「員警違法調閱民眾個資?這算什麼新聞?」常見是個案警員為了私人理由,無論是為找前妻資料、為親友討債、追正妹等等而違法調閱民眾個資,早已不是什麼新聞。但如果「多位員警集體違法『盜賣』民眾個資給徵信業者呢?」亦即員警們(不同單位)夥同徵信業者違法調閱民眾個資,這問題就大了。
依2021年10月28日媒體報導,先前屏東地檢署偵辦某仙人跳案件,進而查出高雄市刑大郭、林2位偵查佐與某徵信業者過從甚密,經擴大清查警政電腦紀錄,陸續調查或分次搜索「高雄市刑大、岡山分局、三民一分局、苓雅分局」等單位,查出至少五位員警涉嫌以每筆個資4000元至8000元價格盜賣給某徵信業者,至於有多少位民眾受害則待查證釐清。
關於員警們盜賣個資給不肖業者,其事涉「索取費用(盜賣)」均涉嫌貪汙治罪條例之違背職務收受賄賂罪及洩密罪等罪責,卻鮮少有人思考「法制上的民眾個資保護及妨害秘密罪(洩密)」等嚴重之競合問題,以及現行法制上之人權漏洞。
大力推動司法改革,卻遺忘人權保障之根本理念?
蔡總統上任後大力推動司法改革,成效如何尚待觀察或留待公評。2016年11月1日司法院長許宗力在「從人民觀點出發,以人權保障為念的司改—院長的司法改革主張」談到:「司法改革卑之無甚高論,唯以人民觀點出發,以人權保障為理念,研擬務實可行方案,然後貫徹始終而已。」此語望之儼然,但針對院檢機關存在的司法人權上之資安漏洞,是否已遺忘以人民觀點出發及人權保障之根本理念?
院檢機關常年存在各種資安的隱微問題,例如:電子書狀傳送、設備老舊、軟體更新或資訊系統安全漏洞等。法律文科邏輯論證為法律人之強項,但電腦資訊、資安工程等向來為法律人之軟肋,甚至是盲點,只因為此部分具有電腦工程專業及特性,法律人多半對此並不熟悉,只能委諸資訊工程專業。
此類資安問題有來自於外部之駭客,也有來自於機關內部監督控管之層面,在內部控管上顯然需要完整妥善之法制或刑罰規範,並依法落實監督(註:有興趣可查閱行政院版2020.11.9:資通安全事件通報應變辦法及其作業程序,而本文所論該案發生於2020年底至2021年初)。
近期多位員警私自登入警務系統查戶政資料,洩漏民眾個資?
觀察2021年10月29日警政署新聞稿提到「近期、多起員警」這樣的用語,每次只要發生此類風紀醜聞,約莫都是上級首長震怒、檢討及改進,幾乎都是千篇一律。
該新聞稿中提到:「警政署鑒於『近期』發生『多起』員警利用警政系統查詢民眾個人資料,並洩漏給不肖業者使用,為有效維護民眾個人資料及公務機密安全,除將加強稽核機制,並要求各警察機關主動清查所屬員警有無違常使用情事,以維護民眾權益及強化員警廉潔觀念外,對於違法員警如調查事證明確,將從嚴究辦。」
新聞稿寫得極好,其用語為「近期發生多起」足見涉及多位員警及其弊深,豈是一句「近期、發生多起就可以了事?」或當此時警政署長只會震怒,然後將違法者從嚴究辦及再三重申強化員警廉潔觀念,然而真正重點應是「警政查詢系統(登入)及監督系統」到底出了什麼弊端?可以任由這些警員們恣意查閱民眾們個資並盜賣給不肖業者?或者,再三檢討真的有用嗎?
屏檢跨區至高雄搜索
如細心觀察媒體報導或警政署新聞稿,提到該案居然是由屏地檢署自「今年5月間」(註:媒體報導為今年8月)指揮警政署政風室、廉政署南部地區調查組及高雄市政府警察局偵辦?於此不難理解又是個「案外案類型」,也就是無意中透過他案(仙人跳)才發現嚴重的本案,然後「不查不知道,一查嚇一跳?」由屏檢會同廉政署及市局搜索多處,揪出至少5位警方同仁登入警政系統查詢涉嫌盜賣民眾個資?此類型的案外案真的是法制上的問題,還是控管監督的問題(俗稱螺絲鬆了)?
