企業發生個資外洩事件可能肇因於欠缺管理、駭客入侵、員工失職或其他原因。新版個資法規定的民事賠償責任擴及於所有企業及個人,在具體個案中,企業可能還得依法為員工、董事或其他外包廠商的行為負責,應重視風險管理以及透過保險機制分散風險。
個資外洩事件層出不窮,去年經媒體披露信義房屋因為員工的失誤,不慎外洩約5千名求職者的履歷資料。今年初則是傳出有民眾投訴其於燦坤網路商城購物之後接到詐騙電話,疑似發生個資外洩事件,惟經燦坤清查以後表示並無其事,然因主管機關積極介入以及媒體廣泛報導,對商家信譽產生不利影響。
妥善處理個資外洩事件
值得注意的是,因推出《魔獸世界》與《暗黑破壞神》等線上遊戲軟體而風靡全球的美商暴雪公司(Blizzard),於今年8月間在其官方網站上公告駭客入侵事件,亦即有人未經授權而非法存取遊戲玩家用戶的電子郵件地址及加密的Battle.net密碼。
暴雪公司發現上開事件後立即關閉該存取,且與執法單位及資安專家合作展開調查,並未發現任何證據顯示用戶的財務資訊(如信用卡、帳單地址、真實姓名等資料)遭到竊取。
雖然用戶經過加密的Battle.net密碼也被存取,但因暴雪公司使用安全遠程密碼協議(Secure Remote Password Protocol)保謢這些密碼,使得用戶的實際密碼難以破解。為求謹慎起見,暴雪公司建議用戶更改他們的密碼。
暴雪公司的處理方式可作為國內企業危機處理的借鏡,除了應建置妥適的個資安全措施之外,當發生個資外洩事件,亦應儘速採取防止損害擴大的行動,並及時通知可能受影響的用戶做適當的因應處理。總之,企業應誠實且迅速地面對個資外洩事件,以確保用戶個資安全,俾維護企業商譽。
企業是個資外洩事件的頭號箭靶
企業不僅是駭客入侵的目標也是被害人求償的首要對象。例如今年7月上旬驚爆雅虎逾40萬用戶的帳戶及密碼等個資,遭自稱D33DS的駭客團體所竊取,雖然其聲明此舉意在示警而非威脅,但卻造成雅虎用戶的恐慌,目前已有被害人在美國法院提起民事訴訟控告雅虎。
「道高一尺,魔高一丈」,即使企業強化個資安全措施,然而駭客的破解技術也與時俱進,防不勝防。固然違法竊取個資的駭客應負最終的法律責任,惟因網路匿名的特性,追查駭客的行蹤並不容易,且駭客多為年輕無資力的技術專家,即使被警方逮到,也未必能順利求償,因此被害人多會將矛頭指向有錢且不會逃跑的企業,增加企業營運的法律風險。
個資法的民事責任與因應措施
企業如違反個資法規定導致個資遭不法蒐集、處理、利用或其他侵害當事人權利者,依個資法第29條規定須負擔損害賠償責任。
另依個資法第28條規定,被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣5百元以上2萬元以下計算。
對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣2億元為限。
但因該原因事實所涉利益超過新臺幣2億元者,以該所涉利益為限。個資法第34條另訂有集體訴訟機制,以利被害人團結起來主張權利,並節省訴訟費用。
上開規定屬於侵權行為損害賠償的規定,惟依個資法第29條規定,企業如能證明其「無故意或過失」者,則不須負擔賠償責任。
基於此,企業得採取個資安全措施並獲取具公信力之認證機構所制發的個資安全標章以資證明「無故意或過失」。此外,企業亦得於與用戶簽訂的合約中特別約定免責或限制責任約款,以降低契約責任的風險。
為他人行為負擔的民事責任與因應措施
企業在具體個案中可能還得依法為員工、董事或其他外包廠商的行為負責,因此也須採取適當的因應措施,茲分述如下:
1.員工:依民法第188條規定,受僱人因執行職務,不法侵害他人之權利者,由僱用人與行為人連帶負損害賠償責任。但選任受僱人及監督其職務之執行,已盡相當之注意或縱加以相當之注意而仍不免發生損害者,僱用人不負賠償責任。因此企業應強化對員工的選任並監督其業務之執行,特別須落實關於個資安全維護的教育訓練以及管理稽核。
2.董事:依民法第28條規定,法人對於其董事或其他有代表權之人因執行職務所加於他人之損害,與該行為人連帶負賠償之責任。是故企業董事高層亦應重視個資安全維護的政策規劃以及執行狀況的檢討改進,並作為董事會年度討論議案。
3.外包廠商:依個資法第4條規定,受公務機關或非公務機關委託蒐集、處理或利用個資者,於個資法適用範圍內,視同委託機關。因此企業就個資事項委託外包廠商處理者,即視為企業自己的行為,不能全部推由外包廠商負責。個資法施行細則草案第8條更規定委託人應對受託人為適當之監督並列舉監督事項,委託人亦應定期確認受託人執行狀況,並將確認結果記錄之。
採取風險分散的機制
企業就個資外洩亦可考量採取風險分散的機制:第一道是藉由法律與契約要求處理個資事務的員工、董事及其他外包廠商與企業共同負責個資安全之維護,除了對外連帶負責之外,對內亦合理分擔損失,以促使相關人員為避免法律責任而強化個資安全維護的職責。
第二道則是透過保險分擔風險,目前產險業已有規劃「資訊安全責任險」可供企業用戶投保,以轉嫁個資外洩的法律風險。保險公司給付保險金之後,則取得對侵權行為人的求償權。鑑於保險公司具有相當財力以及專業資源,由其集中對個資侵害源頭追訴責任較有效率。
總之,企業針對個資外洩應做到事前預防、事發因應及事後補救,以降低並分散法律風險。
(本文作者現為執業律師)