對於「濫發商業電子郵件管理條例」草案的評析 (5)

按：NCC已經研擬新版的Anti-Spam Bill，版主近期已取得新的條文，延續過去幾篇討論的內容，簡要分析及檢討該草案。

網路服務提供者之規範

為了有效防範濫發商業電子郵件的行為，並維護網路環境的安全及效率，NCC所擬草案第6條特別賦予主管機關權限，得命電子郵件服務提供者採取必要措施，防止濫發商業電子郵件（第1項）。此一措施解釋上包括服務提供者得拒絕對濫發者提供電子郵件服務，並發展相關防制濫發之技術與過濾機制。

對於相當危害網際網路資源的字典式攻擊行為，草案於同條第2項特賦予網路服務提供者拒絕傳遞或接收該電子郵件的權利，並提供適當申訴管道及處理爭議案件。不過，為避免網路服務提供者濫用第2項斷訊權利，並便利主管機關日後稽查，草案於同條第3項要求網際網路接取服務提供者應將該紀錄報主管機關NCC備查。草案第6條第2、3項之規定如下：「電子郵件服務提供者或網際網路接取服務提供者，於發信人實施字典式濫發或其他經主管機關公告之發送行為，認為對服務之提供有發生障礙之虞且有正當理由者，得拒絕傳遞或接收該發信人之電子郵件，並應提供適當申訴管道，處理爭議案件（第2項）。兼營電子郵件服務之網際網路接取服務提供者，於拒絕傳遞或接收特定發信人之電子郵件後十四日內，應將通信紀錄報主管機關備查，並保存一定期間；應報備查之通信紀錄範圍、格式及其保存期間，由主管機關另定之（第3項）。」（Fn.1）

對於草案上述的規定，國內ISP紛紛表達反對的立場，以Yahoo奇摩為例，該公司代表即認為「業者必須保留垃圾郵件資料接受備查，但Yahoo!信箱平均每天收到的垃圾郵件數量高達約一億封，這要付出的成本將讓她們難以負荷。」這涉及了ISP能否阻攔收信人的電子郵件、阻攔的標準為何，以及主管機關如何稽查ISP執行的方式等問題。

首先要討論的是，ISP能否攔截收信人的電子郵件，其攔截的標準為何。本文認為，有鑑於字典式攻擊行為不僅影響網路使用環境的效率，更使得ISP必須耗費相當的人力、物力及財力：購買相關的軟硬體供阻擋垃圾郵件之用，也需因應頻寬之不足而擴充設備，更將面臨用戶的抱怨及指責，而必須增設客服人員及技術人員加以處理。而電子郵件是屬個人通訊的一種方式，在不知其內容為何的情形下，應為憲法秘密通訊自由所保障，且確保客戶接收寄送之電子郵件，應為ISP提供客戶電子郵件服務的契約義務。是以賦予ISP攔截電子郵件的權限時，應僅限於極大可能為垃圾郵件之發送行為，草案第6條第2項限定是「字典式濫發」行為，解釋上應可肯定，惟該行為之定義應予以修正，已如前述（參見評析4.）。

對於字典式攻擊行為的攔截，係透過相關軟硬體的設定進行，原則上應該是可以由主管機關為一致性規範，然而卻可能因此失去彈性，使Spammer有鑽漏洞的可能。在不為明確一致的規範下，使ISP有認定的空間，則可能讓其濫用該項規定，是以草案在第3項復明訂通信紀錄的保存及備查。不過，如何規範ISP此一通信紀錄的範圍、格式及其保存期限，避免如Yahoo奇摩代表所言將因此有沈重的負擔，即必須加以審酌。目前依據第二類電信事業管理規則第27條規定，基於通信監察之要求，ISP對於電子郵件通信紀錄必須保存一個月，對於字典式攻擊行為攔截的紀錄，解釋上不應超過此一期限。

除了斷訊規定外，由於網路服務提供者相較於收信人而言，較能掌握發信人之身分資訊，為便於受損害的收信人得以提起民事訴訟，草案於第9條第4項規定在符合一定要件時，服務提供者應揭示發信人相關之資訊：「公益社團法人或財團法人經受害當事人授與訴訟實施權者，為確認被告身分，得向電子郵件服務提供者或網際網路接取服務提供者，請求提供發信人下列資料，被請求之服務提供者無正當理由不得拒絕：一、發信人姓名或名稱。二、發信人住所或聯絡方式。三、發信人電子郵件地址。四、發送郵件IP位址。五、發送郵件時間。六、發送行為態樣或技術類型。七、其他經主管機關指定足資辨識發信人資訊。」

此一揭示發信人個人資料之規定，限於依據草案第9條規定由公益社團法人或財團法人提起團體訴訟者，若是由收信人個人提起，則無適用。此一規定似乎寓有鼓勵以團體訴訟制度，針對違法商業電子郵件的發送行為進行民事救濟的目的，但若未有符合同條第1項規定，有二十人以上授與訴訟實施權提起損害賠償訴訟者，即無用武之地。不過，依據民事訴訟法第370條規定，原告得以在被告不明時，按保全證據規定請求法院裁定，提示被告資訊。是以受害的收信人及進行團體訴訟的公益法人，仍有取得發信人資訊及保全證據之機會，但於實務上法院在保全證據的認定上通常較為保守，因此類似本項請求提供發信人個人資料的規定，應有存在之價值。

在草案第9條第4項規定下，ISP得以審酌在符合該項要件下，是否提供進行團體訴訟的公益法人有關發信人的資料。有鑑於取得發信人資料的目的，在於確保訴訟的進行，因此僅要足以特定訴訟當事人即可。該項第1-6款資訊之提供，即應足以達到此一目的，第7款之規定應無存在之必要，似可考慮刪除，以保障發信人的資訊自決權。


Fn.1 立法理由如下：「三、為規制對網際網路服務資源危害甚鉅之字典式濫發行為，同時避免因該等濫發行為導致我國IP網段遭列黑名單，受到國際抵制，保障民眾網路使用權利，爰仿日本「特定電子郵件適正發送法」第十一條及韓國「推廣資訊、通訊、網路使用及資訊保護法」第五十條之四第一項規定，於第二項授權電子郵件服務提供者及網際網路接取服務提供者，藉由技術層面，在特定條件下得拒絕傳遞或接收濫發人之郵件，並賦予主管機關因應技術發展公告調整之權限，以強化服務提供者之實務防制能量，保障大多數民眾網路通信權益。」「四、惟為防杜電子郵件服務提供者及網際網路接取服務提供者濫用第二項所定斷訊權利，並便利主管機關日後稽查，供產生爭議時參考之用，爰於第三項明定該服務提供者於實施斷訊措施後十四日內，應將相關紀錄報主管機關備查之義務，並授權主管機關制定其範圍、格式及保存期間。」