新修正個人資料保護法通過後,大幅提高個人資料持有者的民、刑事責任,因此,有業者導入國外個資或資安認證機制,經濟部商業司亦委託資策會針對電子商務業者擬定及推動臺灣個人資料保護與管理制度(TPIPAS, http://www.tpipas.org.tw),以協助企業進行法規遵循,提昇國內個資保護水準。事實上,為避免誤蹈個資法各項規範致生各項責任的風險,相信國內許多企業也願意投入一定的成本接受相關業者申請前述個資或資安認證的輔導,然而,企業最大的問題應該在於是否取得這類國際標準的資安或是個人資料保護認證,甚至是政府自己推出的個資認證標章,就可以確保企業在個資事件發生時,免於個資賠償責任呢?
要了解這個問題,我們可以先嘗試由個資訴訟案件原告的角色出發,如果今天我們是一個個人資料被侵害的當事人,我們要具備什麼樣的條件,才可以成功向企業求償呢?個資被侵害的訴訟,屬於侵權行為損害賠償案件的一種。一般的侵權行為損害賠償案件中,原告至少必須要證明被告有侵權行為、原告有損害、被告的侵權行為對損害的發生有因果關係,且被告有故意過失。然而,在違反個資法訴訟案件中,考量到個資侵害的特殊性,原則上,原告只需要證明企業「違反本法規定」、「致」、「個人資料遭不法蒐集、處理、利用或其他侵害當事人權利」,亦即,企業有違反個資法、自己的個人資料遭到不法蒐集、處理或利用、企業違反個資法與個資料遭違法蒐集、處理或利用有有因果關係即可,與一般侵權行為損害賠償訴訟相較,損害的部分個資的案件有法定賠償規定,且不需要證明被告一方違反個資法到底有沒有故意或過失。
原告所以不需要就故意或過失這個要件舉證,是由於個人資料保護法第29條第1項規定,「非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限」,也就是說,企業要免於個資賠償責任,除爭執自己並無違反個資法規定外,在確實有違反個資法的情形下,唯一的方法在於「能證明其無故意或過失」,這也就是各種資安或個資認證標章面臨到的大問題。
什麼是「能證明其無故意或過失」呢?這是一種「舉證責任轉換」的機制,乃是侵權行為法歸責類型的一種。所謂「舉證責任」,是指在訴訟中,如果法院就當事人間所爭執的事實,於斟酌兩造所提出來的攻防內容與證據調查結果後,仍無法判斷事實真偽時,要將這個事實真偽不明的不利益歸於哪一方的當事人,此時這個承擔訴訟不利益的當事人,我們就說他就此一事實負有舉證責任。將這個概念套入個資法第29條的規範中,我們可以知道,其實個資侵權案件中,還是存在侵權行為人須有主觀的故意或過失,只是當發生客觀上有違反個資法的事實時,個資法將「故意或過失」這個主觀要件證明的舉證責任,轉換到企業(被告方)身上。所以,如果在訴訟中企業無法以足夠的證據來使法官相信其對於違反個資法的行為,不具有「故意或過失」這個主觀要件,那法官就會判決企業敗訴而需要負擔賠償責任。
以多數企業擔心的駭客入侵的情形為例,如果有一家網路公司的伺服器遭駭客入侵,會員過去幾個月消費往來的資料遭竊,會員要進行個資的訴訟時,可預見通常會主張這家網路公司並未依據個資法第27條第1項,「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」就其會員消費資料採行適當之安全措施,致該等個人資料遭洩漏,而使他人不法蒐集。這時候網路公司大概只有下列幾個途徑可以免於賠償責任,一是主張其已有採行適當之安全措施,二是證明違反個資法第27條第1項之行為,與本案個人資料遭違法蒐集或利用無關,三是證明自己就違反個資法第27條第1項(即未採行適當之安全措施致遭駭客入侵乙事),並無故意或過失。
由前述案例中,我們可以發現資安或個資管理的認證,大概可以發揮下述作用:
- 協助證明企業已採行一定之安全措施:企業是否採行「適當」之安全措施,會因為企業規模大小、所處行業、所蒐集、利用個人資料之數量及影響程度等,而有不同程度的要求。雖然資安或個資管理的認證,無法直接證明已採取「適當」之安全措施,但至少可以證明有一定的安全措施,若該等安全措施被認為符合一般產業實務的標準,即有可能成功說服法院。
