除了告他還能告誰,個資外洩與系統商責任

最近又傳出購物網站發生個資外洩,導致民眾受到詐騙,損失金額高達2000多萬元。一般民眾通常遇到個資外洩時,通常會選擇向個資外洩的公司求償,不過除此之外,依具體案件情形,民眾也可以考慮一併向維護該公司網站或系統的廠商(下稱系統商)求償,最近便有藝人於西螺大同醬油股份有限公司(下稱大同醬油公司)網路上訂購商品,因此於該網站留存姓名、手機號碼、E-mail、地址等個人資料,之後居然發現於Google搜尋引擎可以搜尋到她的個人資料,經過法院審理後,認為維護網站的系統商(喬義司資訊有限公司,下稱喬義司公司)與負責該專案的專案經理應負連帶賠償責任,以下是該臺灣雲林地方法院108年度六簡字第198號民事判決的簡要整理與分析。

一、被告喬義司公司與負責該專案的專案經理應負連帶賠償責任

1.原告隱私權確實遭到侵害

法院認為,依據原告所提出被告大同醬油公司會員專區、GOOGLE搜尋引擎所得資料等網頁截圖,能見原告之姓名、手機號碼、E-mail、住家住址等資料,足以認為不特定多數人於被告大同醬油公司網站故障當時,若於GOOGLE搜尋引擎鍵入原告之姓名,即能獲得上開資訊,因此足以證明原告隱私權已遭侵害。

2.被告喬義司公司的專案經理沒有提出網站資安防護工作建置相關資料,無法認定其有採取適當安全措施

本件被告喬義司公司負責的專案經理雖然表示經營五年以來都沒有出事過,事發之後也都有進行補救,然而卻沒有提出事前為大同醬油公司建置網站資安防護工作的相關資料,作為個資外洩時有對其所取得客戶資料建置有效防護措施之證據,無法認定其有依個人資料保護法(下稱個資法)第27條採取適當安全措施,因此法院認定原告得依個資法第29條與民法第184條第1項之規定請求該專案經理負損害賠償責任。

3.被告喬義司公司應與專案經理負連帶賠償責任

法院認為專案經理於被告喬義司公司任職時,對被告大同醬油公司網站取得的客戶資料沒有建置有效的防護措施,導致侵害原告隱私權,依照民法第188條第1項規定,被告喬義司公司應與專案經理未適當保護個人資料的侵權行為負連帶賠償責任。

二、被告大同醬油公司與法定代理人無須負賠償責任

本件法院認為,被告大同醬油公司的網站所留存的個人資料是由被告喬義司公司支配掌握,被告大同醬油公司及其法定代理人對於個人資料被竊取或外洩風險並沒有控制能力,難認原告受有隱私權的損害與被告大同醬油公司及其法定代理人間有相當因果關係存在。

三、結論與評析

本件判決僅認定被告喬義司公司與其專案經理應負擔損害賠償責任,卻認為被告大同醬油公司及其法定代理人無須負責,否則即有不當擴大企業責任之虞,然而依照個資法施行細則第8條,委託他人蒐集、處理或利用個人資料時,委託者應對受託者為適當之監督,同時必須定期確認與紀錄受託者執行的狀況。因此,本件被告大同醬油公司將其網站委託給被告喬義司公司與其專案經理管理時,如有依法善盡委託者的監督管理責任,是否即能於事前發現被告喬義司公司與專案經理並沒有為網站建置防護措施的情形,則被告大同醬油公司及其法定代理人是否毫無責任,似乎仍有討論的空間。

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※你可能會對這些文章有興趣
1.個資外洩,該怎麼辦?
2.當個資外洩發生時,企業是否可以向系統商求償?
3.投資個資保護的價值?
4.談性向、約炮、多人運動與性隱私的保護

當個資外洩發生時,企業是否可以向系統商求償?

企業與系統商簽訂契約,要求系統商提供電子商務網站平台及相關服務時,當網站平台的資訊安全系統設計不符合現行科技水準,導致企業因個資外洩所造成賠償消費者金錢、商譽損害等損失,系統商是否須負損害賠償責任?國內最近即有一間公司(原告)向提供不符合現行科技水準網站系統的廠商(被告)成功求償102萬1976元(臺灣臺北地方法院108年度訴字第1721號民事判決),以下簡單介紹該判決的內容。

1.雙方的契約性質為承攬契約

法院認為依照雙方契約內容,原告基於契約所取得的並非僅有旗艦版平台,還包含網址服務、電子發票服務項目、SSL加密憑證、SSL憑證檔嵌入服務、其他系統串接維護費、物流系統串接維護費、系統串接維護費等多項加值服務,所以原告所打算取得的標的是具備上開功能與服務之電子商務網站,而非只是單純地租用網路平臺。同時依照契約內容所記載交件、驗貨與報酬給付等細節,可以認為雙方所約定的客製化網路平臺服務,屬於民法第490條所謂的承攬契約。

2.被告應證明損害的發生為不可歸責於被告事由所導致

基於民事訴訟法第277條舉證責任的分配,債務人抗辯損害之發生為不可歸責於己之事由所致,應由其負舉證責任,如不能舉證證明,即不能免責(最高法院107年度台上字第638號民事判決參照)。因此,本件被告主張個資事故是因為駭客攻擊所導致,屬不可歸責於被告之事由而不須要負責時,便應該由被告舉證證明本件損害的發生屬不可歸責於被告之事由所導致。

