前所未見駭人聽聞—星國百萬個資外洩案的啟示

江雅綺（作者為台北科技大學智財所副教授、永社社員）

上報／評論　2018.07.23
https://www.upmedia.mg/news_info.php?SerialNo=44963

新加坡日前爆出史上最嚴重的個資外洩事件，駭客入侵星國最大的醫療服務集團系統，偷走了包括星國總理李顯龍等150萬名病人的個人資料，以及約16萬病人的用藥資料。

醫療服務所涉及的個人資料，在台灣《個資法》中屬特殊之「有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料」敏感資料，原則上「不得蒐集、處理或利用。」除非有個資法第六條之法定依據。而新加坡人口數才560萬，駭客可謂一舉拿走了四分之一以上的星國人民敏感個資，實為前所未見，駭人聽聞 。

目前整起事件仍在調查中、案情尚不明朗，但根據新加坡官方表示，這是一件刻意的、有計畫的網路攻擊，並非一般的犯罪者所為。這似乎暗示了外國勢力的介入…尤其，此事在新加坡剛剛舉辦的美國和北韓的高峰會之後發生，難免令人聯想，新加坡自李光耀以來一貫靈活的以小搏大的外交政策、星國無可替代的地緣政治角色、以及它作為亞洲金融重鎮的地位，大國網軍和國際駭客對星國資訊，恐怕有覬覦之心。

雖然發生了大規模的個資外洩事件，但說起來，新加坡對網路安全與個資保護算是相當積極。2018年，新加坡甫通過了《網路安全法》(Cybersecurity Act) ，該法確立了維護國家網路安全的法規架構。有四大目標：

一是加強對星國關鍵資通訊設施的保護，避免受到網路攻擊;

二是授權網路安全主管機關避免威脅網安的事件發生、強化星國的網路環境安全;

三是在網路安全的前提下，建立政府和民間的合作;

四是對相關業者採取「輕管制」的方式，僅要求能接觸客戶敏感個資的業者需向官方申請執照 。

而新加坡的個資保護制度，是依循該國2012年的《個資保護法》(Personal Data Protection Act 2012 , PDPA)，採用歐盟的資料保護專責機關模式，於2013年成立個資保護的單一機關 ，名為「個資保護委員會」(Personal Data Protection Committee, PDPC)。值得注意的是，該機關一方面是個資的管機理關，負責各項個資的監督、調查、處罰事項，另方面，該機關也常常站在輔導的角色，向社會大眾進行個資防護的宣導，並提供產業界關於個資法遵的原則 。

此外，由於國際上的個資法規進展甚快，在個資保護委員會之下，新加坡同時設置了諮詢委員會 ，諮委包含來自法律、科技、管理、消費者保護、產業代表…等各界長期關注相關政策領域的專家，隨時提供官方委員會關於個資保護的法規政策意見。

由上可知，新加坡關於網路安全、個資維護，不但法制已經建立、也都有各自的主管單位。同時，除了「監督、管理」的責任，新加坡亦強調「對產業法遵的協助、對社會大眾的觀念宣導」。

雖然新加坡的政治與法律制度，和台灣並不相同。但台灣也恰好在2018年通過了《資通安全管理法》，2010年通過《個人資料保護法》甚至更早於新加坡。

由法制面來看，台灣政府具有高度網路資訊安全、個資保護的意識；但是，駭客手法亦日新月異，如同星國網路安全署執行長David Koh所言 ：「一開始我們發現小偷從窗戶進來、把店裡東西偷走，所以我們把窗戶鎖死。但很快我們又發現小偷藏在廚房。」眾所皆知，因為地緣政治，台灣在全球網路安全防護的網絡中，亦扮演著獨一無二的角色，倘若連新加坡總理的個資都免不了外洩，台灣更不可不慎。

0721「從台大校長遴選看大學自治的適法性監督」永社座談會

「從台大校長遴選看大學自治的適法性監督」

永社座談會

敬請報名：https://goo.gl/forms/6d1x927NsQqCbPb33
　
台灣大學新任校長遴選爭議已有數月，校方近已提起訴願，未來可能需要透過司法解決爭議，然而本案除了當事人有無違反「利益迴避」及「禁止私人接觸」之爭論外，更核心的法律爭議是：我們理解的「大學自治」為何？多少大學自治是必要的、多少教育部「介入」是容許的？大學自治是神聖不可侵犯，必須力拒「外來黑手」的嗎？大學成員任何決定都應是終局的，教育部嗣後核定只可以是形式的？
　
對於這些攸關大學自治的核心議題，永社特別邀請相關學者專家，舉辦「從台大校長遴選看大學自治的適法性監督」座談會，希望能藉由對本次台大校長遴選爭議的探討，對於釐清大學自治的合理界線提出一些分析與建議。
　
時間：2018.07.21（六）14:00-16:30（13:30報到）
地點：台大法學院霖澤館 1506教室（台北市復興南路與辛亥路口，近捷運科技大樓站）
　
共同主辦：永社（Taiwan Forever）、法律白話文運動 Plain Law Movement、綠色逗陣
　
直播：永社（Taiwan Forever）
　
主持：許玉秀／前大法官
　
與談：林佳和／政治大學法律系副教授
　　　洪偉勝／律師、永社理事
　　　張陳弘／律師、美國美利堅大學法學博士
　　　黃帝穎／律師、永社副理事長
　　　詹晉鑒／律師、管中閔偽造文書案告發代理人
　　（依姓名筆劃排序）
　
時間分配：主持人10min、與談人20min、綜合討論40min
　
敬請報名：https://goo.gl/forms/6d1x927NsQqCbPb33
活動頁面：https://www.facebook.com/events/266556410791976/

