从法院实务看业者建立个人资料档案安全维护计画之重要性（台湾）

近年来，骇客入侵业者系统窃取消费者个资进行诈骗之案例时有所闻，由于诈骗案件侦办及求偿不易，消费者往往转而向外泄资料之业者求偿。依照个人资料保护法（下称「个资法」）之规定，业者保管个人资料的责任是采「过失推定」原则，即：须由业者举证证明自己没有过失，始能免责。因此实务上，发生个资外泄事件时，业者如何证明「自己已依个资法之要求，采行适当之安全措施」（故而对于事故之发生无过失），即相当重要。

一、个资法所规范的「个人资料档案安全维护计画」是什么？

依现行个资法，任何保有个人资料档案之公司或个人（下称「业者」）皆应采行适当之安全措施，防止其所保有之个人资料被窃取、窜改、毁损、灭失或泄漏；而经主管机关指定之特定业别之业者，并应依相关规定订定个人资料档案安全维护计画或业务终止后个人资料处理方法（下称「个资安全计画」）（个资法第27条参照）。迄今，已有相当多产业经各个目的事业主管机关指定应订定个资安全计画，包括金融、制造业及技术服务业、观光业、交通运输业，以及去年公布之综合零售业及数位经济相关产业等，该等业者一旦符合一定条件（例如达到一定资本额或保有消费者个资达一定数量），即须依主管机关公告之办法订定个资安全计画。业者拟定的计画中必须记载（主管机关的办法中所）指定之事项；业者并可参考主管机关公布之范本来拟定。

二、法院判决简析

法院实务判决中，不乏业者因未订定个资安全计画或采行适当安全措施，而遭判定须赔偿受害消费者之案例，如台湾高等法院112年度上字第656号民事判决，法院以业者未能证明于个资外泄前已就消费者个资采取适当安全措施或防护作为，而认定业者具有过失，违反个资法第27条及相关产业之个人资料档案安全维护管理办法，并认定与消费者受有精神上痛苦具相当因果关系，判决业者须就消费者之非财产上损失进行赔偿。

事实上，在先前类似案例中，亦常见业者因未建立个人资料档案安全维护计画，未能举证已尽相关责任而无法推翻过失推定（参如台湾台南地方法院106年度南简字第1450号判决、台湾台北地方法院106年度北小字第2161号小额民事判决）；反之，若业者能够举证已建立并落实个资安全计画，采行合于个资法所定之安全措施，则有机会能推翻过失推定（参台湾士林地方法院107年度消字第6号民事判决）。以上皆凸显业者建立并落实完善之个人资料档案安全维护计画的重要性。

三、小结

去年（112年）个资法修正，就未采行适当安全措施或未订定个资安全计画者之行政罚锾已提高至新台币（下同）二万元以上二百万元以下，经主管机关命限期改正而未改正者，更可处十五万元以上一千五百万元以下罚锾。企业主们应更加重视建立并落实个资安全计画，寻求专业人员协助订定相关计画与内部作业规范，并确实留存相关执行纪录，当面对消费者或客户进行相关主张时，方可举证已善尽相关义务，降低潜在的赔偿风险。