3.本件被告沒有盡到事前防禦措施,無法證明被告與損害的發生無關

(1)其他使用被告公司提供平台的業者也曾發生多次個資事故

本件判決認為被告雖說明已提供至少有十數項資安防護措施,並有多重之驗證措施、安全性設定機制,以加強使用者使用系統網站功能之保密性及安全性。然而其他使用被告所提供之電子商務平台之業者,也曾陸續發生遭駭客入侵盜取消費者個人資料之情形,甚至同樣使用被告之網路平台之VIVO公司,其網站之資訊安全保護經OWASP標準檢測為最低等級之F。

(2)被告提供的網站平台不符合現行科技水準

被告雖然辯稱他使用至少十數項資安防護措施,且創設數道繁複的手續,然而被告所提供之網路平台在2年間即發生數次個人資料因駭客攻擊而外洩之事件,法院認為如果真像被告所表示採取國際公司規則之資安防護技術,應不致發生如此多次數駭客入侵之情形,且原告與被告雙方雖沒有約定以OWASP標準作為網頁安全漏洞之檢測依據,然而被告所提供之網站如果符合現行科技水準,依OWASP標準檢測之結果,其所獲得之評價也不應該會落入最低等級之程度,因此難以認為被告所提供之網站平台符合現行科技水準。

(3)被告盡到善良管理人注意義務,才有辦法免責

法院更進一步指出,雖然在現行科技水準下,網路世界中雖無法百分之百避免外來之駭客入侵,然網路平台業者仍須善盡其注意義務,維護網絡環境,建置更為良善之資安系統,降低遭駭客惡意侵入之情事發生。被告作為提供網路平台予他人使用之業者,其應負的契約義務除提供權限管道與客戶使用外,還包括維護網站之資訊安全,只有在被告已善盡其善良管理人之注意義務,針對駭客攻擊之事件才有辦法得以免除責任,然而被告並沒有盡到事前防禦措施,因此仍須負起相關責任。

4.原告得向被告請求賠償項目與金額

經過法院認定,原告可以向被告主張的賠償項目與金額有以下三項

(1)解除契約返還報酬

由於原告依民法第494條解除雙方的承攬契約,因此原告可以依照民法第259條第1款、第2款請求先前已給付予被告的承攬報酬。

(2)賠償第三人和解金

由於原告公司因個資外洩事故,導致原告與訴外人達成和解,並給付和解金。同時該和解金與被告提供網路平台的瑕疵間具有相當因果關係,因此原告可以向被告請求此部分損害的賠償。

(3)商譽損失

原告因為網站平台的瑕疵,導致消費者於公共論壇上抱怨與討論,導致原告公司的商譽有所減損,因此法院認定原告可以向被告請求商譽損失。

至於原告主張其他的損失(例如另外與其他網站系統商簽約的支出、網站系統轉換停止營運等損失),則與被告網站平台的瑕疵無關,因此原告不得向被告求償。

由本件判決來看,被告在抗辯的時候除提出抵銷抗辯外,似乎並沒有提出民法第217條過失相抵的抗辯,有點可惜,因此原告公司就個資事故的發生是否有過失,而使被告得以主張賠償金額的減免,在本判決內並無法得知,之後希望可以在上級審的判決中看到更詳細的論述。

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※你可能會對這些文章有興趣
1.談性向、約炮、多人運動與性隱私的保護
2.個資外洩,該怎麼辦?
3.投資個資保護的價值?

新加坡認可CBPR認證可以作為個資跨境傳輸合法要件

新加坡個人資料保護委員會(Personal Data Protection Commission, PDPC)於今年6月2日宣布其已增修個人資料保護規則(Personal Data Protection Regulations),將亞太經濟合作組織( Asia Pacific Economic Cooperation, APEC)跨境隱私保護規則(Cross Border Privacy Rules , CBPR)體系與資料處理者隱私認可(Privacy Recognition for Processors, PRP)體系的認證(Certifications)納入新加坡跨境傳輸的合法方式之一。

依據新加坡個人資料保護法(Personal Data Protection Act, PDPA)第26條,除符合特定條件外,組織原則不得將個人資料傳輸到新加坡以外的國家或地區,而依照新修正的新加坡個人資料保護規則第10A條,通過CBPR或PRP認證的組織被視為符合提供相當於PDPA保護的法律義務,新加坡的組織可以將個人資料傳輸給這些經認證的海外接收者,而不須要再額外滿足其他條件。

資料來源:新加坡PDPC

APEC CBPR體系為美國主導推行的跨境隱私保護制度,我國於2018年12月獲准加入該體系,目前美國、墨西哥、日本、加拿大、南韓、新加坡、澳洲與菲律賓等國均為APEC CBPR體系的成員。我國國家發展委員會先前曾表示,透過參與該體系,可望提升消費者對跨境資料傳輸之信賴,進而促進區域內電子商務活動之發展。

新加坡PDPC也提供雙方契約條款範本,並在其新修正的指引中,針對CBPR適用的情境舉例如下:

情境1

總部位於新加坡的旅遊網站Alpha.com與日本Air Bravo航空公司推出聯合旅遊促銷優惠,Alpha.com須要將消費者的個人資料傳輸到位於日本的Air Bravo。

Air Bravo告訴Alpha.com,他已經取得CBPR的認證,同時Alpha.com也進行盡職調查,確認Air Bravo確實通過CBPR認證,被列在CBPR網站上的認證組織列表上。在這種情況下,Alpha.com已確保Air Bravo提供相當於新加坡PDPA的保護,且受法律可執行義務的拘束,符合跨境傳輸的要求。

