第四章 消費者保護之探討
第四節 個人資料真實性及維護
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
71
端,「電子支付機構支付款項信託契約應記載事項」第 5 條則明文,
交付信託之支付款項,除依使用者支付指示移轉支付款項、使用者 提領支付款項、孳息或其他收益分配予受益人外,委託人不得指示 受託人動用。只是契約應記載事項之效力似乎稍嫌薄弱,委託人有 無可能依《信託法》第 3 條反面解釋、第 15 條變更受益人及信託財 產管理方法,損及使用者權益,不無疑義。
第四節
個人資料真實性及維護 第一項 實名制以往因應網路的特色,電子商務平台提供線上支付服務的時 候,並不一定要求會員透漏真實之身分資訊,只要求使用者提供電 子郵件信箱、聯絡電話、地址等交易相關之資訊。為落實防制洗 錢、打擊資助恐怖主義,禁止匿名或明顯利用假名開設帳戶之要 求,以確保若有犯罪或不法情事發生時,得以追查交易人,《電子支 付機構管理條例》第 24 條第 1 項規定專營之電子支付機構建立使用 者身分確認機制之義務,將使用者提供真實資訊法制化。
電子支付體系納入金融管制環節的特色之一,就是強調使用者 的帳戶必須採用「實名制」,《電子支付機構使用者身分確認機制及交
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
72
易限額管理辦法》規定支付業者應確認使用者身分資料之真實性,
不得接受使用者以匿名或假名申請註冊,並於使用者註冊帳戶時,
支付業者應向財團法人金融聯合徵信中心查詢使用者是否為疑似不 法或異常交易之存款帳戶,並留下資料。100考量不同使用者對電子 支付帳戶交易功能需求不同,身分確認之嚴謹度亦有區別,依據
《電子支付機構使用者身分確認機制及交易限額管理辦法》與「電子 支付機構業務定型化契約範本」,單純自然人使用者僅使用「代收轉 付」與「預付儲值」功能,而無「收款」及「帳戶間款項移動」功能者,其 確認使用者資訊程度為行動電話號碼、電子郵件信箱或社群媒體帳 號、國民身分證資料或居留證資料;而自然人使用者欲使用「收款」
及「帳戶間款項移動」功能或法人使用者,除以上資訊確認外,必須 再確認金融支付帳戶之真實性,法人使用者更要求確認代表人或受 權代理人之真實性。101
(表 6)電子支付認證程序與開放功能對照表
類型 使用者身分認證程序 使用者帳戶功能與每 月收付款金額上限(新
台幣)
100 《電子支付機構使用者身分確認機制及交易限額管理辦法》第 3、4 條。
101 《電子支付機構使用者身分確認機制及交易限額管理辦法》第 6、8、9、13 條。
‧
‧
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
75
4. 代表人或其所授權之代理人以 臨櫃審查或符合電子簽章法之 憑證確認使用者之身分。
(資料來源:本研究自行整理)
第二項 電子支付機構個人資訊安全之保護 第一款 遵守資訊安全標準
強調方便的線上支付,安全性也是大家所考量的因素,但通常「
方便」和「安全」是兩個互斥的概念。國際間線上支付賬戶被盜刷的案 件頻繁,線上支付的無權利者冒用風險,可能歸咎於支付機構風險 意識薄弱,存在較多安全漏洞,且缺乏保護用戶權益的有效機制,
儘管部分線上支付機構承諾先行賠付,或者引入盜刷保險,但畢竟 難以挽回使用者的不安全感,因此針對線上支付資訊安全之風險特 性,《個人資料保護法》、《電子支付機構管理條例》及相關子法對於 資訊安全標準有嚴格之規定。
也由於實名制之緣故,支付業者之既有使用者初期可能會有些 不習慣,要求使用者透漏真實資訊而讓使用者得到更多的支付功 能,或許使用者初始排斥的並非不便利的問題,而是真實資訊是否 獲得充足保障的疑慮。《電子支付機構使用者身分確認機制及交易限
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
76
額管理辦法》第 7 條規定電子支付機構接受個人使用者註冊時,提 供之基本資料至少包含姓名、國籍、身分證明文件種類及號碼、出 生年月日。這些身分資料一旦外流,將增加使用者遭詐騙或冒用帳 號之風險,所以《電子支付機構管理條例》第 28 條規定電子支付業 者對於使用者之資料應保守秘密,並禁止其利用使用者個人資料為 第三人從事行銷行為。第 29 條第 2 項授權主管機關訂定《電子支付 機構資訊系統標準及安全控管作業基準辦法》,規範支付業者對於個 人資訊保護措施建置之基準,包含身分確認程序、使用者帳號密碼 設計之規定,如密碼不應少於六位、密碼不應和帳號相同、登入驗 證機制、實體機房的防護與監控、避免訊息重複之測試等,提供支 付業者遵守資訊安全之標準。
除了法規之外,ISO27001 是資訊安全管理標準,其宗旨在提供 用以建立、實作、維持及持續改善資訊安全管理系統(Information Security Management System, ISMS)之要求事項,將資訊管理分為 三種,「機密性」(confidentiality):指使資訊不允許使用或不揭露 給未經授權之個人、個體或過程(指資訊由輸入轉為輸出的流程);「
完整性」(integrity):指準確度和完全性的性質;「可用性」
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
77
(availability):指確保經過授權的用戶在需要時,可以存取並使 用相關資訊資產的性質。104
第二款 驗證方式吹起生物特徵辨識風