先前調查局徐姓前調查官盜賣毒品高達524公斤,徐嫌從2012年起勾結毒梟、長達8年掉包毒品轉賣牟利,關鍵在於「扣案毒品被掉包」,當警察或院檢機關控管監督不周,被銷毀的可能是什麼?可能是一包又一包的粗鹽,重點是「被掉包的毒品呢?」已經遭盜賣販售牟利。同樣的,新北市刑大某小隊長一樣可將不知名查扣的贓物毒品及槍械、子彈等藏在天花板上,不是嗎?更者如大安分局刑事偵查隊某小隊長「栽槍案?」
此部分可以思考一個有趣的問題:「為何屏檢跨區抓高雄市警局的警察(刑警)?」照理說,大高雄地區之犯罪管轄範圍,理應有「高雄地檢署」及「橋頭地檢署」?依法院組織法第62條規定:「檢察官於其所屬檢察署管轄區域內執行職務。但遇有緊急情形或法律另有規定者,不在此限。」準此,關於檢察官職權行使與執行職務之區域,原則上同於法院管轄區域。惟如涉及緊急情形或法律另有規定時,則不在此限。
而關於緊急之情形,例如:對於涉及證據之蒐集或犯人保全之客觀緊急情況均屬之,其理由乃在於掌握時效與避免證據喪失,以及落實國家之刑罰權。且如就檢察一體原則之角度觀之,涉及對犯罪之訴追,如僅涉及職務之承繼或職務之移轉等情形時應不受管轄區域之限制。
用個比較簡單的說法,該案是跨轄區的犯罪,所涉多名員警均在大高雄地區,如就主要區塊觀察應為高雄地區之高雄地檢署管轄,應由雄檢向雄院聲請羈押,或許從檢察一體原則與檢察機關之功能以觀,對於犯罪之訴追,原則上並無管轄及審級之問題,但就實務上之「跨區辦案」,均涉及「指揮司法警察跨區辦案」之客觀情形,除有打擊犯罪之綜合必要,實務上仍尊重各別之管轄區劃範圍,以維護或貫徹廣義司法權之機能。
本案發生在高雄地區,主要是雄檢管轄範圍,屏檢偵辦從今年5月起偵辦,是否唯恐雄檢「事前走漏風聲?」遲遲至10月底才雷霆一閃對涉案之多位員警收網?誠然,檢方偵辦實務上或覺得習以為常,但由屏檢跨區偵辦該案卻是客觀之事實。
另外有段頗值得耐人尋味的報導,其中談到「高市警局長黃明昭說,個資調查有稽核程序,其查詢如果與辦案人員無關資料,一旦發現異常,調查後一律懲處。」此類說明為公家機關常見的慣用說明,乍看並無問題,但仔細推究呢?請問該五名員警「是何時登入警政系統違法查詢民眾個資?其查詢之場所、地點(或登入點)、查詢次數為何?」內行人自然懂得如何用技巧或漏洞規避,不是麼?至少懂得假借職務之便,少露一點破綻。黃局長所稱「稽核程序」或防君子不防小人,「若真的落實稽核程序,焉輪得到屏檢指揮辦案、搜索高市警方單位多處,並且聲請羈押該五位員警被告?」
司法院資訊處工程師,利用院內系統窺看他人前科資料
無獨有偶,2021年10月1日同樣有一則非常容易忽略的司法新聞,司法院資訊處的某位林姓女工程師,趁職務之便利用系統程式漏洞,多次進入「前科系統」查詢他人前科紀錄,經司法院管考登入紀錄發現「某些資料查詢異常」,才追查出「沒有查詢權限的林女涉案」。該案林女違反《個資法》部分經北檢為不起訴處分,另涉《妨害電腦使用》部分,北檢則給予「緩起訴處分」(北檢110偵字26050號妨害電腦使用罪)。
另依10月4日新聞載,司法院為「保障國家安全」,2020年度「現代科技與國家安全研習會」,課程包括「反滲透法及國安法制研討」、「網路駭客入侵與電腦犯罪」等包含對高科技產業營業秘密安全問題之深度討論。以上2則新聞,不約而同均跟「資安有關」,但如「漏洞是來自於司法機關內部監督呢?」
「林女為何要查詢他人的前科紀錄?」據悉是她2020年買了韓團AB6IX來臺演唱會門票,但因疫情取消,因購票者及主辦單位之民事訴訟,林女爲了解訴訟進度,無故利用司法系統,知法犯法進入查詢「該主辦單位及其負責人的前科紀錄」。
可怕的是,林女身為「司法院資訊處之工程師」負責管理司法院審判書類製作系統(內部系統)。「無權限的林女」卻可經過找尋系統漏洞及修改參數,連結進入「當事人前科紀錄查詢系統」,進而於2020年底至2021年1月間「多次」進入系統查詢他人前科。
以上情形,該案自然應依法訴追,但仔細深思「如果未經察覺」或是「該工程師之電腦技術異常高明呢?」或說「凡走過必留下痕跡」,但對於電腦資安相對外行的法律人來說,一連串的電腦軌跡、資料查核無異如天書般困難,也就是當內部人出現資安問題,會呈現出嚴重之弊端或漏洞。
機關人員無權限,隨意瀏覽個資未違反個資法?