情境2

組織MNO委託一家位於美國的公司PQR作為資料中介機構(Data intermediary,概念近似於GDPR的資料處理者),使用其客戶關係管理(CRM)系統來處理與儲存客戶的資料。組織MNO須要將客戶的個人資料傳輸到PQR公司才能使用該CRM系統。

組織MNO調查後確認PQR公司已經通過CBPR認證,但沒有取得PRP認證。在這種情況下,組織MNO已確保PQR公司提供相當於新加坡PDPA的保護,且受法律可執行義務的拘束,符合跨境傳輸的要求。

情境3

電子商務零售業者STU委託一間總部位於美國的資料分析公司XYZ作為資料中介機構,就消費者的偏好進行分析。STU必須將消費者的個人資料傳輸到XYZ公司進行分析。

STU調查後確認XYZ確實已通過APEC PRP的認證。此時STU已確保XYZ公司提供相當於新加坡PDPA的保護,且受法律可執行義務的拘束,符合跨境傳輸的要求。

情境4

位於新加坡的旅行社Charlie公司提供美國Delta度假村的旅遊套票,為了替消費者預訂房間,Charlie公司必須將消費者個人資料傳輸給美國Delta度假村。

Charlie公司調查確認Delta度假村已通過APEC PRP認證,但並沒有取得CBPR認證,由於Delta度假村並不是作為資料中介機構接收個人資料,因此Charlie公司不能僅依據PRP認證就將個人資料傳輸到Delta度假村,Charlie公司必須考量跨境傳輸的其他合法方式。

雙方契約條款範本

雙方同意並確認,經APEC 〔CBPR/PRP〕認證的〔組織/資料中介機構〕受法律可執行的義務拘束,以提供具有與2012年《個人資料保護法》(2012年第26號,新加坡共和國法規)相當的保護。

接收方應在本契約有效期限內保持其在APEC〔CBPR/PRP〕下的認證,並應將接收方關於認證狀態的任何變更立即通知予揭露方。

結論

綜合前面情境,在新加坡PDPA下,海外組織如僅取得PRP認證,只能作為資料中介機構從新加坡組織接收個人資料,而取得CBPR認證,則沒有該項限制,可以順利得從新加坡組織接收資料。

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※你可能會對這些文章有興趣
1.談性向、約炮、多人運動與性隱私的保護
2.個資外洩,該怎麼辦?
3.投資個資保護的價值?

談性向、約炮、多人運動與性隱私的保護

近期陸續發生藝人與網紅被揭露約炮、多人運動或是性向等情形,引起許多風波,從法律的角度來看,前述這些與性有關的資訊原則都屬於個人資料保護法(下稱個資法)第6條所謂的特種個人資料,而不得隨意蒐集、處理或利用。我國立法委員今年也分別提出「侵害個人性私密影像防制條例草案」、「性隱私侵害防制條例草案」與「性隱私影像侵害犯罪防制條例草案」等法案,希望對於性隱私侵害的情形能有進一步的規範,保障受侵害當事人的權益。

個資法第6條第1項

有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料,不得蒐集、處理或利用。但有下列情形之一者,不在此限:
1、法律明文規定。
2、公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。
3、當事人自行公開或其他已合法公開之個人資料。
4、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有必要,且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
5、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內,且事前或事後有適當安全維護措施。 六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,不在此限。

而個資法施行細則第4條第4項針對所謂的「性生活」個人資料,其定義為:「指性取向或性慣行之個人資料。」,因此揭露他人性向(性取向)、約炮或多人運動(性慣行)都可能會有個資法第6條特種個資規定的適用,只有在符合該條1到6款法律所規定的事由時,才能蒐集、處理或利用(例如將該等資料公開揭露)。

在媒體接獲爆料者爆料而揭露他人與性有關的資料的情形,其既非法律規定、也不是履行法定義務範圍內,更不可能是為了學術研究或是得到當事人同意,因此可能會有違反個資法第6條的規定。而違反個資法第6條時,可能會有以下民事、刑事與行政責任:

民事責任(個資法第28條第1項與第29條第1項):損害賠償

公務機關或非公務機關違反個資法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,都應負損害賠償責任。同時受害者請求損害賠償時,還應特別注意個資法第30條關於請求權時效的規定,即必須自知有損害及賠償義務人時起2年內或自損害發生起5年內行使請求民事損害賠償的權利。

刑事責任(個資法第41條):5年以下有期徒刑,得併科新臺幣100萬元以下罰金

意圖為自己或第三人不法之利益或損害他人之利益,而違反第6條第1項、第15條、第16條、第19條、第20條第1項規定,或中央目的事業主管機關依第21條限制國際傳輸之命令或處分,足生損害於他人者,處5年以下有期徒刑,得併科新臺幣100萬元以下罰金。

行政責任(個資法第47條第1款):5萬元以上50萬元以下罰鍰,並限期改正

非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府處新臺幣5萬元以上50萬元以下罰鍰,並令限期改正,屆期未改正者,按次處罰之:1、違反第6條第1項規定。

另外依照個資法第50條 ,如非公務機關受到前述罰鍰處罰時,非公務機關之代表人、管理人或其他有代表權人,除能證明已盡防止義務者外,否則原則上應受同一額度罰鍰之處罰。以前述案例來說,媒體公司的董事長(代表人)除非能證明其就該公司非法揭露他人性生活特種個人資料有盡到防止的義務,否則當該公司受到罰鍰時,仍可能會受到同一金額的罰鍰處罰。

