標籤：個人資料

企業與系統商簽訂契約，要求系統商提供電子商務網站平台及相關服務時，當網站平台的資訊安全系統設計不符合現行科技水準，導致企業因個資外洩所造成賠償消費者金錢、商譽損害等損失，系統商是否須負損害賠償責任？國內最近即有一間公司（原告）向提供不符合現行科技水準網站系統的廠商（被告）成功求償102萬1976元（臺灣臺北地方法院108年度訴字第1721號民事判決），以下簡單介紹該判決的內容。

1.雙方的契約性質為承攬契約

法院認為依照雙方契約內容，原告基於契約所取得的並非僅有旗艦版平台，還包含網址服務、電子發票服務項目、SSL加密憑證、SSL憑證檔嵌入服務、其他系統串接維護費、物流系統串接維護費、系統串接維護費等多項加值服務，所以原告所打算取得的標的是具備上開功能與服務之電子商務網站，而非只是單純地租用網路平臺。同時依照契約內容所記載交件、驗貨與報酬給付等細節，可以認為雙方所約定的客製化網路平臺服務，屬於民法第490條所謂的承攬契約。

2.被告應證明損害的發生為不可歸責於被告事由所導致

基於民事訴訟法第277條舉證責任的分配，債務人抗辯損害之發生為不可歸責於己之事由所致，應由其負舉證責任，如不能舉證證明，即不能免責（最高法院107年度台上字第638號民事判決參照）。因此，本件被告主張個資事故是因為駭客攻擊所導致，屬不可歸責於被告之事由而不須要負責時，便應該由被告舉證證明本件損害的發生屬不可歸責於被告之事由所導致。

3.本件被告沒有盡到事前防禦措施，無法證明被告與損害的發生無關

(1)其他使用被告公司提供平台的業者也曾發生多次個資事故

本件判決認為被告雖說明已提供至少有十數項資安防護措施，並有多重之驗證措施、安全性設定機制，以加強使用者使用系統網站功能之保密性及安全性。然而其他使用被告所提供之電子商務平台之業者，也曾陸續發生遭駭客入侵盜取消費者個人資料之情形，甚至同樣使用被告之網路平台之VIVO公司，其網站之資訊安全保護經OWASP標準檢測為最低等級之F。

(2)被告提供的網站平台不符合現行科技水準

被告雖然辯稱他使用至少十數項資安防護措施，且創設數道繁複的手續，然而被告所提供之網路平台在2年間即發生數次個人資料因駭客攻擊而外洩之事件，法院認為如果真像被告所表示採取國際公司規則之資安防護技術，應不致發生如此多次數駭客入侵之情形，且原告與被告雙方雖沒有約定以OWASP標準作為網頁安全漏洞之檢測依據，然而被告所提供之網站如果符合現行科技水準，依OWASP標準檢測之結果，其所獲得之評價也不應該會落入最低等級之程度，因此難以認為被告所提供之網站平台符合現行科技水準。

(3)被告盡到善良管理人注意義務，才有辦法免責

法院更進一步指出，雖然在現行科技水準下，網路世界中雖無法百分之百避免外來之駭客入侵，然網路平台業者仍須善盡其注意義務，維護網絡環境，建置更為良善之資安系統，降低遭駭客惡意侵入之情事發生。被告作為提供網路平台予他人使用之業者，其應負的契約義務除提供權限管道與客戶使用外，還包括維護網站之資訊安全，只有在被告已善盡其善良管理人之注意義務，針對駭客攻擊之事件才有辦法得以免除責任，然而被告並沒有盡到事前防禦措施，因此仍須負起相關責任。

4.原告得向被告請求賠償項目與金額

經過法院認定，原告可以向被告主張的賠償項目與金額有以下三項

(1)解除契約返還報酬

由於原告依民法第494條解除雙方的承攬契約，因此原告可以依照民法第259條第1款、第2款請求先前已給付予被告的承攬報酬。

(2)賠償第三人和解金

由於原告公司因個資外洩事故，導致原告與訴外人達成和解，並給付和解金。同時該和解金與被告提供網路平台的瑕疵間具有相當因果關係，因此原告可以向被告請求此部分損害的賠償。

