一卡通將用戶個資攤在陽光下的思考
個資法與電支法是否真的衝突?法律設計時是否忽略了支付情境的差異?
更新:
9/19 一卡通公司更新契約,多了一句「使用者同意本公司得在必要範圍內,將使用者之部分個人資料(如:姓名)揭露予與使用者交易的一方。」
9/20 晚上,Line Pay 已經將轉帳的雙方姓名中間字打上馬賽克,作為折衷手段
最近 Line pay X 一卡通將使用者個資暴露給任意匯款人的事情鬧出一個小風波(因為好像沒有很多人關注),但我個人對這部份蠻有興趣的,就研究了一下。以下內容雖然有跟法律背景朋友聊過,但本人不具法律專業,不保證正確性,當做聊聊就好。
個資法 vs. 電支法
一開始讓我有疑慮的是,這樣任意人能夠取得我的姓名,沒有違反個資保護法嗎?但一卡通官方按照的法律是這條:
電子支付機構業務管理規則第 7 條
使用者支付指示應記載下列事項:
一、付款方姓名或名稱及其電子支付帳戶帳號。
二、收款方姓名或名稱及其電子支付帳戶帳號。
ps. 姓名或名稱擇一,但名稱為法人慣例使用的專有名詞,自然人只有姓名,所以一卡通的確是按照這一條,將姓名顯示於「支付指示」之中。
接下來問題就是:這條規則不會跟個資保護法衝突嗎?因為個人資料保護「法」的位階,應該大於 電子支付機構業務管理「規則」,根據:
中央法規標準法
第二條:法律得定名為法、律、條例或通則。
第三條:各機關發布之命令,得依其性質,稱規程、規則、細則、辦法、綱要、標準或準則。
第十一條:法律不得牴觸憲法,命令不得牴觸憲法或法律
但事實上個資保護法第 20 條也開了一個模糊的例外叫做「法律明文規定」,因此這裡的法律當然可以是《電子支付機構業務管理規則》,看來是我太天真了:
個人資料保護法第 20 條
非公務機關對個人資料之利用,除第六條第一項所規定資料外,應於蒐集之特定目的必要範圍內為之。但有下列情形之一者,得為特定目的外之利用:
一、法律明文規定。
另外一卡通也表示「電支法是特別法,應優先於一般法」,因此認為其揭露資訊的方式乃遵守法律規範。
看到這裡,至少我這個門外漢還找不到任何一卡通有違反個資保護法的理由。
問題可能不在法律之間有無衝突,而是主管機關的態度
電子支付在台灣上在起步階段,因此法規尚未完備也是可以預期,所以這其實很大部分仰賴主管機關的態度,若金管會覺得應該要揭露,或覺得應該要保護個資,都可以再針對《電子支付機構業務管理規則》修正。
因此在這裡爭有沒有違反個資保護法,可能就不是重點(文末也會提到一卡通也下了另一個保險),接下來我會著重在討論制定電子支付法律的時候,是否有考慮到支付情境的差異。
銀行願意給你所有客戶姓名嗎?談支付情境的差異
試想我們去銀行,跟行員說:「我想要你們客戶所有姓名跟照片」,行員可能會一臉不可置信,甚至直接叫警衛請你出去,畢竟大剌剌公開使用者個資會觸法是很明顯的常識,提出這種需求就是來亂的。
但同樣行為在一卡通卻可能做得到,這很可能是電支法在設計的時候所忽略的一個漏洞:制定法條的人把收受雙方的資訊當作在寫匯款條,但卻忽略了電支的使用情境,也忽略了電支情境中潛在的資安風險,以下詳述。
電支的可能使用情境:以 Line pay 為例
在 Line pay 的例子當中,匯款人只要加入對方好友,就可以指定受款人,根本不需要知道對方真實姓名。
另外 Line 的設計是不需要對方同意,只要單方面加好友即可轉帳,因此只要你在群組中得罪了某個網友,或是放了美照,對你「有興趣」的陌生人就可以直接查到你的姓名。
電支情境中的資安風險
在上面的例子中,一對一的使用者可以查得到他的受款人姓名,但更嚴重的還不止於此,一卡通的 API 設計不良,明碼加上流水號的匯款程序,原本並不是問題(因為付款人不會使用這個 API 認證)。
問題在這個 API 會顯示受款人帳號的個資,因此只要寫個程式,就可以將整間公司的使用者個資(目前是姓名加照片)完整取得。
Fw: [新聞] 驚!Line Pay一卡通露本名業者:依循法規
透過程式寫一段產生所有可能的QR CODE語法,並且搭配手機運行腳本
自動掃描畫面、點擊轉帳按鈕、紀錄掃描成功的大頭貼、暱稱、真實姓名
是不是就可以找出所有LINE PAY一卡通透明卡的持卡人資訊了呢?
我認為揭露受款人資訊給付款人的原意是好的(不管是避免詐騙,或是單純確認身分),但電支法沒有考慮到的是,這個「支付介面」是可以經由「毫無關係的機器人」大量讀取,沒有限制。(9/18 為止,或許之後會有一些防堵策略)
街口支付的狀況
街口支付是台灣更早上線的 p2p 電子支付,一樣可以透過 app 轉帳給朋友,而它的介面目前則是顯示暱稱。
因此 Line pay X 一卡通事件發生之後,街口便趁機宣傳了一波「匿名轉帳好安全」
雖然不會顯示真實姓名好像較少個資疑慮,但電支法當中明文規定應記載姓名,或許是因為這樣,9/19 再看街口粉絲團的貼文已經變成「安全轉帳」了,後續金管會的態度也值得觀察。
一卡通更新定型化契約,試圖將揭露個資合法化
在 9/19 我收到了來自一卡通公司的簡訊,稱其更新了條款,前往 iPASS一卡通官方網站 看到官方將「一卡通電子支付機構業務定型化契約」修正的公告
其中多了一句「使用者同意本公司得在必要範圍內,將使用者之部分個人資料(如:姓名)揭露予與使用者交易的一方。」
在這個定型化契約之下,應該就滿足個人資料保護法第 20 條的例外「六、經當事人同意。」
無論未來走向為何,在目前一卡通的定型化契約當中,使用者是同意將個資揭露給「想要付款給你的人」,而這裡的個資不限姓名,使用者也無從確認到底對方是真的想要匯款給你,還是單純想要取得個資。
未來台灣電子支付對個資保護的走向
這次風波之後,主管機關(金管會)可能的作法有以下幾個:
- 放寬電子支付應該顯示真實姓名的規定
- 保留電子支付應該顯示真實姓名的規定,但是追加限制,避免出現像這次可以用機器人大量掃描資料的情形
- 嚴格要求應該顯示真實姓名,比如要求街口不得使用暱稱
個人認為最後終究還是會走向不需要向「全世界」公開姓名就可以使用電子支付;另外要做到 2 的技術難度會增加,也會降低業者加入的意願;而如果是 3 的話,那原本就很難推動的電子支付,恐怕會永遠做不起來(雖然我也不知道這是好還是壞),所以機率應該是 1 > 2 > 3。
或許很快就會有改變了,讓我們拭目以待。
如果對這篇文章的主題有興趣一起討論,或是對寫作有任何想法,都歡迎加入Telegram中文寫作交流群組一起討論喔!