周逸濱、魯忠翰／iRent個資外洩：消費者如何求償？如何讓事件不再發生？

最近，iRent發生用戶個資傳外洩的事件，雖然還在調查中，但依照新聞所述：「公總表示，台北市區監理所今天下午已派員到和雲行動服務股份有限公司辦理行政檢查，如有違反《個人資料保護法》相關情事將要求限期改正，屆期未改正，將依個人資料保護法按次處兩萬元以上20萬元以下罰鍰」。

問題是，除了杯水車薪的行政罰鍰外，個資被外洩的消費者，能不能直接向業者請求賠償？而法律又是怎麼要求業者與政府，保護我們的個資呢？

個資被外洩的用戶，該如何求償？

無論是單純個資外洩，抑或外洩之後又遭詐騙的消費者，能不能請求賠償呢？

依照《個人資料保護法》的規定¹，還是有機會可以請求損害賠償。由於在這類大規模個資外洩事件當中，被害人很難證明實際發生的損害，所以還能請求法院，依侵害情節酌量賠償每人每一事件五百元以上兩萬元以下的金額，並非一定要被詐騙完成才能請求賠償。

但是，要請求賠償還是有一定難度。

因為世界上很難存在一個系統可以百分之百不被侵入，因此不能單純以系統被入侵，就直接推論業者個資保護有瑕疵，或進而要求業者賠償。於是消費者請求賠償的關鍵在於：必須證明業者對於個資保護的「計畫」或是個資保護的「執行」有任何不足或瑕疵。

在過去最著名的案例，就是「雄獅旅遊案」。

在雄獅旅遊案中，法院認為「不能僅以被告公司電腦系統遭他人惡意入侵竊取資料一事，遽而推論其違反《個資法》規定或管理上有所疏失」，所以法院雖進一步調取雄獅安全維護計畫、實際執行層面等資料來確認，但最終因為無法證明雄獅安全維護計畫及計畫執行有任何不足之處，進而判決消費者敗訴²。

所以從上述討論來看，個資被外洩的用戶要依照《個資法》請求賠償，並沒有想像中容易。

透過消費者保護法求償？

既然主張《個資法》有困難，眾多消費者是否可以轉而依照《消費者保護法》來請求損害賠償？這裡要請先看看《消費者保護法》的對應規定：

從事設計、生產、製造商品或提供服務之企業經營者，於提供商品流通進入市場，或提供服務時，應確保該商品或服務，符合當時科技或專業水準可合理期待之安全性。

簡單講，法條雖然規定，業者要確保商品或服務，符合當時科技或專業水準，在合理期待下擁有一定的安全性，但業者如果確實證明，其已採行合理的保護措施——特別是租車業者，若有使用加密系統、防護系統、定期通知變更密碼等措施，能舉證相關防護已符合當代的保護水準，就可能無須賠償。

問題來了，如果消費者用《個資法》或《消保法》請求賠償都有難度，那該如何要求業者改善「個資保護」呢？

亡羊補牢，企業內部應落實TPIPAS管理制度

所謂TPIPAS是指：「台灣個人資料保護與管理制度」（Taiwan Personal Information Protection and Administration System, TPIPAS）這是由政府推動的個人資料管理制度。

具官方網站指出，TPIPAS的設計是基於我國《個人資料保護法》、OECD、APEC、GDPR對於個人資料保護要求的重要原則，從法律面、管理面與程序面確保組織有充分且適當的管理與控制程序；組織若能導入TPIPAS，可增強客戶、消費者等利害關係人對於組織管理個人資料的信心。

這項制度的運作方式，是讓業者透過「計畫—執行—檢查—行動」（Plan-Do-Check-Act）循環的管理程序，先盤點需要保護的個人資料範圍，並確定法規環境，設定管理目標、擬定計畫執行。

但一切並不是執行完就沒事了，還須針對執行過程中發現的問題持續檢查、修正，再依照修正方向重新擬訂計畫、執行、檢查、修正，達成個人資料保護制度的正向循環。

在此，簡要列舉TPIPAS的要求如下（讀者也可自行對照，相關業者的作法是否足夠）：

1. 要求業者建立、維護個人資料檔案清冊及流程說明（至少可以先盤點、確認業者有哪些個人資料，並且分別採取甚麼保護方式）。
2. 要求業者事前識別個資外流風險，並提前採取對策。
3. 要求業者利用個人資料進行行銷前，提供當事人至少首次免費表示拒絕接受行銷的方式。且當事人可隨時拒絕接受行銷的管道，並於表示拒絕接受後，立即停止利用其個人資料為行銷的用途（尊重當事人，有權拒絕個資被用於行銷）。
4. 業者必須保存個資處理的互動記錄（如果未來有爭議，法院可以調取這些資料判斷業者是否違法，如果沒有詳細個案處理的紀錄，等於只審查抽象的管理計畫，而計畫通常都很完美，消費者難以舉證業者管理何處有所不足）。

外部監督的執法應落實

除了業者內部要落實TPIPAS，外部法規環境該怎麼調整呢？我們的《個資法》是否有調整的必要呢？

目前《個資法》的規定，其實已明確要求個資蒐集不得逾越特定目的之必要範圍，並應與蒐集之目的具有正當合理之關聯，客觀上不允許業者包山包海蒐集個資（第5條）、也必須採取適當的安全措施（第19條）、更要制定安全維護計畫（第27條）、稽核檢查（第22條），規範上並沒有明顯的缺漏。

但問題是，執法的強度與落實程度，還有資料蒐集者跟民眾本身對於個資、隱私的重視程度不同，就會影響整體外部法規環境對於個資保護的力道。

對此，立委賴品妤表示，《個資法》目前是由各目的的主管機關主責，衍生出監督單位不同、權責不清互踢皮球的狀況，新內閣上任之際，他呼籲政府盡快成立獨立專責保護機關。除此之外，他還認為數位部在個資外洩事件上鮮少有主動角色，宛如技術外包單位。

除此之外，提高罰鍰的額度、強化訴訟機制，讓業者會怕、民眾願意起身捍衛權利，也是個可以思考的方向。如此，更能促使業者願意事前願意投入成本，落實資安與個資保護，以降低被裁罰跟求償跟求償的風險。

• 文：周逸濱，擅長將智財（IP）的管理、授權及維權，結合營運模式與產業特性，導入到文創、娛樂、新創、電商、媒體行銷及上市櫃企業，滿足客戶實際需求。粉絲團：威律法律事務所；魯忠翰，執業律師，專長為影視娛樂IP授權。
• 更多：FB｜IG｜Web

• 這邊是《個資法》第29條第2項準用第28條的規定。
• 請參台灣士林地方法院107年度消字第6號民事判決：「經與交通部觀光局所發布之旅行業個人資料檔案安全維護計畫範本（見本院卷二第68頁至第74頁）比對後，內容大致相符，包含個人資料處理及利用管理措施、事故預防、通報及應變機制、資料安全管理（包含員工、設備）及相關稽核機制等項目，均有明定，其中關於指定員工定期清查所保有之個人資料、設定員工不同權限以分別控管掌握之個人資料，以及輸出入個人資料時均需使用識別密碼、定期變更密碼等方式作為加密機制等，亦符合前揭旅行業個人資料檔案安全維護計畫及處理辦法第4條第1項、第13條第1款、第14條第2款等規定」、「被告公司亦進行內部稽核、資料安全人員職業訓練，並定期變更電腦系統作業密碼等情，有被告公司向交通部觀光局提出之內部稽核報告、系統指令頁面、職業訓練等資料為憑。