性隱私保護之立法

除了前述個人資料保護法的規定,我國立法委員也分別於今(2020)年提出「侵害個人性私密影像防制條例草案」、「性隱私侵害防制條例草案」與「性隱私影像侵害犯罪防制條例草案」等法案,「性隱私侵害防制條例草案」較其他草案所規範的「性隱私影像」外,更將「未經同意,將他人與性有關之行為紀錄、傳送、公開或揭露」等行為,定義為性隱私侵害。因此公開揭露他人的性生活等資訊,均可能屬於該「性隱私侵害防制條例草案」所謂的性隱私侵害,而有相關罰則的適用。

同時前述草案也都針對網際網路平臺業者、電信業者與廣播電視事業等有特別規範(例如於時限內移除相關資訊內容),如果違反的話甚至可能會按「每小時10萬元」處以罰鍰。

性隱私無疑是個人最私密的資訊,然而隨著資訊的流通,既有的規範難免有無法周全的時候,也因此會有新的立法與修法不斷推陳出新,而除了不要侵害他人的隱私之外,對於自身的隱私,仍然要多加注意,畢竟一經洩漏,可能是一生的傷害。

※你可能對這些文章會有興趣:
1.個資外洩,該怎麼辦?
2.關於COOKIES同意,你有更好的作法
3.個人資料保護管理制度(PIMS)比較
4.華盛頓州州長簽署臉部辨識法案
5.加拿大隱私專員辦公室提出AI監管方案

代理孕母與人工生殖法修法草案

2020年5月29日是釋字791號大法官解釋關於通姦除罪化的日子,大法官認定刑法通姦罪與刑事訴訟法第239條但書規定均違憲,自即日失效。使通姦不再歸刑法管,但仍然可以透過民事訴訟等方式來對外遇的配偶與小三求償。

不過今天要談的是立法院於今年5月1日一讀通過的「人工生殖法部分條文修正草案」,預計將代理孕母納入人工生殖法的規範裡面,為代理孕母合法化翻開新的篇章。

現行法制代理孕母合法性疑義

1.由代理孕母懷孕出生的小孩,無法視為受術夫妻的婚生子女

我國民法第1065條第2項規定:「非婚生子女與其生母之關係,視為婚生子女,無須認領。」,在立法上是採「分娩者為母原則」,所以在其他法律無特別規定時,代孕所生出的子女,依民法規定,代理孕母為其法律上之母親(法務部民國101年06月08日法律字第10100573820號函釋參照),而受術夫妻(即希望透過代理孕母獲得子女的夫妻)則必須多花一道程序,透過民法上認領或收養的方式來與代孕子女產生法律上親子關係(可參考〈誰才是爸爸媽媽?──代理孕母親子關係之認定〉)。

2.代理孕母請求報酬的權利無法獲得保障

對於代理孕母來說,其擔任代理孕母所應獲得的報酬,由於法律上未特別保障代理孕母請求的權利,因此往往仰賴於代理孕母與受術夫妻間所約定的契約,然而依照民法第72條規定,法律行為如果背於公共秩序或善良風俗,其效力為無效。因此法院實務上,有認為代理孕母契約並約定報酬的協議屬於違反公序良俗,因此導致代理孕母於分娩後無法獲得其應得的報酬的前例(臺灣新竹地方法院98年度竹簡字第281號民事判決參照)。

3.施行代理孕母手術的醫生可能面臨法律責任

過往亦有醫師為他人實施代理孕母方式之人工生殖,而經法院認定違反醫師法第28條之4規定而判賠民事損害賠償51萬元(臺灣臺中地方法院97年度訴字第2432號民事判決參照),甚至可能有醫師法相關罰鍰、停業或廢止執業執照等風險

4.侵害配偶身份法益的問題

在釋字791號大法官解釋讓通姦除罪化前,代理孕母方式之人工生殖由於沒有「性器接合」,所以不會有刑法上通姦罪的問題,然而讓有配偶的女子以人工生殖方式受孕並生出子女,是否會侵害該名配偶的身份法益?似乎值得討論。不過在老公讓第三人提供卵子,以人工生殖方式受孕的情形,實務上則有判決認為該第三人已侵害該名老公與配偶間共同生活之美滿與幸福,干擾夫妻間婚姻關係,而應負民法第184條第1項後段與第195條的損害賠償責任(臺灣高等法院95年度重上字第310號民事判決參照)。

人工生殖法代理孕母相關修正草案重點

1.將代孕生殖納入規範

修正草案第2條明文規定代孕者與代孕生殖的定義,代孕者指「與受術夫妻約定,接受其胚胎植入子宮,代為孕育及生產胎兒者。」,代孕生殖則是「以人工生殖方式,對代孕者施行孕育及生產胎兒之技術。」,同時刪除受術夫妻關於「妻能以其子宮孕育生產胎兒」的限制,以期將代理孕母的人工生殖方式納入既有人工生殖法的規範內。

2.受術夫妻與代孕者資格限制

修正草案第18條之1與第18條之2針對受術夫妻與代孕者資格為限制,例如受術夫妻必須一方具備中華民國國籍,且符合妻無子宮、因子宮、免疫疾病或其他事實,難以孕育子女或因懷孕或分娩有嚴重危及生命之虞。同時代孕者必須符合成年女性、曾有生產經驗、經評估與檢查適合代孕、完成代孕生殖次數不得超過2次等條件。

