本月初,iRent(和雲行動服務股份有限公司)發生用戶資料外洩事件;一名安全研究員在和泰汽車的雲端伺服器上發現了一個資料庫,其中包含iRent用戶的詳盡個資,且無密碼保護,任何人只要知道資料庫的IP位址都可以查看上述資料,受害會員估達40萬人,洩漏期間更高達九個月。事後,公路總局、臺北市政府交通局以及新北市政府交通局乃先後分別對iRent進行裁罰,公路總局裁罰20萬,臺北市及新北市則各自裁罰9萬元,罰鍰總計為38萬元,雖然對和雲而言有如九牛一毛,但是引發可能違反「一行為不二罰」的爭議,值得釐清。
簡言之,依據行政罰法第24條規定,針對一個違法行為,如果同時違反數個法律規定,原則上僅能「從一重處罰」(適用處罰最重的法律予以裁罰)。不過,如果此時數個行政管制法規之間,具有「特別法」與「普通法」之關係(如針對消費者保護事項,消費者保護法為普通法,體育事業主管機關針對運動消費者所訂定之特別法規,即屬特別法),則特別法應優先適用,此部分法務部曾以107.8.27 法律字第10703598600 號函特別予以加以說明。此外,行政罰法第26條也規定,如果一個違法行為,同時觸犯刑法(包括涉有刑事處罰的行政法規或特別刑法)並違反行政法上義務規定,僅能依刑事法律處罰,不能同時處以刑罰及行政罰。
依據個資法第27條第1項之規定,保有個人資料檔案之企業,「應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏」;同條第3項,也賦予中央目的事業主管機關。交通部針對汽車運輸業,也頒行了「汽車運輸業個人資料檔案安全維護計畫及處理辦法」,課予和運等「保有消費者個人資料比數達一百筆以上」之交通運輸業者,應「規劃、訂定、修正與執行消費者個人資料檔案安全維護計畫」之義務,以妥善保管個人資料。當業者違反個資法第27條以及相關法規時,依據個資法第48條,中央目的事業主管機關得處新臺幣2萬元至20萬元之罰鍰。本件由於受害人數高達40萬人,和雲違法期間又長達九個月,公路總局裁罰20萬元之法定最高罰鍰,應屬妥當。
相對於此,臺北市政府認定和雲違反「臺北市共享運具經營業管理自治條例」第9條第1項第10款(「經許可之業者應遵守下列事項:十、……其他法規規定之事項。」)之義務。但仔細觀察可知,臺北市此一自治條例並沒有另外課予業者任何法定義務,只是重申業者必須遵循「其他法規規定」。準此,臺北市顯然是以和雲違反個資法及其子法為由,針對相同的違法事項,重複課處9萬元的罰鍰,此顯然已經違反行政罰法第24條「一行為不二罰」之規定。
反觀新北市政府,是主張和雲違反「新北市共享運具經營業管理自治條例」第5條第1項第3款(「業者營運時應遵守下列事項:三、建立完善保護租用人個人資料之制度。」)之義務,從而依據同自治條例第12條課處9萬元之罰鍰。此雖然是由地方自治條例直接課予和雲此一共享運具經營業者「建立完善保護租用人個人資料制度」之義務,但是義務之內容顯然與個資法並無歧異,而且參考新北市政府所發佈的新聞稿,也是基於公路總局已經裁罰的事實,再依地方自治條例課處9萬元之罰鍰,此顯然也違反行政罰法第24條之規定。
綜上,和運此次未妥善保管消費者個人資料,固然違法情節重大(影響40萬名消費者,期間長達九個月),但是臺北市政府以及新北市政府針對相同的違法事項,另外依據地方自治條例再分別予以課處9萬元之罰鍰,顯屬違法。和雲違法侵害消費者個資固然可惡,但政府具有依法行政的義務,如果覺得20萬罰鍰太低,應該是另外建請中央修法,而不是自己濫權開罰。臺北市政府及新北市政府不應因為「民氣可用」,就違法開罰,否則反構成對人權法治更大的戕害。
*作者為泰鼎法律事務所主持律師,本文原刊《奔騰思潮》,授權轉載。