網路安全與隱私權的衝突

網路安全與隱私權的衝突
8 月 30, 2019 No Comments Uncategorized 管理員

針對商業間諜、網路犯罪與恐怖活動,已經對於當下的法律體系帶來嚴重的衝擊。許多資訊安全專家專注於安全卻忽視網路使用者的隱私權,但也有持相反立場的所謂隱私保護激進者。

各國在面對導入新的網路防護、偵測、網路犯罪與恐怖活動調查及起訴罪犯時都面臨著巨大的挑戰,在安全—技術議題 VS 隱私—法律觀點上充滿矛盾與衝突。網路使用者是否可期望擁有線上隱私權?在對抗商業間諜與網路犯罪的同時,資訊安全保護與隱私權保護面對著無法共存的難題。我們要付出什麼代價以保護網路安全?網路控管衝擊了西方民主的核心要素 — 言論自由與隱私權。世界因全球化與網路而改變,恐怖攻擊的持續威脅與網路濫用造成嚴重的犯罪,很明顯地,網路隱私的侵蝕便是我們為網路安全所付出的代價。

企業在執行電子監控進行知識資產保護時,應特別注意平衡隱私保護

企業為強化資安保護,防止駭客入侵及內鬼外洩機密資訊,或是基於其他管理效能的需求,會採取周延的防護網,其中也包括對員工進行職場監視(Workplace Surveillance)。員工對雇主固有忠誠及履行工作的義務,但也有其自身隱私與個資保護的權益。職場監視即使立意良善,難免在實際運作上產生大我與小我之間的緊張關係,有必要予以平衡兼顧雇主與員工的合法權益。

員工隱私與個資保護也需兼顧

企業對員工進行職場監視也需兼顧員工隱私與個資保護。如果被發現違規情事遭雇主監控或是被開除,可能引發勞資糾紛以及侵害隱私個資的爭議。近來監察院以政風人員濫權測謊調通聯而糾正法務部,可資參考。

今年 9 月間歐洲最高人權法院判決認定雇主須確保員工事先知道管理階層監控員工的公用電子郵件。該案緣起於一名羅馬尼亞的工程師在工作時間使用Yahoo的Messenger傳送私人訊息而被雇主解僱,該工程師主張雇主監看的訊息還包括他個人健康與性生活相關的內容而侵犯隱私。法院認為員工即使在工作場所仍享有隱私權;雇主並不能毫無受限地對員工展開全面監控,其監控手段必須為了正當目的且合乎比例原則。此外,雇主亦應事先告知員工對其採取監控措施。

關於類似的問題,我國法院有見解認為:公司查看員工之電子郵件,是否侵害員工之隱私權,應視員工是否能對其在公司中電子郵件通訊之隱私有合理期待,若公司對於員工電子郵件之查看政策有明確宣示,或是員工有簽署同意查看之同意書,則難以推論員工對於自身電子郵件隱私有一合理期待。又若無法有合理期待,則應另視有無法律明文禁止雇主查看員工之電子郵件(參見台灣高等法院100年度勞上易字第121號民事判決)。

民法

我國就隱私權的保護,依據民法第十八條第一項規定:「人格權受侵害時,得請求法院除去其侵害﹔有受侵害之虞時,得請求防止之。」同法第一百八十四條規定:「Ⅰ因故意或過失,不法侵害他人之權利者,負損害賠償責任。

故意以背於善良風俗之方法,加損害於他人者亦同。Ⅱ違反保護他人之法律,致生損害於他人者,負損害賠償責任。但能證明其行為無過失者,不在此限。」本條所稱的「權利」包括人格權,我國實務亦將隱私權列為人格權的一種,因此如果認為公司對員工電子郵件的監視構成隱私權的侵害,就可以根據本條請求財產上的損害賠償。 

至於非財產上的損害賠償,也就是精神上損害的慰撫金,自八十九年五月五日施行修正條文後,也已有所依據,第一百九十五條第一項規定:「不法侵害他人之身體、健康、名譽、自由、信用、隱私、貞操,或不法侵害其他人格法益而情節重大者,被害人雖非財產上之損害,亦得請求賠償相當之金額。其名譽被侵害者,並得請求回復名譽之適當處分。」可知個人隱私為民法所保護。 

探究隱私權的來源,主要是來自於「let someone to be alone」,也就是讓個人獨處、不加以干擾,這種權利過去在工作場所幾乎沒有主張的餘地,因為工作場所就是公開場合,但是近年來一方面是個人權利意識的高漲,隱私權的保護逐漸擴大,一方面工作與生活愈來愈難區分,尤其時代進步產生人類活動型態的變化,亦非傳統觀念能夠全然解釋,因此,監看員工電子郵件是否造成隱私權侵害,就未必沒有爭論,像美國就有不少判決認為,此種情形員工對隱私權之保護無合理的期待,因而判決員工敗訴。 

但另一方面,秘密通訊自由既是憲法明文保障的基本權利,較民法應更審慎的刑法、通訊保障及監察法,又已對開拆他人信件、監察他人通訊的行為加以處罰,何況一般人觀念中,應該也會認為自己電子郵件中的內容可能帶有敏感和私密的成分,不欲他人知悉,因此此處隱私權的存在,似乎又不易否定。 