- 協助證明原告個資遭違法蒐集或利用,並非因企業違反個資法所致者:原告仍然負有證明其損害與企業違反個資法間的因果關係。若是企業為通過特定資安或個資管理認證,而導入較佳的資安系統,即有機會在個案中證明原告所主張受到違法利用的個資,並沒有自企業的資料庫中被存取的紀錄,例如:雖然有駭客入侵,但駭客所存取、傳輸的資料庫,並不包含原告所主張的個人資料,原告個人資料遭違法蒐集、利用,其流失的源頭並非來自被告。這也是為何這類資安或個資管理的認證輔導,都會建議企業留存資料傳輸記錄、交易記錄、通聯記錄及其他軌跡資訊等數位鑑識的重要資訊,這些資訊都有助於企業於法庭中證明原告的損害與自己不具有因果關係。
- 協助證明被告就其違反個資法之行為並無主觀的故意或過失:企業作為法人,其是否有主觀故意或過失,往往難以判定,故當違反保護他人的法律時,往往即推定有故意或過失。倘企業可以透過各種管理政策、軟硬體措施等,證明其即使已充分盡善良管理人之注意義務,仍不免發生該等違反個資法之行為時,即有機會被法院肯定其無主觀之故意或過失,而得免責。資安或個資的認證,其實也就是在協助企業把「能做的」、「該做的」事情,儘可能事先做到,以備個資案件發生時,用以證明自己無故意或過失。
然而,最終企業在個資案件發生時是否要負賠償責任,因為是個案由承審法院決定,所以,就算是通過各種資安或個資管理的認證,也不能保證可以免於個資賠償責任,只是協助企業可以提出一些具體的證明,故千萬不要認為只要企業有通過特定的資安或個資管理的認證,就可以完全免於侵害個資的責任。此外,前述企業關心的駭客入侵的案例,是因外來第三者的侵權行為產生違反個資法的情形,資安或個資管理的認證可能可以發揮較大的效果,但若是因公司主動進行個資蒐集或利用時,即產生違法蒐集或利用的案件,或是因公司員工不當蒐集或利用個資的案件,公司要據以主張免責,就更加困難。
但無論如何,企業有心接受輔導通過各種資安或個資管理的認證,在這個過程度即會促使企業對於個資的蒐集、處理及利用,以及相關的安全管理事宜提高警覺,若可以配合相關的資安或個資管理的認證,努力在日常營運中落實個資法的遵循,自然即可大大降低企業面臨個資法賠償訴訟的風險,並提昇其社會信任。若真正面臨個資法訴訟時,亦有機會擁有較多的證據,站在較為有利的地位進行法庭的攻防。
同系列文章
黃曉薇律師,個人資料保護法Q&A-書面同意是否一定要以紙本為之?
賴文智律師,個人資料保護法Q&A-敏感性個人資料禁止蒐集的效力?
賴文智律師,個人資料保護法Q&A-網友「人肉搜索」的合法性?
賴文智律師、蕭家捷律師,個人資料保護法Q&A-僱主臉書(Facebook)洩個資,當然不行!
賴文智律師、蕭家捷律師,個人資料保護法Q&A-可否要求網路業者刪除網友張貼之個人資料?
賴文智律師、蕭家捷律師,從南韓控蘋果集體訴訟案看我國個資法團體訴訟制度
賴文智律師,個人資料保護法Q&A-從NFC手機談個人資料的管制
賴文智律師,個人資料保護法Q&A-企業上雲端,個資保護責任誰負?
賴文智律師,個人資料保護法Q&A-依法股東名冊絕不能外流?
賴文智律師,個人資料保護法Q&A-拒絕電話行銷後,仍然不斷收到相同業者的電話?
賴文智律師,個人資料保護法Q&A-與當事人約定永久保留、使用其個人資料,是否有違反法律?
蕭家捷律師,個人資料保護法Q&A-蒐集個資時告知當事人的「目的」,是不是多多益善?
蕭家捷律師,個人資料保護法Q&A-聯名信用卡終止發行與個資利用問題
蕭家捷律師,個人資料保護法Q&A-只要消費者曾進行購物,就可以後續進行其他商品或服務的行銷?
蕭家捷律師、賴文智律師,個人資料保護法Q&A-取得政府機關或第三公證單位的認證,是否就能免於個資賠償責任?
蕭家捷律師,個人資料保護法Q&A-網站或App以線上勾選方式取得個資蒐集、利用之同意是否合法?
蕭家捷律師,個人資料保護法Q&A-機關或企業可否利用公司人事資料提供內部通訊錄給全體同仁?
蕭家捷律師,個人資料保護法Q&A-員工的個人資料可以保留多久呢?
賴文智律師,個人資料保護法Q&A-是否應該要求員工一律簽署個人資料同意書?
蕭家捷律師,個人資料保護法Q&A-學校可以公告成績單、獎懲或榜單等事項嗎?
賴文智律師,個人資料保護法Q&A-使用者因個資外洩遭詐騙,可以向業者把遭詐騙的損失全部要回來嗎?
蕭家捷律師,個人資料保護法Q&A-父母向學校索取學生成績或其他校內表現記錄,學校該怎麼辦呢?