除了告他還能告誰,個資外洩與系統商責任

最近又傳出購物網站發生個資外洩,導致民眾受到詐騙,損失金額高達2000多萬元。一般民眾通常遇到個資外洩時,通常會選擇向個資外洩的公司求償,不過除此之外,依具體案件情形,民眾也可以考慮一併向維護該公司網站或系統的廠商(下稱系統商)求償,最近便有藝人於西螺大同醬油股份有限公司(下稱大同醬油公司)網路上訂購商品,因此於該網站留存姓名、手機號碼、E-mail、地址等個人資料,之後居然發現於Google搜尋引擎可以搜尋到她的個人資料,經過法院審理後,認為維護網站的系統商(喬義司資訊有限公司,下稱喬義司公司)與負責該專案的專案經理應負連帶賠償責任,以下是該臺灣雲林地方法院108年度六簡字第198號民事判決的簡要整理與分析。

一、被告喬義司公司與負責該專案的專案經理應負連帶賠償責任

1.原告隱私權確實遭到侵害

法院認為,依據原告所提出被告大同醬油公司會員專區、GOOGLE搜尋引擎所得資料等網頁截圖,能見原告之姓名、手機號碼、E-mail、住家住址等資料,足以認為不特定多數人於被告大同醬油公司網站故障當時,若於GOOGLE搜尋引擎鍵入原告之姓名,即能獲得上開資訊,因此足以證明原告隱私權已遭侵害。

2.被告喬義司公司的專案經理沒有提出網站資安防護工作建置相關資料,無法認定其有採取適當安全措施

本件被告喬義司公司負責的專案經理雖然表示經營五年以來都沒有出事過,事發之後也都有進行補救,然而卻沒有提出事前為大同醬油公司建置網站資安防護工作的相關資料,作為個資外洩時有對其所取得客戶資料建置有效防護措施之證據,無法認定其有依個人資料保護法(下稱個資法)第27條採取適當安全措施,因此法院認定原告得依個資法第29條與民法第184條第1項之規定請求該專案經理負損害賠償責任。

3.被告喬義司公司應與專案經理負連帶賠償責任

法院認為專案經理於被告喬義司公司任職時,對被告大同醬油公司網站取得的客戶資料沒有建置有效的防護措施,導致侵害原告隱私權,依照民法第188條第1項規定,被告喬義司公司應與專案經理未適當保護個人資料的侵權行為負連帶賠償責任。

二、被告大同醬油公司與法定代理人無須負賠償責任

本件法院認為,被告大同醬油公司的網站所留存的個人資料是由被告喬義司公司支配掌握,被告大同醬油公司及其法定代理人對於個人資料被竊取或外洩風險並沒有控制能力,難認原告受有隱私權的損害與被告大同醬油公司及其法定代理人間有相當因果關係存在。

三、結論與評析

本件判決僅認定被告喬義司公司與其專案經理應負擔損害賠償責任,卻認為被告大同醬油公司及其法定代理人無須負責,否則即有不當擴大企業責任之虞,然而依照個資法施行細則第8條,委託他人蒐集、處理或利用個人資料時,委託者應對受託者為適當之監督,同時必須定期確認與紀錄受託者執行的狀況。因此,本件被告大同醬油公司將其網站委託給被告喬義司公司與其專案經理管理時,如有依法善盡委託者的監督管理責任,是否即能於事前發現被告喬義司公司與專案經理並沒有為網站建置防護措施的情形,則被告大同醬油公司及其法定代理人是否毫無責任,似乎仍有討論的空間。

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※你可能會對這些文章有興趣
1.個資外洩,該怎麼辦?
2.當個資外洩發生時,企業是否可以向系統商求償?
3.投資個資保護的價值?
4.談性向、約炮、多人運動與性隱私的保護

當個資外洩發生時,企業是否可以向系統商求償?

企業與系統商簽訂契約,要求系統商提供電子商務網站平台及相關服務時,當網站平台的資訊安全系統設計不符合現行科技水準,導致企業因個資外洩所造成賠償消費者金錢、商譽損害等損失,系統商是否須負損害賠償責任?國內最近即有一間公司(原告)向提供不符合現行科技水準網站系統的廠商(被告)成功求償102萬1976元(臺灣臺北地方法院108年度訴字第1721號民事判決),以下簡單介紹該判決的內容。

1.雙方的契約性質為承攬契約

法院認為依照雙方契約內容,原告基於契約所取得的並非僅有旗艦版平台,還包含網址服務、電子發票服務項目、SSL加密憑證、SSL憑證檔嵌入服務、其他系統串接維護費、物流系統串接維護費、系統串接維護費等多項加值服務,所以原告所打算取得的標的是具備上開功能與服務之電子商務網站,而非只是單純地租用網路平臺。同時依照契約內容所記載交件、驗貨與報酬給付等細節,可以認為雙方所約定的客製化網路平臺服務,屬於民法第490條所謂的承攬契約。

2.被告應證明損害的發生為不可歸責於被告事由所導致

基於民事訴訟法第277條舉證責任的分配,債務人抗辯損害之發生為不可歸責於己之事由所致,應由其負舉證責任,如不能舉證證明,即不能免責(最高法院107年度台上字第638號民事判決參照)。因此,本件被告主張個資事故是因為駭客攻擊所導致,屬不可歸責於被告之事由而不須要負責時,便應該由被告舉證證明本件損害的發生屬不可歸責於被告之事由所導致。

3.本件被告沒有盡到事前防禦措施,無法證明被告與損害的發生無關

(1)其他使用被告公司提供平台的業者也曾發生多次個資事故

本件判決認為被告雖說明已提供至少有十數項資安防護措施,並有多重之驗證措施、安全性設定機制,以加強使用者使用系統網站功能之保密性及安全性。然而其他使用被告所提供之電子商務平台之業者,也曾陸續發生遭駭客入侵盜取消費者個人資料之情形,甚至同樣使用被告之網路平台之VIVO公司,其網站之資訊安全保護經OWASP標準檢測為最低等級之F。

(2)被告提供的網站平台不符合現行科技水準

被告雖然辯稱他使用至少十數項資安防護措施,且創設數道繁複的手續,然而被告所提供之網路平台在2年間即發生數次個人資料因駭客攻擊而外洩之事件,法院認為如果真像被告所表示採取國際公司規則之資安防護技術,應不致發生如此多次數駭客入侵之情形,且原告與被告雙方雖沒有約定以OWASP標準作為網頁安全漏洞之檢測依據,然而被告所提供之網站如果符合現行科技水準,依OWASP標準檢測之結果,其所獲得之評價也不應該會落入最低等級之程度,因此難以認為被告所提供之網站平台符合現行科技水準。