(3)商譽損失

原告因為網站平台的瑕疵，導致消費者於公共論壇上抱怨與討論，導致原告公司的商譽有所減損，因此法院認定原告可以向被告請求商譽損失。

至於原告主張其他的損失（例如另外與其他網站系統商簽約的支出、網站系統轉換停止營運等損失），則與被告網站平台的瑕疵無關，因此原告不得向被告求償。

由本件判決來看，被告在抗辯的時候除提出抵銷抗辯外，似乎並沒有提出民法第217條過失相抵的抗辯，有點可惜，因此原告公司就個資事故的發生是否有過失，而使被告得以主張賠償金額的減免，在本判決內並無法得知，之後希望可以在上級審的判決中看到更詳細的論述。

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享！

※你可能會對這些文章有興趣
1.談性向、約炮、多人運動與性隱私的保護
2.個資外洩，該怎麼辦？
3.投資個資保護的價值？

近期陸續發生藝人與網紅被揭露約炮、多人運動或是性向等情形，引起許多風波，從法律的角度來看，前述這些與性有關的資訊原則都屬於個人資料保護法（下稱個資法）第6條所謂的特種個人資料，而不得隨意蒐集、處理或利用。我國立法委員今年也分別提出「侵害個人性私密影像防制條例草案」、「性隱私侵害防制條例草案」與「性隱私影像侵害犯罪防制條例草案」等法案，希望對於性隱私侵害的情形能有進一步的規範，保障受侵害當事人的權益。

個資法第6條第1項

有關病歷、醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得蒐集、處理或利用。但有下列情形之一者，不在此限：
1、法律明文規定。
2、公務機關執行法定職務或非公務機關履行法定義務必要範圍內，且事前或事後有適當安全維護措施。
3、當事人自行公開或其他已合法公開之個人資料。
4、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的，為統計或學術研究而有必要，且資料經過提供者處理後或經蒐集者依其揭露方式無從識別特定之當事人。
5、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內，且事前或事後有適當安全維護措施。 六、經當事人書面同意。但逾越特定目的之必要範圍或其他法律另有限制不得僅依當事人書面同意蒐集、處理或利用，或其同意違反其意願者，不在此限。

而個資法施行細則第4條第4項針對所謂的「性生活」個人資料，其定義為：「指性取向或性慣行之個人資料。」，因此揭露他人性向（性取向）、約炮或多人運動（性慣行）都可能會有個資法第6條特種個資規定的適用，只有在符合該條1到6款法律所規定的事由時，才能蒐集、處理或利用（例如將該等資料公開揭露）。

在媒體接獲爆料者爆料而揭露他人與性有關的資料的情形，其既非法律規定、也不是履行法定義務範圍內，更不可能是為了學術研究或是得到當事人同意，因此可能會有違反個資法第6條的規定。而違反個資法第6條時，可能會有以下民事、刑事與行政責任：

民事責任（個資法第28條第1項與第29條第1項）：損害賠償

公務機關或非公務機關違反個資法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，都應負損害賠償責任。同時受害者請求損害賠償時，還應特別注意個資法第30條關於請求權時效的規定，即必須自知有損害及賠償義務人時起2年內或自損害發生起5年內行使請求民事損害賠償的權利。

刑事責任（個資法第41條）：5年以下有期徒刑，得併科新臺幣100萬元以下罰金

意圖為自己或第三人不法之利益或損害他人之利益，而違反第6條第1項、第15條、第16條、第19條、第20條第1項規定，或中央目的事業主管機關依第21條限制國際傳輸之命令或處分，足生損害於他人者，處5年以下有期徒刑，得併科新臺幣100萬元以下罰金。