見警率 犯罪率

吳景欽（作者為真理大學法律系所副教授、永社理事）

自由時報／自由廣場　2018.07.20
http://talk.ltn.com.tw/article/paper/1217968

近一個多月來，殺人分屍案件頻傳，引起民眾不安，新上任的內政部長徐國勇，即宣示提高見警率，以使犯罪率降低。惟如此的措施，真能實現安心社會之目的嗎？

法國十九世紀的社會學家涂爾幹提出無規範理論（anomie theory），認為一個社會一旦陷入無規範狀態，即社會規範不明確或無法落實，將使人民無所適從，社會即進入失序狀態，犯罪率也必然升高。又關於治安好壞，不在犯罪統計數字的下降，也不在於聽來多美好的政策，而在於民眾能否自由自在地走在街道上，無須擔心被害的可能性。以美國紐約警察於一九七○年代，開始採行徒步巡邏為例，犯罪預防的效果奇佳，因任何人皆感受到警察存在，任何的違法行為，也因此被立即制止，而藉由徒步，警察更可與市民做直接溝通。

這樣的實驗結果，也促使美國學者克雷格（George L. Kelling）與威爾森（James Wilson）於一九八二年三月，在大西洋月刊（The Atlantic Monthly）發表破窗（broken windows）一文。而破窗理論，其道理即在於：「若建築物的窗戶被打破而不馬上修補，很快的其他窗戶也會被打破。」故在見警率高的情況下，既讓人民感到安心，更可使有心者打消犯罪的念頭。

至於破窗理論最重要的實踐者，當屬一九九三年起擔任八年紐約市長的朱利安尼（Rudy Giulian）。其治安維護，並非以其擔任檢察長期間的掃黑，而是以取締輕微違法行為為主軸，如先清除所有地鐵塗鴉，並強力取締塗鴉為首要工作。這看似僅為保持乾淨地鐵的動作，卻使警察加強臨檢與盤查，任何意圖不法的行為，如持槍搶劫、販毒、竊盜等，也會被及早發現與制止，犯罪案件因此減少，致成為一個重要典範。

只是很多城市模仿紐約經驗的效果，普遍不是很理想，一個主要原因，即在於資源有限下，若不增加警力，既帶來勤務負擔的增加，也易淪為是應付上級，致流於形式與虛耗。尤其根據銓敘部統計，警察人力仍有超過五千人的缺額，要再提高見警率，如此的缺口勢必更為擴大，但到底要增加多少人、需要幾年的時間，實皆屬未知。也因此，在人民極度渴望治安良好的現在，內政部長的宣示，千萬別又成為口號一句。

Line隱私更新 你發現GDPR和台灣個資法的落差了嗎

江雅綺（作者為台北科技大學智財所副教授、永社社員）

上報／評論　2018.07.14
http://www.upmedia.mg/news_info.php?SerialNo=44512

 LINE在全台已有 1900 萬的使用者，在網路平台業者絕對是名列前茅。但令人驚訝的是，近日LINE更新隱私權政策，忽然要求使用者必須同意所有個資提供(包括要使用者同意LINE隱私權政策的變更、同意LINE為了行銷目的使用及分享本人資訊、同意LINE分享優化服務資訊以協助服務優化)，方能繼續使用LINE的服務。

之所以令人驚訝，是因為歐盟的《一般資料保護法規》(General Data Protection Regulation, GDPR)甫於5月底施行生效，台灣各相關主管機關，也為了協助台灣涉及歐盟市場的產業符合GDPR的規範，相當忙碌。但LINE這種要「使用者同意提供個資、否則不能使用服務」的方式，仔細檢視恐怕已經違反了GDPR規定的原則。

GDPR的精神，就是把個人資料的掌控權還給使用者(資料主體)，要求在蒐集、處理個人資料時，必須取得資料主體的同意。而GDPR所謂的「同意」，並非使用者有勾選「同意」就算。它必需是在資料主體被充分明確的告知下，所為之具體、自由的同意。