(3)被告盡到善良管理人注意義務,才有辦法免責

法院更進一步指出,雖然在現行科技水準下,網路世界中雖無法百分之百避免外來之駭客入侵,然網路平台業者仍須善盡其注意義務,維護網絡環境,建置更為良善之資安系統,降低遭駭客惡意侵入之情事發生。被告作為提供網路平台予他人使用之業者,其應負的契約義務除提供權限管道與客戶使用外,還包括維護網站之資訊安全,只有在被告已善盡其善良管理人之注意義務,針對駭客攻擊之事件才有辦法得以免除責任,然而被告並沒有盡到事前防禦措施,因此仍須負起相關責任。

4.原告得向被告請求賠償項目與金額

經過法院認定,原告可以向被告主張的賠償項目與金額有以下三項

(1)解除契約返還報酬

由於原告依民法第494條解除雙方的承攬契約,因此原告可以依照民法第259條第1款、第2款請求先前已給付予被告的承攬報酬。

(2)賠償第三人和解金

由於原告公司因個資外洩事故,導致原告與訴外人達成和解,並給付和解金。同時該和解金與被告提供網路平台的瑕疵間具有相當因果關係,因此原告可以向被告請求此部分損害的賠償。

(3)商譽損失

原告因為網站平台的瑕疵,導致消費者於公共論壇上抱怨與討論,導致原告公司的商譽有所減損,因此法院認定原告可以向被告請求商譽損失。

至於原告主張其他的損失(例如另外與其他網站系統商簽約的支出、網站系統轉換停止營運等損失),則與被告網站平台的瑕疵無關,因此原告不得向被告求償。

由本件判決來看,被告在抗辯的時候除提出抵銷抗辯外,似乎並沒有提出民法第217條過失相抵的抗辯,有點可惜,因此原告公司就個資事故的發生是否有過失,而使被告得以主張賠償金額的減免,在本判決內並無法得知,之後希望可以在上級審的判決中看到更詳細的論述。

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※你可能會對這些文章有興趣
1.談性向、約炮、多人運動與性隱私的保護
2.個資外洩,該怎麼辦?
3.投資個資保護的價值?

新加坡認可CBPR認證可以作為個資跨境傳輸合法要件

新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC)於今年6月2日宣布其已增修個人資料保護規則(Personal Data Protection Regulations),將亞太經濟合作組織( Asia Pacific Economic Cooperation, APEC)跨境隱私保護規則(Cross Border Privacy Rules , CBPR)體系與資料處理者隱私認可(Privacy Recognition for Processors, PRP)體系的認證(Certifications)納入新加坡跨境傳輸的合法方式之一。

依據新加坡個人資料保護法(Personal Data Protection Act, PDPA)第26條,除符合特定條件外,組織原則不得將個人資料傳輸到新加坡以外的國家或地區,而依照新修正的新加坡個人資料保護規則第10A條,通過CBPR或PRP認證的組織被視為符合提供相當於PDPA保護的法律義務,新加坡的組織可以將個人資料傳輸給這些經認證的海外接收者,而不須要再額外滿足其他條件。

資料來源:新加坡PDPC

APEC CBPR體系為美國主導推行的跨境隱私保護制度,我國於2018年12月獲准加入該體系,目前美國、墨西哥、日本、加拿大、南韓、新加坡、澳洲與菲律賓等國均為APEC CBPR體系的成員。我國國家發展委員會先前曾表示,透過參與該體系,可望提升消費者對跨境資料傳輸之信賴,進而促進區域內電子商務活動之發展。

新加坡PDPC也提供雙方契約條款範本,並在其新修正的指引中,針對CBPR適用的情境舉例如下:

情境1

總部位於新加坡的旅遊網站Alpha.com與日本Air Bravo航空公司推出聯合旅遊促銷優惠,Alpha.com須要將消費者的個人資料傳輸到位於日本的Air Bravo。

Air Bravo告訴Alpha.com,他已經取得CBPR的認證,同時Alpha.com也進行盡職調查,確認Air Bravo確實通過CBPR認證,被列在CBPR網站上的認證組織列表上。在這種情況下,Alpha.com已確保Air Bravo提供相當於新加坡PDPA的保護,且受法律可執行義務的拘束,符合跨境傳輸的要求。

情境2

組織MNO委託一家位於美國的公司PQR作為資料中介機構(Data intermediary,概念近似於GDPR的資料處理者),使用其客戶關係管理(CRM)系統來處理與儲存客戶的資料。組織MNO須要將客戶的個人資料傳輸到PQR公司才能使用該CRM系統。

組織MNO調查後確認PQR公司已經通過CBPR認證,但沒有取得PRP認證。在這種情況下,組織MNO已確保PQR公司提供相當於新加坡PDPA的保護,且受法律可執行義務的拘束,符合跨境傳輸的要求。

情境3

電子商務零售業者STU委託一間總部位於美國的資料分析公司XYZ作為資料中介機構,就消費者的偏好進行分析。STU必須將消費者的個人資料傳輸到XYZ公司進行分析。

STU調查後確認XYZ確實已通過APEC PRP的認證。此時STU已確保XYZ公司提供相當於新加坡PDPA的保護,且受法律可執行義務的拘束,符合跨境傳輸的要求。

情境4

位於新加坡的旅行社Charlie公司提供美國Delta度假村的旅遊套票,為了替消費者預訂房間,Charlie公司必須將消費者個人資料傳輸給美國Delta度假村。

Charlie公司調查確認Delta度假村已通過APEC PRP認證,但並沒有取得CBPR認證,由於Delta度假村並不是作為資料中介機構接收個人資料,因此Charlie公司不能僅依據PRP認證就將個人資料傳輸到Delta度假村,Charlie公司必須考量跨境傳輸的其他合法方式。

雙方契約條款範本

雙方同意並確認,經APEC 〔CBPR/PRP〕認證的〔組織/資料中介機構〕受法律可執行的義務拘束,以提供具有與2012年《個人資料保護法》(2012年第26號,新加坡共和國法規)相當的保護。

接收方應在本契約有效期限內保持其在APEC〔CBPR/PRP〕下的認證,並應將接收方關於認證狀態的任何變更立即通知予揭露方。

結論

綜合前面情境,在新加坡PDPA下,海外組織如僅取得PRP認證,只能作為資料中介機構從新加坡組織接收個人資料,而取得CBPR認證,則沒有該項限制,可以順利得從新加坡組織接收資料。

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※你可能會對這些文章有興趣
1.談性向、約炮、多人運動與性隱私的保護
2.個資外洩,該怎麼辦?
3.投資個資保護的價值?

寵物咖啡廳與動物展演法律議題

路上不乏知名的寵物餐廳或咖啡廳,店內有著狗、貓等可愛的寵物讓人觀賞、撫摸與放鬆身心,任由他們的可愛療癒因為現代社會忙碌而千瘡百孔的心靈。然而2018年6月13日動物保護法(下稱動保法)修法新增第6條之1關於動物展演的規定,除經申請許可者或屬公告免經許可者外,任何人原則不得以動物展演之。依照動保法第3條第13款的定義,所謂「展演」指的是「在公共場所或公眾得出入之場所以動物供展示、表演或與人互動。」到底寵物咖啡廳是不是屬於動保法所要規範的「動物展演」呢?