行政責任（個資法第47條第1款）：5萬元以上50萬元以下罰鍰，並限期改正

非公務機關有下列情事之一者，由中央目的事業主管機關或直轄市、縣（市）政府處新臺幣5萬元以上50萬元以下罰鍰，並令限期改正，屆期未改正者，按次處罰之：1、違反第6條第1項規定。

另外依照個資法第50條 ，如非公務機關受到前述罰鍰處罰時，非公務機關之代表人、管理人或其他有代表權人，除能證明已盡防止義務者外，否則原則上應受同一額度罰鍰之處罰。以前述案例來說，媒體公司的董事長（代表人）除非能證明其就該公司非法揭露他人性生活特種個人資料有盡到防止的義務，否則當該公司受到罰鍰時，仍可能會受到同一金額的罰鍰處罰。

性隱私保護之立法

除了前述個人資料保護法的規定，我國立法委員也分別於今（2020）年提出「侵害個人性私密影像防制條例草案」、「性隱私侵害防制條例草案」與「性隱私影像侵害犯罪防制條例草案」等法案，「性隱私侵害防制條例草案」較其他草案所規範的「性隱私影像」外，更將「未經同意，將他人與性有關之行為紀錄、傳送、公開或揭露」等行為，定義為性隱私侵害。因此公開揭露他人的性生活等資訊，均可能屬於該「性隱私侵害防制條例草案」所謂的性隱私侵害，而有相關罰則的適用。

同時前述草案也都針對網際網路平臺業者、電信業者與廣播電視事業等有特別規範（例如於時限內移除相關資訊內容），如果違反的話甚至可能會按「每小時10萬元」處以罰鍰。

性隱私無疑是個人最私密的資訊，然而隨著資訊的流通，既有的規範難免有無法周全的時候，也因此會有新的立法與修法不斷推陳出新，而除了不要侵害他人的隱私之外，對於自身的隱私，仍然要多加注意，畢竟一經洩漏，可能是一生的傷害。

※你可能對這些文章會有興趣：
1.個資外洩，該怎麼辦？
2.關於COOKIES同意，你有更好的作法
3.個人資料保護管理制度（PIMS）比較
4.華盛頓州州長簽署臉部辨識法案
5.加拿大隱私專員辦公室提出AI監管方案

隨著網路的普及與電子商務活動的盛行，民眾將個人資料透過各種管道提供給企業時，都會希望企業能夠善盡保管個人資料的義務，作好適當安全維護措施，避免將寶貴的個人資料洩漏給無關的第三人，然而我們仍然時常聽聞聽到媒體報導某某企業發生個資外洩事件，究竟在企業個資外洩的時候，民眾如何透過民事訴訟程序來獲得應有的賠償呢？

個資外洩受害當事人可以主張的權利

1.個人資料保護法（下稱個資法）第29條第1項、第28條第2項

「非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。」（個資法第29條第1項）
「被害人雖非財產上之損害，亦得請求賠償相當之金額；其名譽被侵害者，並得請求為回復名譽之適當處分。」（個資法第28條第2項）

2.民法第184條第1項前段、第195條第1項

「因故意或過失，不法侵害他人之權利者，負損害賠償責任。」（民法第184條第1項前段）
「不法侵害他人之身體、健康、名譽、自由、信用、隱私、貞操，或不法侵害其他人格法益而情節重大者，被害人雖非財產上之損害，亦得請求賠償相當之金額。其名譽被侵害者，並得請求回復名譽之適當處分。」（民法第195條第1項）

3.其他

另外依據具體發生個案內容，實務上也有原告主張下列權利的情形：
「因可歸責於債務人之事由，致為不完全給付者，債權人得依關於給付遲延或給付不能之規定行使其權利。」（民法第227條第1項）
「債務人因債務不履行，致債權人之人格權受侵害者，準用第192條至第195條及第197條之規定，負損害賠償責任。」（民法第227條之1）
「企業經營者違反前二項規定，致生損害於消費者或第三人時，應負連帶賠償責任。但企業經營者能證明其無過失者，法院得減輕其賠償責任。」（消費者保護法第7條第3項）