另外修法草案內提到代孕生殖時,不得使用代孕者之卵子,因此前述案例中使用第三人卵子與子宮代孕的人工生殖方式(臺灣高等法院95年度重上字第310號民事判決參照),在該修法草案的規定下,仍不合法。

3.代孕契約

修正草案第18條之3規定受術夫妻委託代孕者代孕前,應接受專業諮詢並簽訂代孕契約,同時代孕契約必須經過公證。如果代孕者有配偶的話,該配偶也必須接受專業諮詢與簽訂代孕契約,以減少日後爭議。

代孕契約的內容,必須保障代孕者的隱私權、懷孕期間關於健康的身體自主權、探視代孕子女、懷孕失敗後終止或解除契約與投保人身保險等權利,同時規定主管機關必須訂定代孕契約的應記載與不得記載事項。

4.代孕者的酬金與費用

修正草案第18條之5明文規定在主管機關所定的範圍內,受術夫妻得對代孕者提供酬金,並應提供營養費或營養品,或負擔代孕者必要的檢查、諮詢、醫療、照護、交通、工時損失及其他相關費用。透過主管機關限定酬金範圍,避免因金錢利誘所形成的商業行為,同時使受術夫妻負擔代孕者因代孕所伴隨的成本費用。

5.代孕子女視為受術夫妻婚生子女

如同前面所提到,依民法規定,代理孕母所生的代孕子女,無法視為受術夫妻的婚生子女,因此修正草案第18條之9特別規定合法代孕者所生的子女,其視為受術夫妻的婚生子女,如果該條文通過的話,受術夫妻便不用另外收養或認領原本應該是屬於自己的小孩。

6.代孕者的身體自主權

儘管代孕者是接受受術夫妻的委託而代孕,然而在代孕者經人工生殖手術懷孕後,經診斷或證明胎兒有嚴重遺傳性疾病、有畸形發育之虞者或有優生保健法規定的情形時,依修正草案第18條之10規定,仍得施行人工流產,以保障代孕者的身體自主權,然而此等情形,代孕者是否可能會須依照代孕契約的約定負擔賠償責任或違約金,如果須負擔賠償金或違約金是否合理?此部分似乎須仰賴主管機關所訂定的代孕契約的應記載與不得記載事項來作進一步的規範,使代孕者的身體自主權有更合理的保障。

過往的人工生殖法未將代理孕母納入規範,導致衍生許多爭議,希望本次修正草案得順利於立法院三讀通過,以減少相關紛爭,並讓求子而不可得的父母得以透過代孕生殖的方式喜獲子女,進而提升我國的生育率。

律師證書跑哪去?—律師證書區塊鏈

筆者前幾天在一場邀講前往的途中,心血來潮到「法務部律師查詢系統」使用「律師證書區塊鏈驗證服務」,打算體驗一下律師證書與區塊鏈(Blockchain)的應用,然而沒想到卻發現筆者的證書區塊鏈驗證面臨到雜湊(hash)值比較不符的情形(如圖左),究竟是筆者這幾年日夜準備考試、律師執業生涯與律師證書都是夢一場,還是筆者眼睛業障重,才會發生這樣的情況呢?讓我們繼續看下去。

根據法務部的說法,透過結合律師證書與區塊鏈,可以讓民眾即時驗證律師真偽及確認律師證書有效性,避免民眾遭假律師受騙的情形。同時系統也會提供每位律師都將有專屬的QR CODE,可以印製在名片上方便民眾查詢真偽,而如果律師資料有異動,可以再次進行區塊鏈交易取得新的QR CODE。

然而,如果在客戶掃描了QR CODE的資料發現有前述雜湊值不一樣的結果,那可能就有點尷尬。好在法務部貼心的在網頁下方提供承辦人的電話,可以即時請求法務部承辦人與資訊處協助,在經過確認後,發現可能是當初資料上鏈的時候資料有誤,導致無法順利驗證,因此經過承辦人與資訊處協助後,結果便為「驗證屬實」(如圖右),同時也看得出區塊鏈發行日期與交易序號均已不同。

法務部推出這樣的律師證書區塊鏈驗證系統立意實屬良善,使用起來也很方便,同時感謝法務部人員即時提供協助修正資料。區塊鏈儘管有著去中心化、不可竄改性與可追溯性等特性,不過就像這次的故事一樣,如果在一開始資料上鏈的時候便有發生一些問題,則區塊鏈上的資料則會連帶發生錯誤,導致無法驗證,須要再透過產生一筆新的區塊鏈交易來解決這樣的問題。

日新月異的科技固然帶來了許多方便,並解決了許多問題,然而人類仍然是科技的使用者與主導者。所以各位讀者不妨試試看到「法務部律師查詢系統」使用「律師證書區塊鏈驗證服務」,看看為各位服務的律師或是自己的律師證書到底有沒有驗證屬實吧!

※延伸閱讀
1.法務部律師查詢系統
2.劉世怡,中央社,〈驗證律師真偽 法務部109年元旦新系統上線
3.王聖藜,聯合報,〈手機掃瞄專屬QR CODE找律師 法務部明年元旦起上線
4.YuanYin Hsu,〈杜絕《無照律師》真實上演,法務部 2020 年元旦推出「律師證書查驗系統」的下一步是什麼?

個資外洩,該怎麼辦?