因此，很多情況下的「同意」，並不合乎GDPR的規定。例如，GDPR第七條中就提到：如僅是單純沉默、或預設選項為同意或不為表示等，這都不能算是GDPR下的「同意」。

所謂具體的同意，包含各種目的下的個資處理都要取得同意，倘如處理個資具有多重目的，則全部目的均應取得同意，而非含含糊糊的一個「同意」。

所謂受有充分告知的同意，如個人資料處理係基於資料主體之同意者，處理個資者除應舉證證明資料主體之同意，並應確保資料主體知悉同意之事實及範圍。

GDPR尤其注重此同意是資料主體未受強迫、「自由給予」的同意。因此，若資料主體並非出於真意、或無從自由選擇；無法於不損及其權益之情況下得隨時撤銷其同意；更重要的是，若另一方以將契約之履行與否、服務之提供與否，繫於使用者超出契約履行目的的「同意」與否，則這樣就會被推定為「不自由的同意」了。最後，「撤回同意」和「給予同意」的程序，應該一樣容易(而非更加複雜)

以上述的GDPR標準來檢驗LINE此次的隱私權政策變更，可以說，它至少觸及了GDPR下列幾項要求：

使用者在不自由的情況下給予同意：因為使用者不同意，就無法繼續使用LINE的服務。但LINE要求使用者同意的項目中，有關為了行銷目的使用及分享個資，並不是LINE的服務所必需的。 

使用者要撤回同意，遠比給予同意困難：在網友的壓力之下，LINE也從善如流，立刻提供網友如何撤回上述同意的資訊。但試過的網友就知道，按下同意只要一個鍵，撤回同意卻要分別到「設定」中一一把那些資料的選項撈出來、一一關掉。

不過，台灣網友不是歐盟網友，不是GDPR的保護對象。而就台灣的《個人資料保護法》而言，經「當事人同意」，是可以蒐集、處理和利用個人資料的。台灣個資法的「同意」，於《個資法》第7條中規定指「當事人經蒐集者告知本法所定應告知事項後，所為允許之意思表示。」但並沒有像GDPR規定的那麼詳細：沒有提到若另一方將服務提供與否、繫於當事人「同意」與否時怎麼辦。更沒有提到「撤回同意」和「給予同意」的程序，應該一樣容易。

LINE在此情況之下，取得的「同意」符合台灣《個資法》的規定。因此，不妨說這次LINE的隱私更新事件，意外讓我們發現，GDPR 和台灣個資法之間的落差。

三中案 有得拖

吳景欽（作者為真理大學法律系所副教授、永社理事）

自由時報／自由廣場　2018.07.14
http://talk.ltn.com.tw/article/paper/1216434

新北市長朱立倫為三中案遭起訴的馬前總統叫屈，原因在於未有一毛錢落入其口袋。惟以北檢起訴三中案，論告最多的非常規交易罪來看，是否以獲取利益為要件，就有探討之餘地。

根據證券交易法（證交法）第171條第1項第2款，依法發行公司的董事、監察人、經理人或受僱人，以直接或間接方式，使公司為不利益之交易，且不合營業常規，致公司受重大損害，無論行為人有無因此獲得利益，就成立所謂非常規交易罪。故要說三中案裡，被告因無收受任何金錢，致不應成立犯罪，顯是對現行法的不瞭解。

惟因馬前總統於案發當時，並非是國民黨任一黨營企業的董事或經理，勢必得證明其對這些公司具有實質的控制權，或與經營者具有犯意聯絡與行為分擔的共同正犯地位。同時，因檢方未能查有任何因賤賣黨產而收回扣之情事，就更得全力舉證不合營業常規的交易及公司的重大損害。而從北檢所公布的錄音光碟或卷證資料，雖是合法搜索取得，但其內容多屬傳聞，於法庭之上，就必然面臨有否證據能力的挑戰。就算能提出於法庭，但這些零碎片段的錄音或文件內容，到底是檢方去蕪存菁，抑或有目的的擷取與拼湊之結果，被告方也會強烈質疑。

尤其是非常規交易罪，檢方就算提出賤賣差價、獨厚特定者、買方無資力與損失的財產利益等等證據，但基於私法自治以及估算方式未必只有一種，再加以不合常規、重大損害等，皆屬不確定法律概念下，就難避免因法官而異的差別認定。

又由於非常規交易罪，法律並不處罰被動的收受利益者，再加上檢方未查有馬前總統收受利益之事實，就無從適用證交法第171條第1項第2款，因犯罪獲取財物利益超過一億元，可處以七年以上有期徒刑的加重規定，而回到三到十年有期徒刑的法定刑。只是針對三中案包裹式的交易行為，到底是數罪併罰而可累加至三十年，或可適用已刪除的連續犯加重二分之一，抑或只是單純一罪，在檢方未能清楚論告下，也替未來的訴訟，增添更多變數。凡此問題，也注定三中案，必陷入不知何時終了的審判過程與期間。