目前電子支付驗證方法的問題,在於容易被盜用,簽名容易被 複製,密碼會有被竊取及遺忘的問題,現代人因為手機密碼、銀行 帳戶密碼、電子郵件密碼等,頭腦已應接不暇,根據統計,67%的消 費者平均必須記得 11 組帳號密碼105,故生物科技的獨一無二特性能 幫助人們解決記憶驗證帳號密碼的不便106。因此近期境外支付業者 紛紛嘗試生物特徵的身分認證方式,除了 2014 年 9 月 Apple 的 iPhone6/6+手機所搭載的指紋辨識驗證技術,用戶可在電源鍵按上 指紋完成支付認證外,阿里巴巴於 2015 年 3 月推出「微笑支付」、
2015 年 7 月 MasterCard 開始測試「臉部辨識」技術、2015 年 4 月,
Yahoo 奇摩實驗耳紋辨識研究、2015 年 5 月,日本 NTT Docomo 在 ARROWS NX F-04G 手機上,搭載「虹膜辨識」技術,提供用戶能掃描
104丁冠齊,巨量資料與個人資料保護法之研究,世新大學法律學研究所碩士論文,2015 年 7 月,頁 19。
105 Consumers Ready to Say Goodbye to PINs, Passwords, and Probing, Nuance, May8, 2013
http://www.nuance.com/company/news-room/press-releases/2013_05_08_VoiceBioSurvey_forWeb.docx (last visited December10, 2016)
106 李元生、林建廷,行動商務概論、實務與應用:無所不在的雲端運算、行動裝置、RFID 與 物聯網,2012 年 9 月,頁 204。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
78
眼睛的虹膜完成手機螢幕解鎖或結帳付款認證等107,如此的好處在 於提高身分認證的便利性,減少忘記密碼而需要後續確認本人身分 手續的不便,但前提是生物特徵辨識系統具充足的穩定性、可靠 性,否則可能弄巧成拙。而國內業者目前主要的心力在於衝高用戶 數與拓展合作商家,對於生物特徵辨識認證尚未有具體應用。
第三款 資訊安全漏洞之損失承擔 第一目 歐盟
關於支付業者承擔損失之規定,歐盟《支付服務指令》首開歐 盟電子支付法制先例,將過失舉證責任納入強制規範108,是根據使 用者發現未經授權交易後是否即時通知支付業者區分責任歸屬,使 用者通知後的未經授權交易,不論支付業者有無阻止能力,原則上 應由業者承擔相關損失,倘業者並無提供使用者服務電話、電子信 箱等隨時通知之管道,支付業者應就全部之損失負責109;使用者通 知前之未經授權交易,使用者應承擔損失,但於使用者非故意或重 大過失發生損失時,使用者承受之損失最多為 150 歐元。110至於「重
107 胡自立,虛擬經濟-行動支付之影響與商機研究 國際篇-行動支付趨勢與業者動態,財團 法人資訊工業策進會產業情報研究所,2015 年 9 月,頁 167。
108 蔡宗霖,同註 2,頁 56。
109 Reinhard Steennot, Allocation of liability in case of fraudulent use of an electronic payment instrument:The new Directive on payment service in the internal market, Computer Law & Security Review, 2008, 24, (6):555-561.
110 Article 60、61, Directive 2007/64/EC.
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
79
大過失」之定義,有論者認為將支付密碼儲存紀錄於載體上,尤其是 紀錄於公用電腦,或將帳號密碼紀錄於易被取得之紙條上,都會被 認為使用者應負重大過失之責。111
第二目 美國
美國聯邦《電子資金移轉法》(Electronic Funds Transfer Act, EFTA)中針對風險責任分配也有相同規定112,該法明文消費者 毋庸對未經自身授權之電子資金移轉負責,但消費者有即時通知義 務,並規定使用者負擔額度隨通知時間延後而增加,甚至全額負 擔。在通知業者後,隨即免除負擔損失之責。
(表 6)美國聯邦《電子資金移轉法》中規定使用者通知義務與 負責程度
事件 使用者通知業 者期間
使用者負責程度
裝置遺失或遭 竊
使用者得知裝 置遺失或遭竊
使用者最高僅需負擔 50 美元
111 蔡宗霖,同註 2,頁 57。
112 蔡宗霖,同註 2,頁 52。
‧
‧
資料來源:Consumer Liability for Unauthorized Transfers:
Electronic Fund Transfer Act - Regulation E (12 CFR 205.6)
第三目 台灣
我國《電子支付機構業務管理規則》第 16 條明文電子支付機構 對於電子帳戶偽冒交易之爭議應負舉證之責,如有不可歸責使用者 之事由者,應承擔該交易之損失。在不可歸責於使用者之資訊外流 風險上,支付業者承擔風險以維護使用者權益,有效督促支付業者
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
82
建置資訊安全的確實性,也因支付業者相較於使用者有防範資訊外 流之優勢,且既然業者獲有利益,本該承擔風險。相較於歐美的消 費者負通知義務,我國採用業者必須為「歸責於消費者的損失」負舉 證責任,對於使用者未經授權交易之保護乃有過之而無不及。隨著 網路交易日益發達,相關業者在面對資料遭竊取而導致用戶權益受 損之情形,或許可以思考以「個人資料保護責任保險」方式分散理賠 之風險。
第三項 第三方支付業之資訊安全
在《電子支付機構管理條例》及相關規定的範圍下,資訊安全
在《電子支付機構管理條例》及相關規定的範圍下,資訊安全