隨著網路的普及與電子商務活動的盛行,民眾將個人資料透過各種管道提供給企業時,都會希望企業能夠善盡保管個人資料的義務,作好適當安全維護措施,避免將寶貴的個人資料洩漏給無關的第三人,然而我們仍然時常聽聞聽到媒體報導某某企業發生個資外洩事件,究竟在企業個資外洩的時候,民眾如何透過民事訴訟程序來獲得應有的賠償呢?

個資外洩受害當事人可以主張的權利

1.個人資料保護法(下稱個資法)第29條第1項、第28條第2項

「非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。」(個資法第29條第1項)
「被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。」(個資法第28條第2項)

2.民法第184條第1項前段、第195條第1項

「因故意或過失,不法侵害他人之權利者,負損害賠償責任。」(民法第184條第1項前段)
「不法侵害他人之身體、健康、名譽、自由、信用、隱私、貞操,或不法侵害其他人格法益而情節重大者,被害人雖非財產上之損害,亦得請求賠償相當之金額。其名譽被侵害者,並得請求回復名譽之適當處分。」(民法第195條第1項)

3.其他

另外依據具體發生個案內容,實務上也有原告主張下列權利的情形:
「因可歸責於債務人之事由,致為不完全給付者,債權人得依關於給付遲延或給付不能之規定行使其權利。」(民法第227條第1項)
「債務人因債務不履行,致債權人之人格權受侵害者,準用第192條至第195條及第197條之規定,負損害賠償責任。」(民法第227條之1)
「企業經營者違反前二項規定,致生損害於消費者或第三人時,應負連帶賠償責任。但企業經營者能證明其無過失者,法院得減輕其賠償責任。」(消費者保護法第7條第3項)

請求民事損害賠償需要注意的地方

1.請求損害賠償類型(財產上損害與非財產上損害)

如果民眾因個資外洩導致受到財產上的損害或是非財產上損害(例如個資外洩往往可能伴隨人格權、隱私權的侵害,此時即可主張請求非財產上損害,也就是俗稱的精神慰撫金),此時即可分別向被告公司主張前述兩種損害賠償類型。

實務上常看到民眾不清楚可以請求的權利與損害賠償類型,往往僅主張其中之一,而未能另外請求其他損害賠償類型,導致無法成功求償的情形。因此如果評估自身有因個資外洩導致受有財產上損害與非財產上損害,即可向法院表明,以維護自身的權益。

2.請求金額

依個資法請求損害賠償時,原告如果無法證明實際損害時,依個資法第28條第3項,可以請求法院依個資被侵害情節,以每人每一事件新臺幣500元以上2萬元以下計算。因此在無法或難以證明因個資外洩的損害金額時,可以請求法院依照該條計算。

然而上開規定僅規範在個人資料保護法,因此如果原告依其他法條(民法第184條第1項前段)請求損害賠償時,則不受前述個資法「每人每一事件新臺幣500元以上2萬元以下計算」的限制,然而相對來說也必須負擔不一樣的舉證責任。

最後必須說明的是,前述限制適用於「每人每一事件」,因此如果發生多次的個資侵害事件,則是以「個資侵害次數 ╳ 請求金額=請求總金額」。在臺灣高等法院107年度上易字第188號民事判決中,法院即認為被告每查詢個資1次,便應賠償非財產上損害1萬元,最高判賠8萬元。

3.舉證責任

由於舉證之所在,敗訴之所在,原告如果想要成功求償,除了引用適當的法條之外,還必須特別注意下列關於舉證的事項:
(1)被告是否有個資外洩的情形?
(2)與原告受損害間有無因果關係?
(3)被告公司有無採行適當安全措施?
筆者將相關判決整理如後,由於個資外洩所造成的金額均較少,無法透過上訴由最高法院統一法律見解。因此,目前法院實務上對於個資外洩相關請求損害賠償事件的舉證責任,仍有些許分歧。

然而筆者認為,隨著時代的發展與商業模式的演變,類似這種個人資料外洩的侵權行為損害賠償,不論是個人資料如何外洩等資料、被告公司是否有依法落實適當安全措施以及相關證據,大多均偏向被告公司一方,而導致民眾有時候求償時,因無法提出確切證明而遭到敗訴的結果。

如果民眾想要向被告公司主張前述權利時,以實務上常見的透過個資、網路訂單的詐騙電話為例,民眾如要維護自身權益,可以透過電話錄音將與詐騙集團的對話錄音存證,同時在後續的訴訟程序中,除了請求法院調查被告公司是否有依個人資料保護法相關規定制定與落實個人資料檔案安全維護計畫,以及所保存的相關紀錄,也可以請求法院適時運用舉證責任轉換的原則,要求由被告公司負擔舉證責任,以減輕原告方舉證的壓力,進而獲得有利的判決結果。

※相關判決見解

(1)被告是否有個資外洩的情形

※認為應由原告負擔舉證責任的判決見解
「原審就本件上訴人(按:即原告)應先就其遭詐騙時之個資係「來自」被上訴人公司網站乙節負舉證之責後,再由被上訴人(按:即被告)就其未違反個資法第27條所定義務,即已採行適當安全措施而無故意或過失一事提出反證,所為之舉證責任分配並未違反前揭規定,即無違背法令之情事。」(臺灣新竹地方法院108年度小上字第29號民事判決
「原告既主張被告違反個人資料保護法規定,致其權利受損,則原告就其有利於己之事實即主張其遭詐騙時之個人資料係來自被告公司網站,及被告違反個人資料保護法規定之事實,即應先負舉證責任。」(臺灣士林地方法院107年度湖簡字第644號民事簡易判決

