沒有牙齒的老虎—個人資料保護法中損害賠償與行政罰鍰

我國對於個人資料(下稱個資)保護重視程度,或許能夠從個人資料保護法(下稱個資法)損害賠償與行政罰鍰相關規定略窺一二。

損害賠償

當公務機關或非公務機關違反個資法法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利時,應依個資法第28條與第29條負損害賠償責任。

然而,當被害人不易或不能證明其實際損害額時,被害人得請求法院依侵害情節,以每人每一事件新臺幣(下同)500元以上2萬元以下計算(個資法第28條第3項與個資法第29條第2項規定參照)。其修法理由表示:「考量個人資料之價值性及當事人行使請求權、出庭作證之意願,擬參酌法院辦理民事事件證人鑑定人日費旅費及鑑定費支給標準第三點『證人、鑑定人到場之日費,每次依新臺幣500元支給』之規定,並兼顧法院在個案之裁量權限及防止有心人士興訟,將賠償金額下限往下修正為伍佰元,以便法院為個案審理及判決。又上限部分亦配合下限降低。」。

立法者於修法理由中表示前述金額已考量個資的價值性,似乎是認為當事人於個資受侵害時,其個資的價值只值500元~2萬元,同時也沒有考量到當事人訴訟費用與律師費等費用的支出,其金額的訂定,似乎過於草率。

行政罰鍰—限期改正

個資法中關於行政罰鍰的規定,主要分別有兩種不同的規範情形:
1.處5萬元以上50萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之(個資法第47條)。
2.先限期改正,屆期未改正者,按次處2萬元以上20萬元以下罰鍰(個資法第48條)。

如果企業未依個資法第27條第1項採行適當安全措施,以防止個人資料被竊取、竄改、毀損、滅失或洩漏,或是未依個資法第27條第2項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法,則適用個資法第48條第4項規定(即前述第2種情形)。換句話說,主管機關將會先命企業限期改正,屆期未改正時,才會處以2萬元以上20萬元以下的罰鍰,但是企業於期限內改正時,主管機關便不能予以裁罰。

然而,第2種的行政管制手段,真的能夠有效促使企業遵循個資法的規定嗎?還是企業其實可以什麼都不做,等到被主管機關抓到之後再來改正就好?

行政罰鍰—金額

以下比較我國與其他國家的關於個資法的行政罰金額:

國家行政罰金額規定
我國最高按次處新臺幣50萬元以下罰鍰
歐盟一般資料保護規則(GDPR)最高處2000萬歐元(約新臺幣6.7億元)或企業者前一會計年度全球年營業額4%
巴西一般資料保護法(LGPD)最高處巴西幣5000萬元(約新臺幣2.7億元)或前一會計年度營業額2%金額
新加坡個資法(PDPA)對年營業額超過1000萬新元(約新臺幣2.1億元)的公司,最高處營業額10%的金額
中國大陸個人信息保護法草案最高處人民幣5000萬元(約新臺幣2.1億元)以下或者前一年度營業額5%的金額
印度個資法草案最高處1.5億盧比(約新臺幣5700萬元)或年營業額4%的金額

由上表可知,隨著歐盟一般資料保護規則(GDPR)的制定與施行,有許多國家逐漸仿效GDPR中關於行政處罰的模式,而大幅提高行政罰的金額,而我國目前的行政罰金額則是較為偏低。

對於處罰的金額應該如何訂定,經濟學家Avinash Dixit 與 Barry J. Nalebuff 兩位所合著的《思辯賽局(The art of strategy)》中提到:

停車計費器記錄的違規停車的罰金,往往是正常收費標準的好幾倍。設想一下,假如正常收費標準是每小時1美元,按照每小時1.01美元的標準進行處罰,能不能讓大家從此變得安分守己?有可能,條件是交通警察一定可以在你每次停車而又向計費器投錢時逮住你。但這種嚴格的管理方式可能代價不菲,這會讓交通警察的薪水成為首要課題;此外,為了保證警方說到做到,必須經常檢測收費機,這筆費用也可能相當龐大。

相反的,監管當局採用了一個同樣管用、代價卻更低的策略,那就是提高罰款金額,同時放鬆監管力度。比如,罰金若是高達每小時25美元,此時哪怕25次違規只有1次會被逮到,也足夠讓你乖乖付費停車了。一支規模更小的員警隊伍就能勝任這項工作,而收到罰金也更可能彌補管理成本。

從經濟學賽局理論的角度來看,儘管較低的罰鍰金額也能達到管制的目的,只是在監管上面,便會面臨人力不足與較高的管理成本等考量,而提高罰鍰金額,則一定程度能夠解決前述的人力與管理成本問題。

結語

加拿大隱私委員會辦公室(Office of the Privacy Commissioner of Canada, OPC)今(2020)年11月提出其對於加拿大個資法改革的建議,其中便提到罰鍰最主要目的不在懲罰或阻止業者創新,而是力求確保最大程度的法令遵循,這是信任與尊重權利的基本條件。

前述議題,究竟如何處理才能在個資保護與企業法令遵循成本,以及其他許多面向(例如外資投資意願)中取得平衡,或許還需要從經濟學與心理學等角度分析,並且尚待更多的實證研究,然而假如當立法者都不願意重視個資保護的價值時,又如何能喚起機關或企業對此的重視與投資?

※歡迎加入喵喵科技法律隨筆,持續接收科技法律的新知!

※你可能會對這些文章有興趣
1.個資外洩,該怎麼辦?
2.當個資外洩發生時,企業是否可以向系統商求償?
3.中國大陸個人信息保護法草案全文發布
4.如何落實GDPR法遵?英國ICO發布問責制框架
5.歐盟法院SCHREMS II案與常見問答

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Google photo

您的留言將使用 Google 帳號。 登出 /  變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

連結到 %s