法律諮詢及常年法律顧問、刑事法律、民事法律、企業法律、行政救濟、智財法律、各類書狀之代撰、審核或見證。法律諮詢及常年法律顧問、刑事法律、民事法律、企業法律、行政救濟、智財法律、各類書狀之代撰、審核或見證。法律諮詢及常年法律顧問、刑事法律、民事法律、企業法律、行政救濟、智財法律、各類書狀之代撰、審核或見證。法律諮詢及常年法律顧問、刑事法律、民事法律、企業法律、行政救濟、智財法律、各類書狀之代撰、審核或見證。法律諮詢及常年法律顧問、刑事法律、民事法律、企業法律、行政救濟、智財法律、各類書狀之代撰、審核或見證。法律諮詢及常年法律顧問、刑事法律、民事法律、企業法律、行政救濟、智財法律、各類書狀之代撰、審核或見證。

法律資訊

從台灣Nokia個資外洩案看個資外洩的相關法律責任

黃于珊律師
《原文刊載於網路資訊雜誌,2013年4月》

 

台灣Nokia公司委託Agenda公司經營的5個行銷網站,在今年初遭到土耳其駭客「Maxney from TurkishAjan Group」入侵,該駭客並將其中的17萬筆個人資料放在其官方論壇及其他網站供人下載。

而後,Hackread.com網站在25日揭露了這項訊息,指出台灣Nokia公司遭外洩的資料包含產品銷售細節、Nokia LumiaNokia 610Nokia 510等手機的IMEI號碼及發票號碼、IP位址,以及使用者名稱、性別、電子郵件信箱、電話號碼、臉書帳號資料等個人資料,同時並公布駭客網站的畫面,以及資料的下載位置。

台灣Nokia公司直到225日,才在其官方網站發表聲明表示,該公司委託網路行銷公司Agenda管理的5個台灣行銷活動網站遭駭客集團非法入侵,駭客已公布約17萬筆消費者的個人資料,約150萬筆曾參與Nokia台灣之行銷活動的消費者個人資料也可能有外洩風險。其中,被竊取的資料可能涵蓋消費者的姓名、電子郵件信箱、電話號碼等,又150萬筆可能遭擷取的紀錄中,有少於7千筆資料可能含有密碼,為求慎重,該公司已透過電子郵件或簡訊聯絡這些客戶。

對於此一重大的個人資料外洩事件,本文即依201210月施行的新版個人資料保護法(下稱個資法)及其相關規定,進行初步的分析。

個資外洩之通報

個資法第12條規定,機關、團體或個人違反個資法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以「適當方式通知」當事人。其中,所謂「適當方式通知」,依個資法施行細則第22條規定,係指「即時」以言詞、書面、電話、簡訊、電子郵件、傳真、電子文件或其他足以使當事人知悉或可得知悉之方式為之。但需費過鉅者,得斟酌技術之可行性及當事人隱私之保護,以網際網路、新聞媒體或其他適當公開方式為之。且通知當事人之內容應包括個人資料被侵害之事實及已採取之因應措施。
首先,關於通知的時間,個資法施行細則第22條規定要「即時」通知,而個資法第12條的立法理由中也表示要「迅速通知當事人,讓其知曉」,然而本事件中,台灣Nokia公司卻是在客戶資料被外洩的20天後,才在官方網站上發表聲明稿,說明此一個資外洩事件,故應無法符合前述個資法施行細則第22條所規定之「即時」通知的要件。
其次,關於通知的方式,個資法施行細則第22條規定「但需費過鉅者,得斟酌技術之可行性及當事人隱私之保護,以網際網路、新聞媒體或其他適當公開方式為之」。而台灣Nokia公司此次的個資外洩事件中,因個資遭外洩而須進行通知的客戶人數可能高150萬人,因此該公司若據此主張:對個別當事人進行通知需費過鉅,故以網際網路及新聞媒體的方式來進行通知,而僅對其中約7千筆密碼遭外洩之客戶以電子郵件或簡訊來進行聯絡,似無不可。然而,因台灣Nokia公司確已掌握當事人的電子郵件等資料,因此也可能被認為「以電子郵件寄送群組信件通知,不會有成本耗費過鉅的問題」,仍應以電子郵件等方式,主動通知所有的當事人,才能符合法律要求的通知義務。
再來,關於通知的內容,個資法施行細則第22條規定「應包括個人資料被侵害之事實及已採取之因應措施」,對此,台灣Nokia網站的聲明稿已說明「個人資料遭駭客入侵且外洩之事實」,並表示「相關網站皆已關閉,伺服器遭駭的漏洞也已修復。伺服器上的資料庫皆已移除,以便進行調查,並將以至少4個禮拜的時間持續追蹤調查,如果發現遭擷取的資料可能對客戶造成更大的危害,將透過電子郵件或簡訊通知相關客戶」,應已符合前述個資法施行細則第22條關於通知內容之規定。

個資外洩的相關責任

首先,關於責任的歸屬,個資法第4條規定,受委託蒐集、處理或利用個人資料之團體或個人,視同委託機關,所以本案雖然是因為Agenda公司負責管理的活動網站遭駭客入侵,造成台灣Nokia公司的客戶資料外洩,但是因為Agenda公司是受台灣Nokia公司的委託來蒐集、處理或利用這些個人資料,所以台灣Nokia公司仍須直接面對客戶個資外洩的法律責任。惟台灣Nokia公司可另外向Agenda公司求償。

又,個資法施行細則第8條規定,委託他人蒐集、處理或利用個人資料時,委託機關應對受託者為適當之監督,這些監督至少應包含:預定蒐集、處理或利用個人資料之範圍、類別、特定目的及其期間;受託者為防止個人資料被竊取、竄改、毀損、滅失或洩漏,所採取之技術上及組織上的措施;受託者或其受僱人違反個資法、其他個人資料保護法律或其法規命令時,應向委託機關通知之事項及採行之補救措施;委託關係終止或解除時,個人資料載體之返還,及受託者履行委託契約以儲存方式而持有之個人資料之刪除等。因此,若台灣Nokia公司能證明其已依上述規定對Agenda公司進行適當的監督,並定期確認Agenda公司的執行狀況,且將確認結果記錄下來,則在判斷台灣Nokia公司及Agenda公司的過失及比例時,即可能讓法官相信台灣Nokia公司已盡到其應盡的監督義務,而降低該公司的過失比例。

此外,關於損害賠償的金額,個資法第28條規定「如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣(下同)500元以上2萬元以下計算。對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以2億元為限」。本次外洩事件中,若以150萬筆個資(每筆資料的受害民眾沒有重複)、每筆500元來估算,則受害人的求償金額將超過單一事件最高總額2億元的上限,因此台灣Nokia公司將可能面臨2億元的損害賠償。

台灣Nokia公司的個人資料外洩案,是201210月新版個資法施行以來,最大宗的個資外洩事件,又新版個資法在個資外洩事件中,係增加資料擁有者的通知義務,並減少被害人請求損害賠償的證明責任,因此消保團體、行政機關及司法機關對於本事件的作法及態度,都可能影響企業日後對於個人資料的管理及保護策略,而值得密切觀察及注意其後續之發展。