寵物咖啡廳可能有動物展演相關規定適用

由於動保法關於動物的定義包含犬貓等寵物,因此依照前述動保法關於動物展演的規定,似乎只要於公共場所或公眾得出入之場所以動物供展示、表演或與人互動,便屬於動物展演,因此公眾得出入的寵物咖啡廳店家讓貓狗與客人互動,依動保法規定似屬於動物展演。

違反動物展演的法律效果

違反動保法第6條之1動物展演的規定,除會受到新臺幣5萬元以上25萬元以下罰鍰的處罰,另外涉及動物展演的動物也可能會由主管機關所沒入。

寵物咖啡廳是否有「免經許可之動物展演類型條件方式或場所」的適用?

先前曾有媒體報導引述農委會人員說明:「若與羊駝互動不收費,牠就不屬於展演動物。」,然而依照行政院農業委員會於2019年9月3日依新修正動保法第6條之1所公告之「免經許可之動物展演類型條件方式或場所」第4條規定,寵物與飼主或公眾,於公共場所或公眾得出入場所,所進行「非營利性」之互動者,屬於免經許可之動物展演類型條件方式或場所。依照該規定,似乎可能會有以下兩種解釋:

1.與寵物互動不收費,便符合所謂的「非營利性」:例如不用額外付錢便可以撫摸、抱抱動物。
2.寵物咖啡廳均不收費,才符合「非營利性」:例如除不用額外付錢便可以撫摸、抱抱動物外,連所提供的餐飲均不收費。

目前該「免經許可之動物展演類型條件方式或場所」第4條對於「非營利性」的部分仍沒有較明確的規範,因此可能會有以上兩種解釋方法,而通常到寵物咖啡廳,如要與寵物互動,至少會須要最低消費,如此是否還能認為寵物咖啡廳屬於「非營利性」的情形呢?

另外一種可能適用的條文是「免經許可之動物展演類型條件方式或場所」第6條第3款「住宿或餐飲營業場所內,所進行之動物展演」,然而該條同時也規定「設置獨立區域供動物展演,或常態性進行動物展演者,仍應依動物保護法第6條之1第1項規定提出申請。」,寵物咖啡廳依常理而言應屬於「常態性進行動物展演」,因此仍然須依動保法規定提出申請才屬合法。

主管機關的看法

根據筆者分別致電農委會畜牧處動保科與台北市動保處人員確認相關問題,農委會畜牧處動保科人員表示如果是單純將寵物飼養於咖啡廳內,則沒有動物展演的問題,也不須要考量前面「免經許可之動物展演類型條件方式或場所」的問題,但是飼主仍必須善盡飼主責任。

而台北市動保處人員則表示將寵物單純飼養於咖啡廳內雖然沒有動物展演的問題,但是如果有以寵物招攬客人的情形(不一定是花錢與寵物互動的情形,業務招攬也算),則可能構成動物展演,同時其表示如果屬於常態性的話,依照「免經許可之動物展演類型條件方式或場所」第6條第3款,仍然必須要依法申請許可。

結論

目前「免經許可之動物展演類型條件方式或場所」立意雖然良善,然而對於「非營利性」的互動規範仍然有模糊空間,且寵物咖啡廳仍可能被認為屬於「常態性進行動物展演的餐飲營業場所」的情形,因此依照前述,寵物咖啡廳仍然須要依照動保法第6條之1提出申請許可才屬合法,否則可能會面臨相關處罰,不然就是須要在相關行銷的手法上須要多加注意,拿捏好動物展演、單純飼養、營利與非營利之間的分寸。

同時現行動保法對於展演僅就「在公共場所或公眾得出入之場所以動物供展示、表演或與人互動」的情形為規範,依照動保法第6條之1的修法理由,主要是為了保障動物權益,避免動物受傷或其他不當情事,然而隨著網路速度的提升、網路媒體的興起,網路上其實不乏關於動物的YouTube頻道,換一個角度思考,如果業者(例如馬戲團)透過線上的方式讓動物表演,這樣是否能夠透過現行動保法第6條之1規定去規範呢?

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

動物展演相關規定

動保法第3條第13款
在公共場所或公眾得出入之場所以動物供展示、表演或與人互動。

動保法第6條之1第1項
任何人不得以動物進行展演。但申請經直轄市、縣(市)主管機關許可,或屬中央主管機關公告免經許可之展演動物類型、條件、方式或場所者,不在此限。

動保法第26條第1項第1款
有下列情形之一者,處新臺幣5萬元以上25萬元以下罰鍰:1、違反第6條之1第1項規定,以動物進行展演。

動保法第26條第2項
前項第1款所涉動物,不問屬於何人所有,直轄市或縣(市)主管機關得沒入之。

行政院農業委員會公告之「免經許可之動物展演類型條件方式或場所」第4條
寵物與飼主或公眾,於公共場所或公眾得出入場所,所進行非營利性之互動。

行政院農業委員會公告之「免經許可之動物展演類型條件方式或場所」第6條第3款
於下列營業場所內所進行之動物展演。但設置獨立區域供動物展演,或常態性進行動物展演者,仍應依動物保護法第6條之1第1項規定提出申請: (三)住宿或餐飲營業場所內,所進行之動物展演。

※你可能還會對這些文章有興趣
1.個資外洩,該怎麼辦?
2.除了告他還能告誰,個資外洩與系統商責任
3.當個資外洩發生時,企業是否可以向系統商求償?

談性向、約炮、多人運動與性隱私的保護

近期陸續發生藝人與網紅被揭露約炮、多人運動或是性向等情形,引起許多風波,從法律的角度來看,前述這些與性有關的資訊原則都屬於個人資料保護法(下稱個資法)第6條所謂的特種個人資料,而不得隨意蒐集、處理或利用。我國立法委員今年也分別提出「侵害個人性私密影像防制條例草案」、「性隱私侵害防制條例草案」與「性隱私影像侵害犯罪防制條例草案」等法案,希望對於性隱私侵害的情形能有進一步的規範,保障受侵害當事人的權益。

個資法第6條第1項

有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:
1、法律明文規定。
2、公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
3、當事人自行公開或其他已合法公開之個人資料。
4、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
5、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。 六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。

而個資法施行細則第4條第4項針對所謂的「性生活」個人資料,其定義為:「指性取向或性慣行之個人資料。」,因此揭露他人性向(性取向)、約炮或多人運動(性慣行)都可能會有個資法第6條特種個資規定的適用,只有在符合該條1到6款法律所規定的事由時,才能蒐集、處理或利用(例如將該等資料公開揭露)。