※認為應由被告負擔舉證責任的判決見解
「駭客入侵營業公司之電腦竊取其大量客戶資訊,要屬常態;反之,侵入個人電腦以竊取個人之消費資料,則屬變態。是應由被告先行舉證證明其確已善盡對於該公司客戶(含本件原告在內)所留消費資料之保存責任,且未遭不法蒐集,而不應推責於原告。」(臺灣士林地方法院107年度湖簡字第110號民事簡易判決臺灣士林地方法院107年度湖小字第401號小額民事判決意旨參照)

2)與原告受損害間有無因果關係

※認為應由原告負擔舉證責任的判決見解
「侵權行為之成立,須行為人因故意過失不法侵害他人權利,亦即行為人須具備歸責性、違法性,並不法行為與損害間有相當因果關係,始能成立,且主張侵權行為損害賠償請求權之人,對於侵權行為之成立要件應負舉證責任。是以,原告自應就被告公司有前開侵權行為之要件舉證。……被告公司對其所保有個人資料已採行符合個資法規定之安全措施,雖有本件個人資料外洩之事件,卻係第三人入侵電腦作業系統竊取所致,實難認被告公司就此具有故意或過失,況且,如附表1-A-2所示之人所受財產上損害,亦因第三人故意不法行為所造成,尚不能認與被告公司個人資料外洩間有相當因果關係。」(臺灣士林地方法院107年度消字第6號民事判決

※認為應由被告負擔舉證責任的判決見解
「被告未依法訂立個人資料檔案安全維護計畫及安全稽核機制致駭客入侵竊取原告個資,抑或因而遭被告公司人員外洩等情,惟此等事實因宥於網際網絡科技浩瀚並參雜人為因素之變異而有高度舉證困難,責令被害人擔負完全之舉證責任實有不公;而被告既為以此交易營利之企業經營者,原告交付個資後即由其支配掌握,其對於個資被竊取或外洩風險之控制及分擔能力俱優於原告,本院斟酌本件訴訟性質、兩造之舉證能力及被告違反義務之情節及風險分配之合理性,而比照我國實務就公害訴訟降低被害人因果關係舉證責任之見解,認被告行為所生之危險已有相當合理確定性,即推定有一般因果關係之存在……被告未依法採取訂立個人資料檔案安全維護計畫及稽核機制等防免個資遭竊取或外洩之安全措施,106年3月間即發生包括原告在內之大量旅客個資外洩情事,被告過失行為與原告個資外洩之損害間具備相當合理關聯,即推定有一般因果關係存在,被告自應提出確切反證始足推翻該因果關係之認定。」(臺灣臺北地方法院106年度北小字第2161號小額民事判決臺灣臺南地方法院臺南簡易庭106年度南簡字第1450號民事判決臺灣士林地方法院107年度湖簡字第110號民事簡易判決意旨參照)

(3)被告公司有無採行適當安全措施

※認為應由原告負擔舉證責任的判決見解
「原告主張依據個資法第29條第1、2項、第28條第2項規定請求損害賠償,自應先由原告就被告公司有違反個資法規定,亦即未就所保有個人資料檔案採行適當之安全措施一事,負舉證之責,若原告先不能舉證,以證實自己主張之事實為真實,則被告就其抗辯之事實即令不能舉證,或其所舉證據尚有疵累,亦應駁回原告之請求。」(臺灣士林地方法院107年度消字第6號民事判決

※認為應由被告負擔舉證責任的判決見解
「原審就本件上訴人(按:即原告)應先就其遭詐騙時之個資係「來自」被上訴人公司網站乙節負舉證之責後,再由被上訴人(按:即被告)就其未違反個資法第27條所定義務,即已採行適當安全措施而無故意或過失一事提出反證,所為之舉證責任分配並未違反前揭規定,即無違背法令之情事。」(臺灣新竹地方法院108年度小上字第29號民事判決
「被告因原告訂購機票而取得原告之姓名、電話號碼及搭乘客機活動等個人資料,依法應採行適當之安全措施以防止該個人資料被竊取或洩漏,被告倘未能舉證證明已盡此注意義務,即可認有過失,原告因而個資被竊取或外洩,自得依個人資料保護法第29條之規定請求被告為財產上或非財產上之損害賠償。」(臺灣臺北地方法院106年度北小字第2161號小額民事判決
「自原告上開個資事後為第三人所竊取或洩漏之事實以觀,足認被告對原告之個資應未採行適當之安全措施甚明。依前揭個資法第29條第1項規定,被告推定為有故意、過失,應就其行為負損害賠償責任;被告如主張免責,即須就其已善盡注意採行適當安全措施,而無故意或過失一事負舉證責任。」(臺灣臺北地方法院107年度北小字第266號小額民事判決

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享!

※你可能還會對這些文章有興趣
1.除了告他還能告誰,個資外洩與系統商責任
2.當個資外洩發生時,企業是否可以向系統商求償?
3.投資個資保護的價值?
4.個人資料保護管理制度(PIMS)比較
5.紐約SHIELD Act

投資個資保護的價值?

