個資外洩,該怎麼辦?

隨著網路的普及與電子商務活動的盛行,民眾將個人資料透過各種管道提供給企業時,都會希望企業能夠善盡保管個人資料的義務,作好適當安全維護措施,避免將寶貴的個人資料洩漏給無關的第三人,然而我們仍然時常聽聞聽到媒體報導某某企業發生個資外洩事件,究竟在企業個資外洩的時候,民眾如何透過民事訴訟程序來獲得應有的賠償呢?

個資外洩受害當事人可以主張的權利

1.個人資料保護法(下稱個資法)第29條第1項、第28條第2項

「非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。」(個資法第29條第1項)
「被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。」(個資法第28條第2項)

2.民法第184條第1項前段、第195條第1項

「因故意或過失,不法侵害他人之權利者,負損害賠償責任。」(民法第184條第1項前段)
「不法侵害他人之身體、健康、名譽、自由、信用、隱私、貞操,或不法侵害其他人格法益而情節重大者,被害人雖非財產上之損害,亦得請求賠償相當之金額。其名譽被侵害者,並得請求回復名譽之適當處分。」(民法第195條第1項)

3.其他

另外依據具體發生個案內容,實務上也有原告主張下列權利的情形:
「因可歸責於債務人之事由,致為不完全給付者,債權人得依關於給付遲延或給付不能之規定行使其權利。」(民法第227條第1項)
「債務人因債務不履行,致債權人之人格權受侵害者,準用第192條至第195條及第197條之規定,負損害賠償責任。」(民法第227條之1)
「企業經營者違反前二項規定,致生損害於消費者或第三人時,應負連帶賠償責任。但企業經營者能證明其無過失者,法院得減輕其賠償責任。」(消費者保護法第7條第3項)

請求民事損害賠償需要注意的地方

1.請求損害賠償類型(財產上損害與非財產上損害)

如果民眾因個資外洩導致受到財產上的損害或是非財產上損害(例如個資外洩往往可能伴隨人格權、隱私權的侵害,此時即可主張請求非財產上損害,也就是俗稱的精神慰撫金),此時即可分別向被告公司主張前述兩種損害賠償類型。

實務上常看到民眾不清楚可以請求的權利與損害賠償類型,往往僅主張其中之一,而未能另外請求其他損害賠償類型,導致無法成功求償的情形。因此如果評估自身有因個資外洩導致受有財產上損害與非財產上損害,即可向法院表明,以維護自身的權益。

2.請求金額

依個資法請求損害賠償時,原告如果無法證明實際損害時,依個資法第28條第3項,可以請求法院依個資被侵害情節,以每人每一事件新臺幣500元以上2萬元以下計算。因此在無法或難以證明因個資外洩的損害金額時,可以請求法院依照該條計算。

然而上開規定僅規範在個人資料保護法,因此如果原告依其他法條(民法第184條第1項前段)請求損害賠償時,則不受前述個資法「每人每一事件新臺幣500元以上2萬元以下計算」的限制,然而相對來說也必須負擔不一樣的舉證責任。

最後必須說明的是,前述限制適用於「每人每一事件」,因此如果發生多次的個資侵害事件,則是以「個資侵害次數 ╳ 請求金額=請求總金額」。在臺灣高等法院107年度上易字第188號民事判決中,法院即認為被告每查詢個資1次,便應賠償非財產上損害1萬元,最高判賠8萬元。

3.舉證責任

由於舉證之所在,敗訴之所在,原告如果想要成功求償,除了引用適當的法條之外,還必須特別注意下列關於舉證的事項:
(1)被告是否有個資外洩的情形?
(2)與原告受損害間有無因果關係?
(3)被告公司有無採行適當安全措施?
筆者將相關判決整理如後,由於個資外洩所造成的金額均較少,無法透過上訴由最高法院統一法律見解。因此,目前法院實務上對於個資外洩相關請求損害賠償事件的舉證責任,仍有些許分歧。

然而筆者認為,隨著時代的發展與商業模式的演變,類似這種個人資料外洩的侵權行為損害賠償,不論是個人資料如何外洩等資料、被告公司是否有依法落實適當安全措施以及相關證據,大多均偏向被告公司一方,而導致民眾有時候求償時,因無法提出確切證明而遭到敗訴的結果。

如果民眾想要向被告公司主張前述權利時,以實務上常見的透過個資、網路訂單的詐騙電話為例,民眾如要維護自身權益,可以透過電話錄音將與詐騙集團的對話錄音存證,同時在後續的訴訟程序中,除了請求法院調查被告公司是否有依個人資料保護法相關規定制定與落實個人資料檔案安全維護計畫,以及所保存的相關紀錄,也可以請求法院適時運用舉證責任轉換的原則,要求由被告公司負擔舉證責任,以減輕原告方舉證的壓力,進而獲得有利的判決結果。

※相關判決見解

(1)被告是否有個資外洩的情形

※認為應由原告負擔舉證責任的判決見解
「原審就本件上訴人(按:即原告)應先就其遭詐騙時之個資係「來自」被上訴人公司網站乙節負舉證之責後,再由被上訴人(按:即被告)就其未違反個資法第27條所定義務,即已採行適當安全措施而無故意或過失一事提出反證,所為之舉證責任分配並未違反前揭規定,即無違背法令之情事。」(臺灣新竹地方法院108年度小上字第29號民事判決
「原告既主張被告違反個人資料保護法規定,致其權利受損,則原告就其有利於己之事實即主張其遭詐騙時之個人資料係來自被告公司網站,及被告違反個人資料保護法規定之事實,即應先負舉證責任。」(臺灣士林地方法院107年度湖簡字第644號民事簡易判決