在媒體接獲爆料者爆料而揭露他人與性有關的資料的情形,其既非法律規定、也不是履行法定義務範圍內,更不可能是為了學術研究或是得到當事人同意,因此可能會有違反個資法第6條的規定。而違反個資法第6條時,可能會有以下民事、刑事與行政責任:

民事責任(個資法第28條第1項與第29條第1項):損害賠償

公務機關或非公務機關違反個資法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,都應負損害賠償責任。同時受害者請求損害賠償時,還應特別注意個資法第30條關於請求權時效的規定,即必須自知有損害及賠償義務人時起2年內或自損害發生起5年內行使請求民事損害賠償的權利。

刑事責任(個資法第41條):5年以下有期徒刑,得併科新臺幣100萬元以下罰金

意圖為自己或第三人不法之利益或損害他人之利益,而違反第6條第1項、第15條、第16條、第19條、第20條第1項規定,或中央目的事業主管機關依第21條限制國際傳輸之命令或處分,足生損害於他人者,處5年以下有期徒刑,得併科新臺幣100萬元以下罰金。

行政責任(個資法第47條第1款):5萬元以上50萬元以下罰鍰,並限期改正

非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣5萬元以上50萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之:1、違反第6條第1項規定。

另外依照個資法第50條 ,如非公務機關受到前述罰鍰處罰時,非公務機關之代表人、管理人或其他有代表權人,除能證明已盡防止義務者外,否則原則上應受同一額度罰鍰之處罰。以前述案例來說,媒體公司的董事長(代表人)除非能證明其就該公司非法揭露他人性生活特種個人資料有盡到防止的義務,否則當該公司受到罰鍰時,仍可能會受到同一金額的罰鍰處罰。

性隱私保護之立法

除了前述個人資料保護法的規定,我國立法委員也分別於今(2020)年提出「侵害個人性私密影像防制條例草案」、「性隱私侵害防制條例草案」與「性隱私影像侵害犯罪防制條例草案」等法案,「性隱私侵害防制條例草案」較其他草案所規範的「性隱私影像」外,更將「未經同意,將他人與性有關之行為紀錄、傳送、公開或揭露」等行為,定義為性隱私侵害。因此公開揭露他人的性生活等資訊,均可能屬於該「性隱私侵害防制條例草案」所謂的性隱私侵害,而有相關罰則的適用。

同時前述草案也都針對網際網路平臺業者、電信業者與廣播電視事業等有特別規範(例如於時限內移除相關資訊內容),如果違反的話甚至可能會按「每小時10萬元」處以罰鍰。

性隱私無疑是個人最私密的資訊,然而隨著資訊的流通,既有的規範難免有無法周全的時候,也因此會有新的立法與修法不斷推陳出新,而除了不要侵害他人的隱私之外,對於自身的隱私,仍然要多加注意,畢竟一經洩漏,可能是一生的傷害。

※你可能對這些文章會有興趣:
1.個資外洩,該怎麼辦?
2.關於COOKIES同意,你有更好的作法
3.個人資料保護管理制度(PIMS)比較
4.華盛頓州州長簽署臉部辨識法案
5.加拿大隱私專員辦公室提出AI監管方案

代理孕母與人工生殖法修法草案

2020年5月29日是釋字791號大法官解釋關於通姦除罪化的日子,大法官認定刑法通姦罪與刑事訴訟法第239條但書規定均違憲,自即日失效。使通姦不再歸刑法管,但仍然可以透過民事訴訟等方式來對外遇的配偶與小三求償。

不過今天要談的是立法院於今年5月1日一讀通過的「人工生殖法部分條文修正草案」,預計將代理孕母納入人工生殖法的規範裡面,為代理孕母合法化翻開新的篇章。

現行法制代理孕母合法性疑義

1.由代理孕母懷孕出生的小孩,無法視為受術夫妻的婚生子女

我國民法第1065條第2項規定:「非婚生子女與其生母之關係,視為婚生子女,無須認領。」,在立法上是採「分娩者為母原則」,所以在其他法律無特別規定時,代孕所生出的子女,依民法規定,代理孕母為其法律上之母親(法務部民國101年06月08日法律字第10100573820號函釋參照),而受術夫妻(即希望透過代理孕母獲得子女的夫妻)則必須多花一道程序,透過民法上認領或收養的方式來與代孕子女產生法律上親子關係(可參考〈誰才是爸爸媽媽?──代理孕母親子關係之認定〉)。

2.代理孕母請求報酬的權利無法獲得保障

對於代理孕母來說,其擔任代理孕母所應獲得的報酬,由於法律上未特別保障代理孕母請求的權利,因此往往仰賴於代理孕母與受術夫妻間所約定的契約,然而依照民法第72條規定,法律行為如果背於公共秩序或善良風俗,其效力為無效。因此法院實務上,有認為代理孕母契約並約定報酬的協議屬於違反公序良俗,因此導致代理孕母於分娩後無法獲得其應得的報酬的前例(臺灣新竹地方法院98年度竹簡字第281號民事判決參照)。

3.施行代理孕母手術的醫生可能面臨法律責任

過往亦有醫師為他人實施代理孕母方式之人工生殖,而經法院認定違反醫師法第28條之4規定而判賠民事損害賠償51萬元(臺灣臺中地方法院97年度訴字第2432號民事判決參照),甚至可能有醫師法相關罰鍰、停業或廢止執業執照等風險

4.侵害配偶身份法益的問題

在釋字791號大法官解釋讓通姦除罪化前,代理孕母方式之人工生殖由於沒有「性器接合」,所以不會有刑法上通姦罪的問題,然而讓有配偶的女子以人工生殖方式受孕並生出子女,是否會侵害該名配偶的身份法益?似乎值得討論。不過在老公讓第三人提供卵子,以人工生殖方式受孕的情形,實務上則有判決認為該第三人已侵害該名老公與配偶間共同生活之美滿與幸福,干擾夫妻間婚姻關係,而應負民法第184條第1項後段與第195條的損害賠償責任(臺灣高等法院95年度重上字第310號民事判決參照)。

人工生殖法代理孕母相關修正草案重點

1.將代孕生殖納入規範

修正草案第2條明文規定代孕者與代孕生殖的定義,代孕者指「與受術夫妻約定,接受其胚胎植入子宮,代為孕育及生產胎兒者。」,代孕生殖則是「以人工生殖方式,對代孕者施行孕育及生產胎兒之技術。」,同時刪除受術夫妻關於「妻能以其子宮孕育生產胎兒」的限制,以期將代理孕母的人工生殖方式納入既有人工生殖法的規範內。