前些日子看到一篇報告,算是稍稍解答一些筆者先前內心的疑惑,那就是一間公司投資在個人資料保護(或稱隱私保護),到底能有多少報酬率呢?同時這也是許多企業經營者或高階主管常常會詢問到的問題之一。

思科(CISCO)在2020年1月27日發布其2020年資料隱私基準研究報告(Cisco Data Privacy Benchmark Study 2020),該報告內指出幾個重點:

  • 公司每年度關於隱私的支出平均為120萬美元。
  • 公司每投入1美元平均會獲得2.7美元的收益。
  • 投資隱私對於公司業務則有下列正面的影響:
    1. 減少銷售延遲(Sales Delays)
    2. 實現捷思與創新
    3. 吸引投資人
    4. 減輕資料洩漏損失
    5. 增進營運效率
    6. 建立客戶忠誠與信任度
  • 同時隱私保護水準高的組織在下列情況均有明顯的優勢
    1. 系統恢復期間:減少19%
    2. 受事故影響資料:減少28%
    3. 違規成本:減少10%
    4. 銷售遲延:減少35%
  • 82%的組織認為,選擇供應商或產品時,其是否取得隱私認證(例如APEC CBPR、EU/Swiss-U.S. Privacy Shield或ISO 27701)是一項重要的因素。

隨著歐盟一般資料保護規則(General Data Protection Regulation, GDPR)、加州消費者隱私保護法(California Consumer Privacy Act, CCPA)陸續施行,各國針對個人資料與隱私保護相繼提出的修正法案,亦朝大幅提升裁罰金額、賦予民眾個資權利以及提升民眾對其個資的自主權等方向邁進,未來投資隱私保護的報酬率是否還會繼續攀升,值得拭目以待。同時也建議企業與組織,面對全球的隱私保護浪潮,及早踏浪而行,或許是一筆非常值得的投資。

補充說明:前述所謂銷售遲延,係指與隱私疑慮相關的銷售遲延,通常是因為客戶想瞭解公司的產品或服務中蒐集哪些資料、如何儲存與傳輸資料與哪些人具有存取資料的權限等疑問所導致。

紐約SHIELD Act

2019年7月25日,紐約州州長Andrew Cuomo簽署防止非法侵入與加強電子資料安全法(Stop Hacks and Improve Electronic Data Security Act, SHIELD Act),就既有的紐約資料事故通知法(Data Breach Notification Law)增訂更嚴格的規範。

該法關於事故通知的部分於2019年10月23日生效,資料安全的規範則是於今(2020)年3月24日生效。同時該法也擴大適用範圍,換言之,只要處理紐約州居民的企業均有該法的適用,以下簡單說明該法重點:

  • 私人資料(Private information)定義
    1. 使用者名稱或電子郵件地址,以及可藉此存取帳戶之密碼或安全性問題及答案。
    2. 個人資料(Personal information,任何可識別該自然人的資料)與社會安全號碼(social security number)、駕照號碼、信用卡卡號等財務帳戶資料、生物資料(包含指紋、聲紋、視網膜或虹膜等)。
  • 資料安全保護要求
    1. 合理行政保護措施,包含「指定至少一個人員協調安全計畫」、「識別合理可預見之內部與外部風險」、「評估保護措施的有效性以控制風險」、「管理與訓練人員瞭解安全計畫及程序」、「選擇能夠維持適當保護措施的服務提供者並於契約內約定之」、「適時調整安全計畫」。
    2. 合理技術性保護措施,包含「評估網路與軟體設計中的風險」、「評估資料傳輸、處理與儲存之風險」、「偵測、預防與應對攻擊及系統故障」、「定期測試與監測關鍵控制措施、系統與程序的有效性」。
    3. 合理物理性保護措施,包含「評估資料刪除銷毀與儲存之風險」、「入侵之偵測、預防與應對」、「避免私人資料於蒐集、傳輸或刪除銷毀期間及後續遭未經授權存取或利用」、「在其商業目的不再需要該私人資料後合理期間內,刪除銷毀該私人資料,使該資料無法被讀取及還原。」
  • 至於「員工少於50人」、「最近三個會計年度,年營業額均少於300萬美元」或「根據GAAP公認會計原則,其年末總資產少於500萬美元」的小型企業(Small Business)則應考量其規模與複雜性,以實施其上述保護措施。
  • 同時該法也擴大既有資料事故定義,修改為「未經授權的存取或取得私人資料」與「未經有效授權而存取或取得私人資料」,而損害私人資料之安全性、機密性與完整性,同時企業發生資料事故,則應依該法規範進行通知或履行相關義務。
  • 違反紐約SHIELD Act,紐約檢察長將可依法處以每次違反最高5,000美元之民事罰款。

關於Cookies同意,你有更好的作法

愛爾蘭資料保護委員會( Irish Data Protection Commission)於今年(2020)4月6日發布cookies與類似追蹤技術利用的報告與指引

根據該報告與指引:

圖一、不好的Cookies同意框

本網站使用Cookies來確保您在我們網站上獲得最佳使用體驗。(了解更多)

圖二、較佳的Cookies同意框呈現方式

我們透過使用Cookie來達到網站最佳使用體驗,包括社交媒體功能與流量分析。點擊接受即表示您同意我們使用cookie。要更改Cookie的類型,請點擊「Cookie設定」

然而愛爾蘭資料保護委員會指出,儘管圖二所敘述的資訊較圖一來的清楚完整,然而在「接受Cookies」與「變更cookies」兩個按鈕間,不應過份強調「接受Cookies」的按鈕。

同時,委員會也強調,Cookies同意框的呈現還需特別注意「避免預先勾選同意框」、「避免使用輕推(nudge)技巧」、「不得為綑綁式同意」、「cookies的保存期間」與「同意的撤回或修改」等事項。