請求民事損害賠償需要注意的地方

1.請求損害賠償類型（財產上損害與非財產上損害）

如果民眾因個資外洩導致受到財產上的損害或是非財產上損害（例如個資外洩往往可能伴隨人格權、隱私權的侵害，此時即可主張請求非財產上損害，也就是俗稱的精神慰撫金），此時即可分別向被告公司主張前述兩種損害賠償類型。

實務上常看到民眾不清楚可以請求的權利與損害賠償類型，往往僅主張其中之一，而未能另外請求其他損害賠償類型，導致無法成功求償的情形。因此如果評估自身有因個資外洩導致受有財產上損害與非財產上損害，即可向法院表明，以維護自身的權益。

2.請求金額

依個資法請求損害賠償時，原告如果無法證明實際損害時，依個資法第28條第3項，可以請求法院依個資被侵害情節，以每人每一事件新臺幣500元以上2萬元以下計算。因此在無法或難以證明因個資外洩的損害金額時，可以請求法院依照該條計算。

然而上開規定僅規範在個人資料保護法，因此如果原告依其他法條（民法第184條第1項前段）請求損害賠償時，則不受前述個資法「每人每一事件新臺幣500元以上2萬元以下計算」的限制，然而相對來說也必須負擔不一樣的舉證責任。

最後必須說明的是，前述限制適用於「每人每一事件」，因此如果發生多次的個資侵害事件，則是以「個資侵害次數 ╳ 請求金額＝請求總金額」。在臺灣高等法院107年度上易字第188號民事判決中，法院即認為被告每查詢個資1次，便應賠償非財產上損害1萬元，最高判賠8萬元。

3.舉證責任

由於舉證之所在，敗訴之所在，原告如果想要成功求償，除了引用適當的法條之外，還必須特別注意下列關於舉證的事項：
（1）被告是否有個資外洩的情形？
（2）與原告受損害間有無因果關係？
（3）被告公司有無採行適當安全措施？
筆者將相關判決整理如後，由於個資外洩所造成的金額均較少，無法透過上訴由最高法院統一法律見解。因此，目前法院實務上對於個資外洩相關請求損害賠償事件的舉證責任，仍有些許分歧。

然而筆者認為，隨著時代的發展與商業模式的演變，類似這種個人資料外洩的侵權行為損害賠償，不論是個人資料如何外洩等資料、被告公司是否有依法落實適當安全措施以及相關證據，大多均偏向被告公司一方，而導致民眾有時候求償時，因無法提出確切證明而遭到敗訴的結果。

如果民眾想要向被告公司主張前述權利時，以實務上常見的透過個資、網路訂單的詐騙電話為例，民眾如要維護自身權益，可以透過電話錄音將與詐騙集團的對話錄音存證，同時在後續的訴訟程序中，除了請求法院調查被告公司是否有依個人資料保護法相關規定制定與落實個人資料檔案安全維護計畫，以及所保存的相關紀錄，也可以請求法院適時運用舉證責任轉換的原則，要求由被告公司負擔舉證責任，以減輕原告方舉證的壓力，進而獲得有利的判決結果。

※相關判決見解

（1）被告是否有個資外洩的情形？

※認為應由原告負擔舉證責任的判決見解
「原審就本件上訴人（按：即原告）應先就其遭詐騙時之個資係「來自」被上訴人公司網站乙節負舉證之責後，再由被上訴人（按：即被告）就其未違反個資法第27條所定義務，即已採行適當安全措施而無故意或過失一事提出反證，所為之舉證責任分配並未違反前揭規定，即無違背法令之情事。」（臺灣新竹地方法院108年度小上字第29號民事判決）
「原告既主張被告違反個人資料保護法規定，致其權利受損，則原告就其有利於己之事實即主張其遭詐騙時之個人資料係來自被告公司網站，及被告違反個人資料保護法規定之事實，即應先負舉證責任。」（臺灣士林地方法院107年度湖簡字第644號民事簡易判決）