2.受術夫妻與代孕者資格限制

修正草案第18條之1與第18條之2針對受術夫妻與代孕者資格為限制,例如受術夫妻必須一方具備中華民國國籍,且符合妻無子宮、因子宮、免疫疾病或其他事實,難以孕育子女或因懷孕或分娩有嚴重危及生命之虞。同時代孕者必須符合成年女性、曾有生產經驗、經評估與檢查適合代孕、完成代孕生殖次數不得超過2次等條件。

另外修法草案內提到代孕生殖時,不得使用代孕者之卵子,因此前述案例中使用第三人卵子與子宮代孕的人工生殖方式(臺灣高等法院95年度重上字第310號民事判決參照),在該修法草案的規定下,仍不合法。

3.代孕契約

修正草案第18條之3規定受術夫妻委託代孕者代孕前,應接受專業諮詢並簽訂代孕契約,同時代孕契約必須經過公證。如果代孕者有配偶的話,該配偶也必須接受專業諮詢與簽訂代孕契約,以減少日後爭議。

代孕契約的內容,必須保障代孕者的隱私權、懷孕期間關於健康的身體自主權、探視代孕子女、懷孕失敗後終止或解除契約與投保人身保險等權利,同時規定主管機關必須訂定代孕契約的應記載與不得記載事項。

4.代孕者的酬金與費用

修正草案第18條之5明文規定在主管機關所定的範圍內,受術夫妻得對代孕者提供酬金,並應提供營養費或營養品,或負擔代孕者必要的檢查、諮詢、醫療、照護、交通、工時損失及其他相關費用。透過主管機關限定酬金範圍,避免因金錢利誘所形成的商業行為,同時使受術夫妻負擔代孕者因代孕所伴隨的成本費用。

5.代孕子女視為受術夫妻婚生子女

如同前面所提到,依民法規定,代理孕母所生的代孕子女,無法視為受術夫妻的婚生子女,因此修正草案第18條之9特別規定合法代孕者所生的子女,其視為受術夫妻的婚生子女,如果該條文通過的話,受術夫妻便不用另外收養或認領原本應該是屬於自己的小孩。

6.代孕者的身體自主權

儘管代孕者是接受受術夫妻的委託而代孕,然而在代孕者經人工生殖手術懷孕後,經診斷或證明胎兒有嚴重遺傳性疾病、有畸形發育之虞者或有優生保健法規定的情形時,依修正草案第18條之10規定,仍得施行人工流產,以保障代孕者的身體自主權,然而此等情形,代孕者是否可能會須依照代孕契約的約定負擔賠償責任或違約金,如果須負擔賠償金或違約金是否合理?此部分似乎須仰賴主管機關所訂定的代孕契約的應記載與不得記載事項來作進一步的規範,使代孕者的身體自主權有更合理的保障。

過往的人工生殖法未將代理孕母納入規範,導致衍生許多爭議,希望本次修正草案得順利於立法院三讀通過,以減少相關紛爭,並讓求子而不可得的父母得以透過代孕生殖的方式喜獲子女,進而提升我國的生育率。

揭開黑箱,說清楚講明白—可解釋性AI人工智慧

自人工智慧(Artificial Intelligence, AI)這個名詞出現以來,其前景總是讓人著迷,不須要人類自己動手,AI就能代替人類解決問題。然而,AI是如何決策,他的思路為何,就像一個黑箱,人類似乎只能得知結果卻無法知悉理由,如果一個AI人資專員通知你未被錄取、未獲晉升或是被解雇,他是否能夠提供一個可以信服的理由呢?近日台大亦表示已打造可解釋性人工智慧(Explainable AI, XAI),聲稱可以解釋AI結果產生的原因,以提升人類對於AI的信賴度。

然而,所謂的可解釋性AI到底須要解釋些什麼?2020年5月20日,英國資訊委員辦公室(Information Commissioner’s Office, ICO)與圖靈研究所(Alan Turing Institute, Turing)便基於英國政府2018年4月的人工智慧領域協議(AI Sector Deal)的承諾發布「解釋AI決策(Explaining decisions made with AI )」的指引。

AI與相關法律

該指引提到,AI往往涉及個人資料的利用,例如將大量個人資料用於訓練與測試AI模型、AI運作時也會蒐集大量個人資料並透過模型進行決策,甚至其作成與個人有關的決策,即使僅僅是預測或推論,仍然也可能屬於個人資料,而有英國資料保護法(DPA 2018)與歐盟一般資料保護規則(GDPR)的適用。

GDPR甚至賦予個人知悉權(第13條與第14條)、近用權(第15條)、反對權(第21條)、於自動化決策時得要求人為介入的權利(第22條)以及課予組織必須進行資料保護影響評估(Data protection impact assessments, DPIAs)的義務,同時組織還必須遵循GDPR所謂的公平性(Fairness)、透明性(Transparency)與問責性(Accountability)等原則。

另外組織在使用AI進行決策,也必須確保過程中符合英國平等法(Equality Act 2010),避免關於年齡、身心障礙、性別、婚姻、懷孕與產假、種族、宗教信仰、性別與性傾向等的歧視、騷擾或傷害,我國類似法律則規定於就業服務法與性別工作平等法等法令內。

關於AI的解釋

指引內表示,所謂解釋,依照劍橋詞典是指「某人給出明確或易於理解的細節或原因。」在關於AI的解釋,主要可分為「過程導向(process-based)」與「結果導向(outcome-based)」的解釋。在過程導向的解釋,主要是證明在整個AI設計與使用過程中均遵循良好的治理流程與最佳實施指引,而結果導向的解釋則是澄清特定決策的結果,以用易懂的方式解釋演算法所產生結果背後的原因,其關於AI的解釋項目與背後原理原則大略可整理如下。

透明(Be transparent)

  • 基本原理(Rationale)
    1. 模型產生結果背後的邏輯與理由。
    2. 哪些輸入特徵(input features)、參數(parameters)與相關性(correlations)對模型的計算結果扮演重要因素,以及如何產生影響。
    3. 如何以易於理解的原因說明模型輸出所依據的技術原理,使受影響的個人或其代理人進行合理評估。
    4. 如何將統計結果應用於對個人決策的特定情形。
  • 資料(Data)
    1. 使用哪些資料來訓練模型。
    2. 使用的資料來源。
    3. 如何確保所使用資料的品質。

可問責(Be accountable)

  • 責任(Responsibility)
    1. 在AI設計到部署的每個階段,由何人負責。
    2. 有何問責機制。
    3. 如何於項目中,讓設計與實施過程可追溯(traceable)與可審核( auditable)。

考量情境(Consider context)

考量AI使用的場景、情境與潛在的影響,以提供合適的解釋與說明。以AI招募輔助系統(AI-assisted recruitment)為例,組織可能須要優先考慮AI基本原理與責任的解釋,向個人告知該招募決策的負責人以及作出決策的理由,同時考量人資與招募的情境,偏見與歧視將是主要關注的議題與潛在影響,因此組織須要向個人說明AI系統所涉及的風險以及組織如何減輕該等風險,使個人瞭解其是否受到公平對待以及該決定是否合理。

