上篇講到了許多個資法的條文,但單憑條文其實還是很難理解到底怎樣才是「適當之安全措施」,最快的方式就是直接看看法院怎麼判,接下來讓我們來看看法院是如何認事用法的。
臺灣臺中地方法院112年度簡上字第120號民事判決
案例事實:
消費者註冊並使用王品公司的APP進行消費,結果個人資料遭到外洩而遭他人利用詐騙。
說明:
法院認為王品公司在消費者遭到詐騙之前就在臉書粉絲頁面及官網公告防範詐騙相關資訊,也在LINE官方帳號發送防範詐騙通知,表示不會要求消費者刷退或操作ATM。在消費者被詐騙後,隔日也有發送簡訊提醒慎防詐騙。且王品公司將各消費交易電子紀錄,都採用加密、隱碼方式保護。更委請遠傳協助建置及提供雲端運算服務,購置企業使用之專業級軟硬體防護設備,將會員資料置於遠傳高安全性雲端機房予以保護與監控,而遠傳之服務是經過國際安全性認證的國際級專業認證機房,有取得許多資安專業認證。
結論:
王品公司已經有實施適當之安全措施,並無違反個資法第27條以及個資法第12條。
臺北簡易庭 107 年度北小字第 266 號民事判決
案例事實:
忠欣公司被考生控訴個人資料遭到外洩,被利用於詐騙。
說明:
法院認為,雖然忠欣公司設有防火牆、電子加密系統、封包加密處理及員工個人電腦安裝防毒軟體等安全保護措施,也有舉辦相關的資安訓練等,但因為公司營運規模較大,蒐集處理的個資很多,而且沒有另立相關的資安計畫,如此並未達到適當的程度。
結論:
忠欣公司並未實施適當之安全措施,所以違反個資法第27條。
從這兩個判決我們可以大致整理出以下結論
有沒有做到適當安全措施,要看業者具體的經營規模、管理的個資數量而定,並沒有一個硬性指標。
除了針對個資保護實施設備硬體軟體相關的防護措施之外,是否對員工進行資安訓練、擬定資安計畫等,也是很重要的指標。
規模較小的業者再處理蒐集到的個人資料時,可以先從較簡單且低成本的部分開始,例如灌輸員工資安意識,設定個資的特定使用流程等等,如此一來,除了客觀上可以降低個資外洩的可能性,也能更大程度地達到法規的要求,大大降低了被控訴以及遭到裁罰的風險。
舉證責任倒置的問題
依照民事訴訟法的規定,主張個資被外洩的消費者應該要舉證證明個資確實是因為業者的疏失而遭外洩,才能要求賠償,但近年來有法院認為這種情形還要求消費者舉證相當困難,應由業者舉反證證明明自己已經盡到相關義務,可說是將舉證的負擔移轉到了業者身上。
臺北簡易庭 106 年度北小字第 2161 號民事判決
被告既為以此交易營利之企業經營者,原告交付個資後即由其支配掌握,其對於個資被竊取或外洩風險之控制及分擔能力俱優於原告;抑有進者,航空業者對旅客個資之維護義務,除建立在個人資料隱私權之保護外,亦有防免旅客個資外洩致影響飛航安全等重大風險實現,是本院斟酌本件訴訟性質、兩造之舉證能力及被告違反義務之情節及風險分配之合理性,而比照我國實務就公害訴訟降低被害人因果關係舉證責任之見解,認被告行為所生之危險已有相當合理確定性,即推定有一般因果關係之存在,被告倘認無一般或個別因果關係存在,自應提出確切之反證證明。
這個法院判決相當值得注意,原本應該要由被害人說明舉證的事項,被法院要求由業者舉反證說明,可見不僅是立法者以及行政機關,就連法院也有明顯要求業者提高個資保護義務的趨勢,大家對於個資的防護真的務必要謹慎。
相關罰則
違反個資法可能涉及的責任,可說是相當全面,民事、刑事、行政責任均有。
民事責任
個資法第29條第1項:「非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。」
個資法第28條第3項:「如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。」
刑事責任
個資法第41條:「意圖為自己或第三人不法之利益或損害他人之利益,而違反第六條第一項、第十五條、第十六條、第十九條、第二十條第一項規定,或中央目的事業主管機關依第二十一條限制國際傳輸之命令或處分,足生損害於他人者,處五年以下有期徒刑,得併科新臺幣一百萬元以下罰金。」
行政責任
個資法第47條:「非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣五萬元以上五十萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之:一、違反第六條第一項規定。二、違反第十九條規定。三、違反第二十條第一項規定。四、違反中央目的事業主管機關依第二十一條規定限制國際傳輸之命令或處分。」
個資法第48條第1、2項:「非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者,按次處新臺幣二萬元以上二十萬元以下罰鍰:一、違反第八條或第九條規定。二、違反第十條、第十一條、第十二條或第十三條規定。三、違反第二十條第二項或第三項規定。非公務機關違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣二萬元以上二百萬元以下罰鍰,並令其限期改正,屆期未改正者,按次處新臺幣十五萬元以上一千五百萬元以下罰鍰。」
上面這些落落長的條文大家應該是看得很吃力,這邊把懶人包整理如下:
如果造成個資外洩的話,
每一位被害人可以請求5百元至2萬元的賠償,如果被害人能證明受損更高的話,那賠償數額可能也會更高。
除此之外,政府還可以裁罰2萬元至200萬元。
如果是故意違反個資法的話,除了民事與行政責任,還可能面臨5年以下有期徒刑併科100萬元以下罰金的刑責。
個資法近年來受到高度重視,尤其是近年來詐騙集團猖獗,讓個資維護成為了一個進步飛速的「顯學」,大家若能趁早建立相關制度防止資安意外發生,定能避免日後一些麻煩的糾紛。