另一個令筆者不解的是,該案經北檢作成不起訴部分,認為未違反個資法。北檢不起訴之理由待考,程序上之再議等悉依《刑訴》規定。提個簡單的問題:「民眾(您的)有無前科資料,被無權限之人任意查閱,請問未違反個資法?」以眾所皆知的案例觀察,當警方任意進入系統查閱民眾個資或資料,可明顯判斷違法。檢方對林女該案「違反個資法部分,卻作成不起訴?」
該不起訴處分或認為被告林女「進入系統,除閱讀之外」並無其他利用個人資料之行為或無任何違法利用被害人資料之犯行?那回歸個資法第1條保護意旨明定:「規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。」請問執法者檢察官對此的理解為何?請問本案被告林女之「無權限進入公務電腦系統,恣意窺讀他人前科資料,未違反個資法?」是否為法制上之漏洞,或是只認為此部分屬於民事侵權?
實務目前見解或認為《個資法第41條》須以「行為人有意圖為自己或第三人不法利益(意圖營利)而違反個資法時,才有以刑罰處罰之必要。」實務或認僅限於「財產上之利益」,而不及於「被害人之人格上之利益(非財產上利益)」,並以民事賠償、行政罰資為救濟之方式。但參考其修法理由,犯罪行為人主觀上如具有意圖其他「具體之不法利益」或「惡意損害他人(損害他人之利益)」者,解釋上筆者認為「公務機關人員」對於此類侵犯並非不能適用刑罰,至少此部分具有法制上之漏洞或不足。
機關對個資之知悉或利用,攸關人權保障應填補法制漏洞
法務部法律字第10503512050號函說明:「個人資料之利用,應尊重當事人之權益,依誠實及信用方法為之,不得逾越特定目的之必要範圍,個資法第5條定有明文,是個人資料之利用,除應符合個資法第16條之利用規定,並應符合個資法第5條比例原則之規定。」
此部分實務常「困昧」於法條所定「利用」這兩字,如仔細審酌「機關之權限」,當機關人員知法犯法利用執掌「無正當理由查閱民眾個資」就是明顯侵犯人權,也符合個資法第41條所稱之「損害他人之利益(人格利益)」。同樣的,雄檢收發人員恣意讀閱人民書狀不也是同樣的法制漏洞問題?
由前述「院檢機關人員濫權」或「員警盜賣民眾個資」之幾起案例觀察,無論是「無權限利用系統查閱」、「收發時窺讀」或「違法盜賣」顯然都有違法及侵害人權問題,僅就侵犯法益的程度輕重不同,但同樣的均屬公務人員濫用其職務(執掌)侵害民眾隱私。對此類漏洞,任何無權限之人(包含警察)都可恣意窺讀民眾個資,包含:「自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。」以上民眾隱私及個資,被政府機關人員恣意窺視(隨意知悉)真的無法可管?
或許《個資法第41條》對此該嚴正檢討及修法?或言,林女該個案之個資法的不起訴處分,對於「司法院資訊處、被告林女及北檢等屬於皆大歡喜之三贏局面」,可惜在人民個資維安及人權保障的面向上,顯然保障不足且尚待努力,只能調整實務上見解及期盼透過將來修法,以期維護人民及社會大眾之權益。
還是蔡政府一直大力宣導《司法改革》及自詡《人權保障》,顯然可以發動修法,此部分卻放任法制漏洞,恣意侵害人權?當根本人權問題均以鴕鳥方式面對,筆者問一句即可:「當民眾隱私及個資,被政府機關人員恣意窺視(隨意知悉)或多位警員盜賣個資給不肖業者,上級卻只會震怒及檢討,請問怎麼保障民眾們權益?」或許人權及個資之維護保障,在現制下仍屬漫長無比。
*作者為執業律師、高雄律師公會第15屆人權委員會召集人