對於影響的反思(Reflect on impacts)

  • 公平(Fairness)
    1. AI系統的輸出是否具有歧視性影響。
    2. 是否已將防止歧視與減輕偏見的目標充分落實於系統的設計與實施中。
    3. 是否將決定結果的公平性標準納入系統中,並事先向個人說明這些標準。
    4. 該模型是否已防止歧視性損害(discriminatory harm)。
  • 安全與性能(Safety and performance)
    1. 在運行時,AI系統是否安全且技術上可持續運作。
    2. 系統的操作完整性(operational integrity)是否值得公眾信任。
    3. 是否使用足以確保其安全、準確、可靠與健全的方式設計、驗證與確認模型。
    4. 是否已採取足夠措施以確保系統遇到出乎意料的變化、異常與干擾時能可靠得依照設計者的預期運作。
  • 衝擊影響(Impact)
    • 從AI模型的設計到開始部署與結束使用,是否已經充分考量對個人與社會大眾福祉的影響。

該指引內強調,落實AI決策解釋將為組織帶來法令遵循、信任、內部治理等好處,同時也會使個人與社會大眾瞭解AI的使用,促進AI作成更好的結果,並使人類社會得以蓬勃發展。

※你可能還會對這些文章有興趣:
1.不如換AI當法官試試看?
2.加拿大隱私專員辦公室提出AI監管方案
3.投資個資保護的價值?

專利法第7條—什麼是適當報酬?

如果今天你發明了一個舉世聞名的專利,但是公司卻只給了2萬元的獎勵,該如何主張自己的權利呢?從公司的角度思考,如果員工多年後向公司索取鉅額的報酬時,到底多少金額才算是適當的報酬?

日本

當年任職於日亞化學公司(下稱日亞化)的中村修二,於在職期間從事藍色發光二極體(Blue LED)的研發,同時為日亞化帶來不斐的營收。中村修二後來於2001年對日亞化學提出發明報酬金訴訟,表示他是該項專利的發明者,理應要取得相對一定的報酬。東京地方法院第一審判決(平成 13年 (ワ) 17772号 特許権持分確認等請求事件)認為日亞化學因藍光LED該項專利所獲得的利益高達1,200億日圓,並判決日亞化公司應給付原告中村修二200億日圓。日亞化不服一審判決上訴後,雙方最終於2005年1月11日以8.44億日圓達成和解。

而後日本專利法第35條針對此種「職務發明」,亦修正相關條文,使員工可以請求相當金錢或其他經濟利益(相当の金銭その他の経済上の利益,下稱相當利益),如果於契約、工作規則或其他條款有規定所謂「相當利益」,倘雇主制定時,已有揭露情形且聽取員工意見,則依此所給予的相當利益,即不能認為是不合理的。倘雇主與員工間沒有相當利益的規定,或認為相當利益的規定有不合理的情形,則該相當利益必須考量到雇主因發明所獲得的利益、所產生的花費、貢獻度、員工的待遇及其他情況。

至於所謂其他經濟利益,依照日本特許廳的指引,包含由雇主提供出國進修機會並負擔相關費用、給予認股選擇權、帶薪休假等等。

我國

而我國專利法第7條第1項也有相關規定:「受雇人於職務上所完成之發明、新型或設計,其專利申請權及專利權屬於雇用人,雇用人應支付受雇人適當之報酬。但契約另有約定者,從其約定。」然而我國僅有規定雇用人應支付受雇人「適當之報酬」,然而對於「適當之報酬」如何計算卻未有更詳細的規範與說明。

近期國內也有兩則判決涉及專利法第7條第1項的適當報酬請求權(智慧財產法院108年度民專上字第16號民事判決智慧財產法院108年度民專訴字第9號民事判決),以下簡要整理兩則判決關於適當報酬請求權的重點。

一、智慧財產法院108年度民專上字第16號民事判決

  • 專利法第7條第1項的適當報酬請求權不因系爭專利遭撤銷而無效。
  • 依民事訴訟法第222條第2項規定,由法院審酌一切情況,依所得心證酌定被上訴人(按:即被告)應給付上訴人(按:即原告)之適當報酬。

二、智慧財產法院108年度民專訴字第9號民事判決

  • 專利法第7條第1項所謂「契約另有約定者」是該條「適當之報酬」的例外。因此原告基於被告公司的「獎勵辦法」已領取應得的獎金,符合前述例外規定,原告無法再向被告公司請求適當報酬。
  • 就算沒有符合專利法第7條第1項「契約另有約定者」的情形,原告也不得請求適當報酬:
    1. 原告就系爭專利的貢獻度應負舉證責任。
    2. 原告除薪資外,另受有獎金、配股及升職、調薪等利益,原告之「表現」業已受到約定之評價,堪認原告已受有依專利法第7條第1項規定的「適當之報酬」。
    3. 專利成功不代表產品必然成功,產品之製造風險、市場風險以及系爭專利開發後之未來產品不確定性、未來市場不確定性,往往可能涉及國際或兩岸經濟、法規、貿易、政治情勢、國內外景氣升降消長、市場競爭對手之研發進度及行銷能力、市場上買家或消費者之喜好變化或接受度等因素,尚非必然能以財務報表或報關、商業文書等,客觀量化為數字予以計算,故原告主張系爭產品之毛利營收過半均屬其貢獻等語,並不合理。

第一則判決是以民事訴訟法第222條第2項規定,由法院審酌一切情況,依所得心證酌定被告應給付原告之適當報酬,可惜的是未能說明其金額計算過程與依據,以作為其他企業與發明人的參考。

由第二則判決見解來看,似乎是認為專利法第7條第1項所謂「契約另有約定者」是該條「適當之報酬」的例外,因此原告依契約約定領取獎金後,便無法再向被告公司請求適當報酬。然而員工與企業間議約的能力與地位常常處於不對等的情形,如果以契約有約定則忽略審查其契約與金額的合理性,似乎是與專利法第7條第1項「適當之報酬」的美意相違背。

另外,第二則判決表示就算認為雙方間沒有契約約定,原告也受有獎金、配股及升職、調薪等利益,亦符合專利法第7條第1項所謂的「適當之報酬」,因此似乎是認為專利法第7條第1項所謂的「適當之報酬」並不以金錢為限,如受有獎金、配股及升職、調薪等利益也構成「適當之報酬」,這個部分解釋與前面日本專利法第35條「相當利益」的解釋頗有相似之處。