※認為應由被告負擔舉證責任的判決見解
「駭客入侵營業公司之電腦竊取其大量客戶資訊，要屬常態；反之，侵入個人電腦以竊取個人之消費資料，則屬變態。是應由被告先行舉證證明其確已善盡對於該公司客戶（含本件原告在內）所留消費資料之保存責任，且未遭不法蒐集，而不應推責於原告。」（臺灣士林地方法院107年度湖簡字第110號民事簡易判決、臺灣士林地方法院107年度湖小字第401號小額民事判決意旨參照）

（2）與原告受損害間有無因果關係？

※認為應由原告負擔舉證責任的判決見解
「侵權行為之成立，須行為人因故意過失不法侵害他人權利，亦即行為人須具備歸責性、違法性，並不法行為與損害間有相當因果關係，始能成立，且主張侵權行為損害賠償請求權之人，對於侵權行為之成立要件應負舉證責任。是以，原告自應就被告公司有前開侵權行為之要件舉證。……被告公司對其所保有個人資料已採行符合個資法規定之安全措施，雖有本件個人資料外洩之事件，卻係第三人入侵電腦作業系統竊取所致，實難認被告公司就此具有故意或過失，況且，如附表1-A-2所示之人所受財產上損害，亦因第三人故意不法行為所造成，尚不能認與被告公司個人資料外洩間有相當因果關係。」（臺灣士林地方法院107年度消字第6號民事判決）

※認為應由被告負擔舉證責任的判決見解
「被告未依法訂立個人資料檔案安全維護計畫及安全稽核機制致駭客入侵竊取原告個資，抑或因而遭被告公司人員外洩等情，惟此等事實因宥於網際網絡科技浩瀚並參雜人為因素之變異而有高度舉證困難，責令被害人擔負完全之舉證責任實有不公；而被告既為以此交易營利之企業經營者，原告交付個資後即由其支配掌握，其對於個資被竊取或外洩風險之控制及分擔能力俱優於原告，本院斟酌本件訴訟性質、兩造之舉證能力及被告違反義務之情節及風險分配之合理性，而比照我國實務就公害訴訟降低被害人因果關係舉證責任之見解，認被告行為所生之危險已有相當合理確定性，即推定有一般因果關係之存在……被告未依法採取訂立個人資料檔案安全維護計畫及稽核機制等防免個資遭竊取或外洩之安全措施，106年3月間即發生包括原告在內之大量旅客個資外洩情事，被告過失行為與原告個資外洩之損害間具備相當合理關聯，即推定有一般因果關係存在，被告自應提出確切反證始足推翻該因果關係之認定。」（臺灣臺北地方法院106年度北小字第2161號小額民事判決、臺灣臺南地方法院臺南簡易庭106年度南簡字第1450號民事判決、臺灣士林地方法院107年度湖簡字第110號民事簡易判決意旨參照）

（3）被告公司有無採行適當安全措施？

※認為應由原告負擔舉證責任的判決見解
「原告主張依據個資法第29條第1、2項、第28條第2項規定請求損害賠償，自應先由原告就被告公司有違反個資法規定，亦即未就所保有個人資料檔案採行適當之安全措施一事，負舉證之責，若原告先不能舉證，以證實自己主張之事實為真實，則被告就其抗辯之事實即令不能舉證，或其所舉證據尚有疵累，亦應駁回原告之請求。」（臺灣士林地方法院107年度消字第6號民事判決）

