葉慶元觀點：iRent洩漏個資 中央、地方共罰三次 合法嗎？

本月初，iRent（和雲行動服務股份有限公司）發生用戶資料外洩事件；一名安全研究員在和泰汽車的雲端伺服器上發現了一個資料庫，其中包含iRent用戶的詳盡個資，且無密碼保護，任何人只要知道資料庫的IP位址都可以查看上述資料，受害會員估達40萬人，洩漏期間更高達九個月。事後，公路總局、臺北市政府交通局以及新北市政府交通局乃先後分別對iRent進行裁罰，公路總局裁罰20萬，臺北市及新北市則各自裁罰9萬元，罰鍰總計為38萬元，雖然對和雲而言有如九牛一毛，但是引發可能違反「一行為不二罰」的爭議，值得釐清。

簡言之，依據行政罰法第24條規定，針對一個違法行為，如果同時違反數個法律規定，原則上僅能「從一重處罰」（適用處罰最重的法律予以裁罰）。不過，如果此時數個行政管制法規之間，具有「特別法」與「普通法」之關係（如針對消費者保護事項，消費者保護法為普通法，體育事業主管機關針對運動消費者所訂定之特別法規，即屬特別法），則特別法應優先適用，此部分法務部曾以107.8.27 法律字第10703598600 號函特別予以加以說明。此外，行政罰法第26條也規定，如果一個違法行為，同時觸犯刑法（包括涉有刑事處罰的行政法規或特別刑法）並違反行政法上義務規定，僅能依刑事法律處罰，不能同時處以刑罰及行政罰。

依據個資法第27條第1項之規定，保有個人資料檔案之企業，「應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏」；同條第3項，也賦予中央目的事業主管機關。交通部針對汽車運輸業，也頒行了「汽車運輸業個人資料檔案安全維護計畫及處理辦法」，課予和運等「保有消費者個人資料比數達一百筆以上」之交通運輸業者，應「規劃、訂定、修正與執行消費者個人資料檔案安全維護計畫」之義務，以妥善保管個人資料。當業者違反個資法第27條以及相關法規時，依據個資法第48條，中央目的事業主管機關得處新臺幣2萬元至20萬元之罰鍰。本件由於受害人數高達40萬人，和雲違法期間又長達九個月，公路總局裁罰20萬元之法定最高罰鍰，應屬妥當。

相對於此，臺北市政府認定和雲違反「臺北市共享運具經營業管理自治條例」第9條第1項第10款（「經許可之業者應遵守下列事項：十、……其他法規規定之事項。」）之義務。但仔細觀察可知，臺北市此一自治條例並沒有另外課予業者任何法定義務，只是重申業者必須遵循「其他法規規定」。準此，臺北市顯然是以和雲違反個資法及其子法為由，針對相同的違法事項，重複課處9萬元的罰鍰，此顯然已經違反行政罰法第24條「一行為不二罰」之規定。

反觀新北市政府，是主張和雲違反「新北市共享運具經營業管理自治條例」第5條第1項第3款（「業者營運時應遵守下列事項：三、建立完善保護租用人個人資料之制度。」）之義務，從而依據同自治條例第12條課處9萬元之罰鍰。此雖然是由地方自治條例直接課予和雲此一共享運具經營業者「建立完善保護租用人個人資料制度」之義務，但是義務之內容顯然與個資法並無歧異，而且參考新北市政府所發佈的新聞稿，也是基於公路總局已經裁罰的事實，再依地方自治條例課處9萬元之罰鍰，此顯然也違反行政罰法第24條之規定。

綜上，和運此次未妥善保管消費者個人資料，固然違法情節重大（影響40萬名消費者，期間長達九個月），但是臺北市政府以及新北市政府針對相同的違法事項，另外依據地方自治條例再分別予以課處9萬元之罰鍰，顯屬違法。和雲違法侵害消費者個資固然可惡，但政府具有依法行政的義務，如果覺得20萬罰鍰太低，應該是另外建請中央修法，而不是自己濫權開罰。臺北市政府及新北市政府不應因為「民氣可用」，就違法開罰，否則反構成對人權法治更大的戕害。 （相關報導： 情節重大確定開鍘！iRent個資外洩40萬筆屆期未改正，公路總局罰款金額曝光 ｜ 更多文章 ）

＊作者為泰鼎法律事務所主持律師，本文原刊《奔騰思潮》，授權轉載。