目前我國專利法對於第7條第1項所謂的「適當之報酬」還沒有更細緻的規範,且國內相關判決仍尚未提供一個可供企業或發明人參考的計算方式。然而就前面兩個判決來看,(1)在契約有另外約定時,將會優先適用雙方契約的約定;(2)如員工受有獎金、配股及升職、調薪等利益也符合所謂的「適當之報酬」,而不得再另外請求;(3)在原告無法證明適當之報酬時,法院得依民事訴訟法第222條第2項規定,由法院審酌一切情況,依所得心證酌定被告應給付原告的適當報酬。

律師證書跑哪去?—律師證書區塊鏈

筆者前幾天在一場邀講前往的途中,心血來潮到「法務部律師查詢系統」使用「律師證書區塊鏈驗證服務」,打算體驗一下律師證書與區塊鏈(Blockchain)的應用,然而沒想到卻發現筆者的證書區塊鏈驗證面臨到雜湊(hash)值比較不符的情形(如圖左),究竟是筆者這幾年日夜準備考試、律師執業生涯與律師證書都是夢一場,還是筆者眼睛業障重,才會發生這樣的情況呢?讓我們繼續看下去。

根據法務部的說法,透過結合律師證書與區塊鏈,可以讓民眾即時驗證律師真偽及確認律師證書有效性,避免民眾遭假律師受騙的情形。同時系統也會提供每位律師都將有專屬的QR CODE,可以印製在名片上方便民眾查詢真偽,而如果律師資料有異動,可以再次進行區塊鏈交易取得新的QR CODE。

然而,如果在客戶掃描了QR CODE的資料發現有前述雜湊值不一樣的結果,那可能就有點尷尬。好在法務部貼心的在網頁下方提供承辦人的電話,可以即時請求法務部承辦人與資訊處協助,在經過確認後,發現可能是當初資料上鏈的時候資料有誤,導致無法順利驗證,因此經過承辦人與資訊處協助後,結果便為「驗證屬實」(如圖右),同時也看得出區塊鏈發行日期與交易序號均已不同。

法務部推出這樣的律師證書區塊鏈驗證系統立意實屬良善,使用起來也很方便,同時感謝法務部人員即時提供協助修正資料。區塊鏈儘管有著去中心化、不可竄改性與可追溯性等特性,不過就像這次的故事一樣,如果在一開始資料上鏈的時候便有發生一些問題,則區塊鏈上的資料則會連帶發生錯誤,導致無法驗證,須要再透過產生一筆新的區塊鏈交易來解決這樣的問題。

日新月異的科技固然帶來了許多方便,並解決了許多問題,然而人類仍然是科技的使用者與主導者。所以各位讀者不妨試試看到「法務部律師查詢系統」使用「律師證書區塊鏈驗證服務」,看看為各位服務的律師或是自己的律師證書到底有沒有驗證屬實吧!

※延伸閱讀
1.法務部律師查詢系統
2.劉世怡,中央社,〈驗證律師真偽 法務部109年元旦新系統上線
3.王聖藜,聯合報,〈手機掃瞄專屬QR CODE找律師 法務部明年元旦起上線
4.YuanYin Hsu,〈杜絕《無照律師》真實上演,法務部 2020 年元旦推出「律師證書查驗系統」的下一步是什麼?

個資外洩,該怎麼辦?

隨著網路的普及與電子商務活動的盛行,民眾將個人資料透過各種管道提供給企業時,都會希望企業能夠善盡保管個人資料的義務,作好適當安全維護措施,避免將寶貴的個人資料洩漏給無關的第三人,然而我們仍然時常聽聞聽到媒體報導某某企業發生個資外洩事件,究竟在企業個資外洩的時候,民眾如何透過民事訴訟程序來獲得應有的賠償呢?

個資外洩受害當事人可以主張的權利

1.個人資料保護法(下稱個資法)第29條第1項、第28條第2項

「非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。」(個資法第29條第1項)
「被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。」(個資法第28條第2項)

2.民法第184條第1項前段、第195條第1項

「因故意或過失,不法侵害他人之權利者,負損害賠償責任。」(民法第184條第1項前段)
「不法侵害他人之身體、健康、名譽、自由、信用、隱私、貞操,或不法侵害其他人格法益而情節重大者,被害人雖非財產上之損害,亦得請求賠償相當之金額。其名譽被侵害者,並得請求回復名譽之適當處分。」(民法第195條第1項)

3.其他

另外依據具體發生個案內容,實務上也有原告主張下列權利的情形:
「因可歸責於債務人之事由,致為不完全給付者,債權人得依關於給付遲延或給付不能之規定行使其權利。」(民法第227條第1項)
「債務人因債務不履行,致債權人之人格權受侵害者,準用第192條至第195條及第197條之規定,負損害賠償責任。」(民法第227條之1)
「企業經營者違反前二項規定,致生損害於消費者或第三人時,應負連帶賠償責任。但企業經營者能證明其無過失者,法院得減輕其賠償責任。」(消費者保護法第7條第3項)

請求民事損害賠償需要注意的地方

1.請求損害賠償類型(財產上損害與非財產上損害)

如果民眾因個資外洩導致受到財產上的損害或是非財產上損害(例如個資外洩往往可能伴隨人格權、隱私權的侵害,此時即可主張請求非財產上損害,也就是俗稱的精神慰撫金),此時即可分別向被告公司主張前述兩種損害賠償類型。

實務上常看到民眾不清楚可以請求的權利與損害賠償類型,往往僅主張其中之一,而未能另外請求其他損害賠償類型,導致無法成功求償的情形。因此如果評估自身有因個資外洩導致受有財產上損害與非財產上損害,即可向法院表明,以維護自身的權益。

2.請求金額

依個資法請求損害賠償時,原告如果無法證明實際損害時,依個資法第28條第3項,可以請求法院依個資被侵害情節,以每人每一事件新臺幣500元以上2萬元以下計算。因此在無法或難以證明因個資外洩的損害金額時,可以請求法院依照該條計算。

然而上開規定僅規範在個人資料保護法,因此如果原告依其他法條(民法第184條第1項前段)請求損害賠償時,則不受前述個資法「每人每一事件新臺幣500元以上2萬元以下計算」的限制,然而相對來說也必須負擔不一樣的舉證責任。

最後必須說明的是,前述限制適用於「每人每一事件」,因此如果發生多次的個資侵害事件,則是以「個資侵害次數 ╳ 請求金額=請求總金額」。在臺灣高等法院107年度上易字第188號民事判決中,法院即認為被告每查詢個資1次,便應賠償非財產上損害1萬元,最高判賠8萬元。

3.舉證責任

由於舉證之所在,敗訴之所在,原告如果想要成功求償,除了引用適當的法條之外,還必須特別注意下列關於舉證的事項:
(1)被告是否有個資外洩的情形?
(2)與原告受損害間有無因果關係?
(3)被告公司有無採行適當安全措施?
筆者將相關判決整理如後,由於個資外洩所造成的金額均較少,無法透過上訴由最高法院統一法律見解。因此,目前法院實務上對於個資外洩相關請求損害賠償事件的舉證責任,仍有些許分歧。

