從法院實務看業者建立個人資料檔案安全維護計畫之重要性（臺灣）

近年來，駭客入侵業者系統竊取消費者個資進行詐騙之案例時有所聞，由於詐騙案件偵辦及求償不易，消費者往往轉而向外洩資料之業者求償。依照個人資料保護法（下稱「個資法」）之規定，業者保管個人資料的責任是採「過失推定」原則，即：須由業者舉證證明自己沒有過失，始能免責。因此實務上，發生個資外洩事件時，業者如何證明「自己已依個資法之要求，採行適當之安全措施」（故而對於事故之發生無過失），即相當重要。

一、個資法所規範的「個人資料檔案安全維護計畫」是什麼？

依現行個資法，任何保有個人資料檔案之公司或個人（下稱「業者」）皆應採行適當之安全措施，防止其所保有之個人資料被竊取、竄改、毀損、滅失或洩漏；而經主管機關指定之特定業別之業者，並應依相關規定訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法（下稱「個資安全計畫」）（個資法第27條參照）。迄今，已有相當多產業經各個目的事業主管機關指定應訂定個資安全計畫，包括金融、製造業及技術服務業、觀光業、交通運輸業，以及去年公布之綜合零售業及數位經濟相關產業等，該等業者一旦符合一定條件（例如達到一定資本額或保有消費者個資達一定數量），即須依主管機關公告之辦法訂定個資安全計畫。業者擬定的計畫中必須記載（主管機關的辦法中所）指定之事項；業者並可參考主管機關公布之範本來擬定。

二、法院判決簡析

法院實務判決中，不乏業者因未訂定個資安全計畫或採行適當安全措施，而遭判定須賠償受害消費者之案例，如臺灣高等法院112年度上字第656號民事判決，法院以業者未能證明於個資外洩前已就消費者個資採取適當安全措施或防護作為，而認定業者具有過失，違反個資法第27條及相關產業之個人資料檔案安全維護管理辦法，並認定與消費者受有精神上痛苦具相當因果關係，判決業者須就消費者之非財產上損失進行賠償。

事實上，在先前類似案例中，亦常見業者因未建立個人資料檔案安全維護計畫，未能舉證已盡相關責任而無法推翻過失推定（參如臺灣臺南地方法院106年度南簡字第1450號判決、臺灣臺北地方法院106年度北小字第2161號小額民事判決）；反之，若業者能夠舉證已建立並落實個資安全計畫，採行合於個資法所定之安全措施，則有機會能推翻過失推定（參臺灣士林地方法院107年度消字第6號民事判決）。以上皆凸顯業者建立並落實完善之個人資料檔案安全維護計畫的重要性。

三、小結

去年（112年）個資法修正，就未採行適當安全措施或未訂定個資安全計畫者之行政罰鍰已提高至新臺幣（下同）二萬元以上二百萬元以下，經主管機關命限期改正而未改正者，更可處十五萬元以上一千五百萬元以下罰鍰。企業主們應更加重視建立並落實個資安全計畫，尋求專業人員協助訂定相關計畫與內部作業規範，並確實留存相關執行紀錄，當面對消費者或客戶進行相關主張時，方可舉證已善盡相關義務，降低潛在的賠償風險。