※認為應由被告負擔舉證責任的判決見解
「駭客入侵營業公司之電腦竊取其大量客戶資訊,要屬常態;反之,侵入個人電腦以竊取個人之消費資料,則屬變態。是應由被告先行舉證證明其確已善盡對於該公司客戶(含本件原告在內)所留消費資料之保存責任,且未遭不法蒐集,而不應推責於原告。」(臺灣士林地方法院107年度湖簡字第110號民事簡易判決臺灣士林地方法院107年度湖小字第401號小額民事判決意旨參照)

2)與原告受損害間有無因果關係

※認為應由原告負擔舉證責任的判決見解
「侵權行為之成立,須行為人因故意過失不法侵害他人權利,亦即行為人須具備歸責性、違法性,並不法行為與損害間有相當因果關係,始能成立,且主張侵權行為損害賠償請求權之人,對於侵權行為之成立要件應負舉證責任。是以,原告自應就被告公司有前開侵權行為之要件舉證。……被告公司對其所保有個人資料已採行符合個資法規定之安全措施,雖有本件個人資料外洩之事件,卻係第三人入侵電腦作業系統竊取所致,實難認被告公司就此具有故意或過失,況且,如附表1-A-2所示之人所受財產上損害,亦因第三人故意不法行為所造成,尚不能認與被告公司個人資料外洩間有相當因果關係。」(臺灣士林地方法院107年度消字第6號民事判決

※認為應由被告負擔舉證責任的判決見解
「被告未依法訂立個人資料檔案安全維護計畫及安全稽核機制致駭客入侵竊取原告個資,抑或因而遭被告公司人員外洩等情,惟此等事實因宥於網際網絡科技浩瀚並參雜人為因素之變異而有高度舉證困難,責令被害人擔負完全之舉證責任實有不公;而被告既為以此交易營利之企業經營者,原告交付個資後即由其支配掌握,其對於個資被竊取或外洩風險之控制及分擔能力俱優於原告,本院斟酌本件訴訟性質、兩造之舉證能力及被告違反義務之情節及風險分配之合理性,而比照我國實務就公害訴訟降低被害人因果關係舉證責任之見解,認被告行為所生之危險已有相當合理確定性,即推定有一般因果關係之存在……被告未依法採取訂立個人資料檔案安全維護計畫及稽核機制等防免個資遭竊取或外洩之安全措施,106年3月間即發生包括原告在內之大量旅客個資外洩情事,被告過失行為與原告個資外洩之損害間具備相當合理關聯,即推定有一般因果關係存在,被告自應提出確切反證始足推翻該因果關係之認定。」(臺灣臺北地方法院106年度北小字第2161號小額民事判決臺灣臺南地方法院臺南簡易庭106年度南簡字第1450號民事判決臺灣士林地方法院107年度湖簡字第110號民事簡易判決意旨參照)

(3)被告公司有無採行適當安全措施

※認為應由原告負擔舉證責任的判決見解
「原告主張依據個資法第29條第1、2項、第28條第2項規定請求損害賠償,自應先由原告就被告公司有違反個資法規定,亦即未就所保有個人資料檔案採行適當之安全措施一事,負舉證之責,若原告先不能舉證,以證實自己主張之事實為真實,則被告就其抗辯之事實即令不能舉證,或其所舉證據尚有疵累,亦應駁回原告之請求。」(臺灣士林地方法院107年度消字第6號民事判決

※認為應由被告負擔舉證責任的判決見解
「原審就本件上訴人(按:即原告)應先就其遭詐騙時之個資係「來自」被上訴人公司網站乙節負舉證之責後,再由被上訴人(按:即被告)就其未違反個資法第27條所定義務,即已採行適當安全措施而無故意或過失一事提出反證,所為之舉證責任分配並未違反前揭規定,即無違背法令之情事。」(臺灣新竹地方法院108年度小上字第29號民事判決
「被告因原告訂購機票而取得原告之姓名、電話號碼及搭乘客機活動等個人資料,依法應採行適當之安全措施以防止該個人資料被竊取或洩漏,被告倘未能舉證證明已盡此注意義務,即可認有過失,原告因而個資被竊取或外洩,自得依個人資料保護法第29條之規定請求被告為財產上或非財產上之損害賠償。」(臺灣臺北地方法院106年度北小字第2161號小額民事判決
「自原告上開個資事後為第三人所竊取或洩漏之事實以觀,足認被告對原告之個資應未採行適當之安全措施甚明。依前揭個資法第29條第1項規定,被告推定為有故意、過失,應就其行為負損害賠償責任;被告如主張免責,即須就其已善盡注意採行適當安全措施,而無故意或過失一事負舉證責任。」(臺灣臺北地方法院107年度北小字第266號小額民事判決

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※你可能還會對這些文章有興趣
1.除了告他還能告誰,個資外洩與系統商責任
2.當個資外洩發生時,企業是否可以向系統商求償?
3.投資個資保護的價值?
4.個人資料保護管理制度(PIMS)比較
5.紐約SHIELD Act

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Google photo

您的留言將使用 Google 帳號。 登出 /  變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

連結到 %s