然而筆者認為,隨著時代的發展與商業模式的演變,類似這種個人資料外洩的侵權行為損害賠償,不論是個人資料如何外洩等資料、被告公司是否有依法落實適當安全措施以及相關證據,大多均偏向被告公司一方,而導致民眾有時候求償時,因無法提出確切證明而遭到敗訴的結果。

如果民眾想要向被告公司主張前述權利時,以實務上常見的透過個資、網路訂單的詐騙電話為例,民眾如要維護自身權益,可以透過電話錄音將與詐騙集團的對話錄音存證,同時在後續的訴訟程序中,除了請求法院調查被告公司是否有依個人資料保護法相關規定制定與落實個人資料檔案安全維護計畫,以及所保存的相關紀錄,也可以請求法院適時運用舉證責任轉換的原則,要求由被告公司負擔舉證責任,以減輕原告方舉證的壓力,進而獲得有利的判決結果。

※相關判決見解

(1)被告是否有個資外洩的情形

※認為應由原告負擔舉證責任的判決見解
「原審就本件上訴人(按:即原告)應先就其遭詐騙時之個資係「來自」被上訴人公司網站乙節負舉證之責後,再由被上訴人(按:即被告)就其未違反個資法第27條所定義務,即已採行適當安全措施而無故意或過失一事提出反證,所為之舉證責任分配並未違反前揭規定,即無違背法令之情事。」(臺灣新竹地方法院108年度小上字第29號民事判決
「原告既主張被告違反個人資料保護法規定,致其權利受損,則原告就其有利於己之事實即主張其遭詐騙時之個人資料係來自被告公司網站,及被告違反個人資料保護法規定之事實,即應先負舉證責任。」(臺灣士林地方法院107年度湖簡字第644號民事簡易判決

※認為應由被告負擔舉證責任的判決見解
「駭客入侵營業公司之電腦竊取其大量客戶資訊,要屬常態;反之,侵入個人電腦以竊取個人之消費資料,則屬變態。是應由被告先行舉證證明其確已善盡對於該公司客戶(含本件原告在內)所留消費資料之保存責任,且未遭不法蒐集,而不應推責於原告。」(臺灣士林地方法院107年度湖簡字第110號民事簡易判決臺灣士林地方法院107年度湖小字第401號小額民事判決意旨參照)

2)與原告受損害間有無因果關係

※認為應由原告負擔舉證責任的判決見解
「侵權行為之成立,須行為人因故意過失不法侵害他人權利,亦即行為人須具備歸責性、違法性,並不法行為與損害間有相當因果關係,始能成立,且主張侵權行為損害賠償請求權之人,對於侵權行為之成立要件應負舉證責任。是以,原告自應就被告公司有前開侵權行為之要件舉證。……被告公司對其所保有個人資料已採行符合個資法規定之安全措施,雖有本件個人資料外洩之事件,卻係第三人入侵電腦作業系統竊取所致,實難認被告公司就此具有故意或過失,況且,如附表1-A-2所示之人所受財產上損害,亦因第三人故意不法行為所造成,尚不能認與被告公司個人資料外洩間有相當因果關係。」(臺灣士林地方法院107年度消字第6號民事判決

※認為應由被告負擔舉證責任的判決見解
「被告未依法訂立個人資料檔案安全維護計畫及安全稽核機制致駭客入侵竊取原告個資,抑或因而遭被告公司人員外洩等情,惟此等事實因宥於網際網絡科技浩瀚並參雜人為因素之變異而有高度舉證困難,責令被害人擔負完全之舉證責任實有不公;而被告既為以此交易營利之企業經營者,原告交付個資後即由其支配掌握,其對於個資被竊取或外洩風險之控制及分擔能力俱優於原告,本院斟酌本件訴訟性質、兩造之舉證能力及被告違反義務之情節及風險分配之合理性,而比照我國實務就公害訴訟降低被害人因果關係舉證責任之見解,認被告行為所生之危險已有相當合理確定性,即推定有一般因果關係之存在……被告未依法採取訂立個人資料檔案安全維護計畫及稽核機制等防免個資遭竊取或外洩之安全措施,106年3月間即發生包括原告在內之大量旅客個資外洩情事,被告過失行為與原告個資外洩之損害間具備相當合理關聯,即推定有一般因果關係存在,被告自應提出確切反證始足推翻該因果關係之認定。」(臺灣臺北地方法院106年度北小字第2161號小額民事判決臺灣臺南地方法院臺南簡易庭106年度南簡字第1450號民事判決臺灣士林地方法院107年度湖簡字第110號民事簡易判決意旨參照)

(3)被告公司有無採行適當安全措施

※認為應由原告負擔舉證責任的判決見解
「原告主張依據個資法第29條第1、2項、第28條第2項規定請求損害賠償,自應先由原告就被告公司有違反個資法規定,亦即未就所保有個人資料檔案採行適當之安全措施一事,負舉證之責,若原告先不能舉證,以證實自己主張之事實為真實,則被告就其抗辯之事實即令不能舉證,或其所舉證據尚有疵累,亦應駁回原告之請求。」(臺灣士林地方法院107年度消字第6號民事判決

※認為應由被告負擔舉證責任的判決見解
「原審就本件上訴人(按:即原告)應先就其遭詐騙時之個資係「來自」被上訴人公司網站乙節負舉證之責後,再由被上訴人(按:即被告)就其未違反個資法第27條所定義務,即已採行適當安全措施而無故意或過失一事提出反證,所為之舉證責任分配並未違反前揭規定,即無違背法令之情事。」(臺灣新竹地方法院108年度小上字第29號民事判決
「被告因原告訂購機票而取得原告之姓名、電話號碼及搭乘客機活動等個人資料,依法應採行適當之安全措施以防止該個人資料被竊取或洩漏,被告倘未能舉證證明已盡此注意義務,即可認有過失,原告因而個資被竊取或外洩,自得依個人資料保護法第29條之規定請求被告為財產上或非財產上之損害賠償。」(臺灣臺北地方法院106年度北小字第2161號小額民事判決
「自原告上開個資事後為第三人所竊取或洩漏之事實以觀,足認被告對原告之個資應未採行適當之安全措施甚明。依前揭個資法第29條第1項規定,被告推定為有故意、過失,應就其行為負損害賠償責任;被告如主張免責,即須就其已善盡注意採行適當安全措施,而無故意或過失一事負舉證責任。」(臺灣臺北地方法院107年度北小字第266號小額民事判決

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※你可能還會對這些文章有興趣
1.除了告他還能告誰,個資外洩與系統商責任
2.當個資外洩發生時,企業是否可以向系統商求償?
3.投資個資保護的價值?
4.個人資料保護管理制度(PIMS)比較
5.紐約SHIELD Act