當然,沒有什麼權利是絕對、不可限制的,隱私固然有保護的需求,另一方面,公司的自由權、財產權也有保護的需要,前面本文已經列舉公司實施電子郵件監看可能的理由,因此,假如在具體情況公司真的存在正當理由,而其所採手段未逾必要的界限,依本文看法有可能被認為是正當權利行使的行為,阻卻不法,而不構成民法第一百八十四條的侵權行為。 

如果侵害員工的隱私與個資,員工得對雇主主張民事責任,如個資法第 29 條的損害賠償責任及民法 184 條的侵權行為責任。此外,員工亦得主張雇主應負擔刑事責任,得引用個資法第 41 條以及刑法第 315 條之 1 規定。

刑法 

我國刑法第三百十五條規定:「無故開拆或隱匿他人之封緘信函、文書或圖畫者,處拘役或三千元以下罰金。無故以開拆以外之方法,窺視其內容者,亦同。」

因此如果公司檢查員工電子郵件內容,即使不解釋為「開拆」,也是「以開拆以外之方法窺視其內容」,而有構成本條的可能。有問題的是,「封緘」在電子郵件的情形應如何解釋?有學者認為將加密解為符合封緘有違罪刑法定主義,在修法前應不能以該條處罰對電磁紀錄的窺視。 

即使適用本條之規定,參考德國刑法的規定,也應解為被侵入的客體如果是電磁紀錄,必須是特別經過加密處理的電磁紀錄。此種見解甚有說服力,但在立法者的主觀意願和客觀需求下,此一限縮處罰範圍的見解將來是否為實務所採,仍待觀察。 

此外,刑法第三百十五條之一規定:「有左列情形之一者,處三年以下有期徒刑、拘役或三萬元以下罰金:一 無故利用工具或設備窺視、竊聽他人非公開之活動、言論或談話者。二 無故以電磁紀錄竊錄他人非公開之活動、言論或談話者。」電子郵件的文字內容,是否屬於條文所稱的「言論」可能有爭議,因為綜觀整個條文,言論似指聲音形式之態樣,而應採否定見解,不過也有採取肯定見解者,則如果認為電子郵件內容屬於本條言論,窺視其內容就可能構成第一款情形;而電子郵件的監看,又必定會構成重製,因此,將符合「竊錄」的規定。 

因此,若法院採取最寬鬆的解釋,認為前開犯罪構成要件都成立,公司監看員工之電子郵件是否違反刑法,關鍵就在公司是否「無故」?因為上述條文都以「無故」為要件,而所謂無故通說解為「無正當理由」,公司以保護營業秘密、保護名譽、避免法律糾紛、提高工作效率、維護伺服器運作順暢等理由,監看員工電子郵件,有可能算是正當理由,但恐怕仍要看個別公司的需求,以及所採取的監看政策的侵入強度,分別情形以觀,不能一概而論。 

至於藉由職場監控但卻侵害員工的隱私與個資而取得的證據在訴訟上是否應排除,此涉及私人不法取證的法律議題。實務上認為原則上仍得作為證據,其理由為私人非法取證之動機,或來自對於國家發動偵查權之不可期待,或因犯罪行為本質上具有隱密性、不公開性,產生蒐證上之困窘,難以取得直接之證據之故。而私人不法取證並無普遍性,且對方尚得請求民事損害賠償或訴諸刑事追訴或其他法律救濟機制,故無須藉助證據排除法則之方式將證據加以排除,可資參照(參見最高法院 99 年度台上字第 3168 號刑事判決及台灣高等法院 104 年度上易字第 1086 號刑事判決)。

通訊保障及監察法 

我國於八十八年實施通訊保障及監察法,該法第三條規定:「Ⅰ本法所稱通訊如下:

  1. 利用電信設備發送、儲存、傳輸或接收符號、文字、影像、聲音或其他信息之有線及無線電信。
  2. 郵件及書信。
  3. 言論及談話。Ⅱ前項所稱之通訊,以有事實足認受監察人對其通訊內容有隱私或秘密之合理期待者為限。」

第二十四條第一項規定:「違法監察他人通訊者,處五年以下有期徒刑。」電子郵件的傳送,算不算是該法所稱的「通訊」,監視電子郵件行為,算不算是「監察」他人通訊,從文字上來觀察,都未被排除,因此,監看員工之電子郵件,也有可能構成違反本法之行為。 

通訊保障及監察法,其立法目的是在處理人民通信自由與國家公權力行使的問題(例如:調查局監聽),及民間營利性的監聽行為(例如:民間徵信社任意竊聽),能否適用在私人與私人間有契約關係存在的情形,仍有疑義。即便可以適用,依同法第二十九條第三款規定,監察他人通訊而「監察者為通訊之一方或已得通訊之一方事先同意,而非出於不法目的者。」時,即不予處罰。公司依本條規定,可透過事先取得員工之同意,而避免此法之法律責任。

綜上所述,雇主如欲對員工進行職場監視,除了精進完備資安系統之外,亦應事先告知員工,例如頒布企業資訊使用及監視政策規定,使員工無法主張具有隱私的合理期待。職場監視最好還是能進而取得員工同意,可附於聘雇契約要求員工一併簽署同意書,此係避免遭到侵害個資的控訴。

About The Author

Leave a reply