※認為應由被告負擔舉證責任的判決見解
「原審就本件上訴人（按：即原告）應先就其遭詐騙時之個資係「來自」被上訴人公司網站乙節負舉證之責後，再由被上訴人（按：即被告）就其未違反個資法第27條所定義務，即已採行適當安全措施而無故意或過失一事提出反證，所為之舉證責任分配並未違反前揭規定，即無違背法令之情事。」（臺灣新竹地方法院108年度小上字第29號民事判決）
「被告因原告訂購機票而取得原告之姓名、電話號碼及搭乘客機活動等個人資料，依法應採行適當之安全措施以防止該個人資料被竊取或洩漏，被告倘未能舉證證明已盡此注意義務，即可認有過失，原告因而個資被竊取或外洩，自得依個人資料保護法第29條之規定請求被告為財產上或非財產上之損害賠償。」（臺灣臺北地方法院106年度北小字第2161號小額民事判決）
「自原告上開個資事後為第三人所竊取或洩漏之事實以觀，足認被告對原告之個資應未採行適當之安全措施甚明。依前揭個資法第29條第1項規定，被告推定為有故意、過失，應就其行為負損害賠償責任；被告如主張免責，即須就其已善盡注意採行適當安全措施，而無故意或過失一事負舉證責任。」（臺灣臺北地方法院107年度北小字第266號小額民事判決）

※歡迎來喵喵科技法律隨筆的粉絲團按讚、追蹤還有分享！

※你可能還會對這些文章有興趣
1.除了告他還能告誰，個資外洩與系統商責任
2.當個資外洩發生時，企業是否可以向系統商求償？
3.投資個資保護的價值？
4.個人資料保護管理制度（PIMS）比較
5.紐約SHIELD Act

2019年7月25日，紐約州州長Andrew Cuomo簽署防止非法侵入與加強電子資料安全法（Stop Hacks and Improve Electronic Data Security Act, SHIELD Act），就既有的紐約資料事故通知法（Data Breach Notification Law）增訂更嚴格的規範。

該法關於事故通知的部分於2019年10月23日生效，資料安全的規範則是於今（2020）年3月24日生效。同時該法也擴大適用範圍，換言之，只要處理紐約州居民的企業均有該法的適用，以下簡單說明該法重點：

• 私人資料（Private information）定義
  1. 使用者名稱或電子郵件地址，以及可藉此存取帳戶之密碼或安全性問題及答案。
  2. 個人資料（Personal information，任何可識別該自然人的資料）與社會安全號碼（social security number）、駕照號碼、信用卡卡號等財務帳戶資料、生物資料（包含指紋、聲紋、視網膜或虹膜等）。
• 資料安全保護要求
  1. 合理行政保護措施，包含「指定至少一個人員協調安全計畫」、「識別合理可預見之內部與外部風險」、「評估保護措施的有效性以控制風險」、「管理與訓練人員瞭解安全計畫及程序」、「選擇能夠維持適當保護措施的服務提供者並於契約內約定之」、「適時調整安全計畫」。
  2. 合理技術性保護措施，包含「評估網路與軟體設計中的風險」、「評估資料傳輸、處理與儲存之風險」、「偵測、預防與應對攻擊及系統故障」、「定期測試與監測關鍵控制措施、系統與程序的有效性」。
  3. 合理物理性保護措施，包含「評估資料刪除銷毀與儲存之風險」、「入侵之偵測、預防與應對」、「避免私人資料於蒐集、傳輸或刪除銷毀期間及後續遭未經授權存取或利用」、「在其商業目的不再需要該私人資料後合理期間內，刪除銷毀該私人資料，使該資料無法被讀取及還原。」
• 至於「員工少於50人」、「最近三個會計年度，年營業額均少於300萬美元」或「根據GAAP公認會計原則，其年末總資產少於500萬美元」的小型企業（Small Business）則應考量其規模與複雜性，以實施其上述保護措施。
• 同時該法也擴大既有資料事故定義，修改為「未經授權的存取或取得私人資料」與「未經有效授權而存取或取得私人資料」，而損害私人資料之安全性、機密性與完整性，同時企業發生資料事故，則應依該法規範進行通知或履行相關義務。
• 違反紐約SHIELD Act，紐約檢察長將可依法處以每次違反最高5,000美元之民事罰款。