法律諮詢及常年法律顧問、刑事法律、民事法律、企業法律、行政救濟、智財法律、各類書狀之代撰、審核或見證。法律諮詢及常年法律顧問、刑事法律、民事法律、企業法律、行政救濟、智財法律、各類書狀之代撰、審核或見證。法律諮詢及常年法律顧問、刑事法律、民事法律、企業法律、行政救濟、智財法律、各類書狀之代撰、審核或見證。法律諮詢及常年法律顧問、刑事法律、民事法律、企業法律、行政救濟、智財法律、各類書狀之代撰、審核或見證。法律諮詢及常年法律顧問、刑事法律、民事法律、企業法律、行政救濟、智財法律、各類書狀之代撰、審核或見證。法律諮詢及常年法律顧問、刑事法律、民事法律、企業法律、行政救濟、智財法律、各類書狀之代撰、審核或見證。

法律資訊

違反個人資料保護法的損害賠償責任

黃于珊律師

 

2011年南韓線上業者SK Communications維運的Nate.com入口網站、CyWorld部落格網站遭駭客入侵,造成約3,500萬名會員個人資料外洩,其中一名會員,起訴向SK Communications請求300萬韓圜的「精神損失費」,法官認定SK Communications未能充分阻擋駭客的攻擊,存在過失,因此判定SK Communications須賠償該名會員100萬韓圜(約2.6萬新台幣)又若個人資料遭竊的3,500萬名會員皆以此標準判賠,則SK Communications可能須付出35萬億韓圜(約9千億新台幣)的賠償金。

這樣的賠償金額對任何台灣企業而言都是難以承受的負擔,因此下文將探討這樣的個人資料外洩事件若發生在台灣,企業可能必須負擔甚麼樣的損害賠償責任及其應採取何種措施才能避免高額的損害賠償責任

舉證責任倒置

今年10月新版「個人資料保護法」施行前,個人提供給企業的個人資料遭外洩時被害人需要證明企業有故意或過失才能請求損害賠償,但是企業是否有故意或過失,往往涉及其人員管控及資訊安全政策等內部事項,身為企業外部人員的受害人,不太可能來對於這些內部事項進行舉證,故其常因舉證不足而無法獲得合理的救濟。因此,今年10月1日施行的新版「個人資料保護法」29條即規定企業若違反本法的規定,導致個人資料遭受不法蒐集、處理、利用或其他侵害當事人權利者,除該企業能證明其無故意或過失者外否則即須負擔損害賠償責任這就是「舉證責任倒置」的規定,也就是將故意或過失的證明責任由受害人身上移轉到企業中,而唯有當企業能證明其無故意或過失時,才能免除其損害賠償的責任。

因個人資料保護法第27條規定企業需採取適當的安全措施,以防止個人資料被竊取、竄改、毀損、滅失或洩漏;且個人資料保護法施行細則第12條則規定,所謂「適當安全維護措施」是指企業為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上的措施而這些措施得包括配置管理之人員及相當資源;界定個人資料之範圍;個人資料之風險評估及管理機制;事故之預防、通報及應變機制;個人資料蒐集、處理及利用之內部管理程序;資料安全管理及人員管理;認知宣導及教育訓練;設備安全管理;資料安全稽核機制;使用紀錄、軌跡資料及證據保存;個人資料安全維護之整體持續改善等事項,並以與所欲達成的個人資料保護目的間,具有適當比例為原則。所以,企業合法蒐集的個人資料若遭駭客入侵而外洩,而需於訴訟中證明其對這些資料的安全管理並無故意或過失時,可提出證據說明其已採取前述個人資料保護法施行細則所列舉的措施,來證明其確已採取適當的安全措施防止這些資料被竊取、竄改、毀損、滅失或洩漏,而無故意或過失,以免除其損害賠償的責任。

損害賠償金額

此外關於損害賠償金額的部分在新版「個人資料保護法」施行前,個人資料遭外洩的被害人必須能證明其因此所受到的損害才能請求損害賠償,但是因為被害人往往很難掌握其個人資料被外洩後的實際使用情形及使用範圍,要求他舉證證明其所遭受的實際損害金額確有困難,因此,今年10月1日施行的新版「個人資料保護法」28、第29條即規定被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣(下同)500元以上20,000元以下計算

又因為違法侵害個人資料的事件,可能一個行為有眾多被害人或造成損害過大,為避免賠償額過鉅而使企業無法負擔並為風險預估與控管,所以新版「個人資料保護法」第28條、第29條並規定,對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以2億元為限。而同一原因事實造成之損害總額逾2億元時,被害人所受賠償金額,不受前述每人每一事件最低賠償金額500元之限制。

因此,當企業所合法蒐集的個人資料遭駭客入侵而外洩,因而面臨被害人損害賠償的請求時,若該企業無法舉證證明其已對這些資料採取適當的安全措施而無故意或過失,即可能面臨每人每一事件500~20,000元,最高2億元的損害賠償。

團體訴訟

又為了鼓勵民間公益團體能參與個人資料的保護,並方便被害人行使其損害賠償請求權,因此今年10月1日施行的新版「個人資料保護法」還增訂了團體訴訟的相關規定。其中,第34條即規定:對於同一原因事實造成多數當事人權利受侵害之事件,財團法人或公益社團法人經受有損害之當事人20人以上以書面授與訴訟實施權者,得以自己之名義,提起損害賠償訴訟。而第32條還規定:得提起訴訟之財團法人或公益社團法人,應符合財團法人之登記財產總額達1000萬元或社團法人之社員人數達100人;保護個人資料事項於其章程所定目的範圍內;許可設立3年以上等要件。

因此,那些個人資料遭外洩的被害人,可以將其訴訟實施權授權給符合上述要件的財團法人或公益社團法人,而由這些團體以自己名義來提起損害賠償訴訟,即可方便被害人行使其損害賠償請求權。

由上述說明可以知道,如果像SK Communications這樣的個人資料外洩事件發生在台灣那麼除非造成個人資料外洩的企業能夠舉證證明其已採取適當的安全措施來防止這些資料被竊取、竄改、毀損、滅失或洩漏,而無故意或過失否則他們至少須面臨每人每一事件500元,最高2億元的損害賠償額,而且還可能需要面對財團法人或公益社團法人代被害人所提起的團體訴訟。因此,企業除須採取適當的安全措施來確保其所蒐集之個人資料的安全外還須保存相關的證據來證明其確已採取相關的安全措施,才能在現行個人資料保護法對於損害賠償請求權採取「舉證責任倒置」的情形下全身而退,而避免高額的損害賠償。