「界定個人資料之範圍[3]」、「個人資料之風險評估及管理機制[4]」、「事故之預防、通報及應變機制[5]」,以及實際執行時之「個人資料蒐集、處理及利用之內部管理程序[6]」、「資料安全管理[7]及人員管理[8]」、「認知宣導及教育訓練」、「設備安全管理[9]」、「資料安全稽核機制[10]」、「使用記錄、軌跡資料及證據保存」、「個人資料安全維護之整體持續改善」等安全維護措施。
直銷業者亦應注意「多層次傳銷業訂立個人資料檔案安全維護計畫及業務終止後個人資料處理方法作業辦法」有關電子商務服務[11]系統之資訊安全措施之特別規定,該規定於2022年3月份新增相關之資訊安全措施,包含「使用者身分確認及保護機制」、「個人資料顯示之隱碼機制」、「網際網路傳輸之安全加密機制」、「個人資料檔案及資料庫之存取控制與保護監控措施」、「防止外部網路入侵對策」、「非法或異常使用行為之監控與因應機制」等,如有違反者,其將面臨新台幣2萬元至20萬以下罰鍰之行政責任[12]。
針對上述適切的安全維護措施,建議業者可以「文件化記錄」方式,記錄各該措施之規劃與執行情形,若不幸發生資安事件,可藉由留存之文件,快速找到資安漏洞或事件成因,做為責任釐清及個人資料維護計畫之改善參考。
直銷業者委託資訊服務業者維運電子商務平台
依個人資料保護法第4條規定,若受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關。易言之,當直銷業者委託資訊服務業者建置、維護系統時,若有涉及個人資料的蒐集、處理及利用,該資訊服務業者如有違法,則其於個人資料保護法之適用上,視同直銷業者,也就是說直銷業者可能因為由於資訊服務業者所致的個資外洩事件負擔法律責任[13]。因此,依照個人資料保護法施行細則第8條第一項,委託他人蒐集、處理或利用個人資料時,委託機關應對受託者為適當之監督。
從上述見解可以知悉,雖然系統係委由第三人營運,但是直銷業者仍需負擔個人資料保護法之責任,因此該電子商務平台應同時符合個人資料保護法及「多層次傳銷業訂定個人資料檔案安全維護計畫及業務終止後個人資料處理方法作業辦法」之規範,不會因為委託第三人蒐集、處理及利用個人資料即可免除相關責任。
現行實務常見的方式是藉由契約約定責任分攤或約定以定期或不定期稽核之方式,要求受託維運電子商務平台之系統商應確保其所提供之系統符合上述個人資料保護規範之要求。
綜上所述,對於透過電子商務平台增加銷售額之直銷業者,無論係自行建置或委託系統業者代為管理電子商務平台,都應遵守「個人資料保護法」、「個人資料保護法施行細則」,以及「多層次傳銷業訂立個人資料檔案安全維護計畫及業務終止後個人資料處理方法作業辦法」等規範,並建立適切之安全措施,避免個人資料被竊取、竄改、毀損、滅失或洩漏,不會因為將相關個人資料蒐集、處理及利用事宜委託他人而可免除相關責任。
電子商務平台之興起,除了感嘆日益科技的進步所帶來的便利,吾人亦應對日新月異之駭客行動與資訊安全攻擊事件有所警惕。建議業者應對相關資訊安全之風險有所管控,透過計畫(Plan)、執行(Do)、查核(Check)、行動(Act)即「PDCA循環式管理」之方式,規劃、執行及改善個人資料保護計畫,是直銷業者以電子商務平台作為銷售管道之重大課題。
常見手法是詐騙集團成員利用退款問題或訂單異常等問題,向消費者確認消費行為細節以降低消費者戒心,進而導引消費者匯款至其指定帳戶,導致消費者陷入錯誤而導致財損。
[2] 建議可由專人管理個人資料之蒐集、處理及利用事宜,該職位並具有相關資源並能影響個人資料保護政策之權責。
[3] 清楚界定該電子商務平台於營運中所涉及之個人資料,可能包含傳銷商、消費者之姓名、地址、電話以及其他消費資訊等。
[4] 基於個人資料界定之結果,就個人資料被竊取、竄改、毀損、滅失或洩漏之風險進行評估。
[5] 包含「多層次傳銷業訂立個人資料檔案安全維護計畫及業務終止後個人資料處理方法作業辦法」第3條第二項「多層次傳銷事業應於發現個人資料外洩後72小時內填列個人資料侵害事故通報與紀錄表通報公平會及以適當方式通知當事人。」之通報義務。
[6] 例如檢視蒐集、處理個人資料之特定目的,及是否符合免告知之事由,以符合個資法第八條及第九條關於告知義務之規定;利用個人資料為行銷時,倘當事人表示拒絕行銷後,立即停止利用其個人資料行銷,並週知所屬人員;於首次行銷時,提供當事人免費表示拒絕接受行銷之方式。詳細請參照「多層次傳銷業訂立個人資料檔案安全維護計畫及業務終止後個人資料處理方法作業辦法」第4條。
[7] 包括運用電腦或自動化機器相關設備蒐集、處理或利用個人資料時,訂定使用可攜式設備或儲存媒介物之規範、適當加密機制、個人資料媒介物(載體)之管理,詳細請參照「多層次傳銷業訂立個人資料檔案安全維護計畫及業務終止後個人資料處理方法作業辦法」第6條。
[8] 例如檢視各相關業務流程涉及蒐集、處理及利用個人資料之負責人員,詳細請參照「多層次傳銷業訂立個人資料檔案安全維護計畫及業務終止後個人資料處理方法作業辦法」第7條。
[9] 例如保有個人資料存在於紙本、磁碟、磁帶、光碟片、微縮片、積體電路晶片、電腦或自動化機器設備等媒介物之環境,依據作業內容之不同,實施適宜之進出管制方式,詳細請參照「多層次傳銷業訂立個人資料檔案安全維護計畫及業務終止後個人資料處理方法作業辦法」第8條。
[10] 可分為內部稽核與聘僱第三方稽核業者進行個人資料保護計畫之實施情形。
[11] 係指透過網際網路進行有關商品或服務之廣告、行銷、供應及訂購等各項商業交易活動。
[12] 業者仍可能因為具體情形而有刑事、民事責任。
[13] 相同見解可參法務部法律字第 10403513240 號函釋:「公務機關委託私人公司蒐集、處理或利用高速公路電子收費系統行車紀錄資料,於個人資料保護法適用範圍,該公司行為視同公務機關,公司於委託關係消滅後應將交還資料庫,並將持有資料刪除,若該公司於處理該資料違反個人資料保護法,應由公務機關負國家賠償責任;另車輛通過讀取設備而取得之資訊,若有連結生存自然人可能,仍有個人資料保護法適用。」