●案例事實

「老闆，剛剛有客戶客訴資料疑似外洩了？該怎麼辦？」員工緊急向老闆報告。

老闆腦中呼嘯地閃過個人資料保護法 ( 以下簡稱個資法 ) 剛修正通過的印象，聽說必須負擔高額的賠償，馬上指示員工「裝傻」、「嚴詞否認」，老闆的作法是正確的嗎？個資法新時代的來臨，企業主該怎麼因應呢？

●個資法的修正與適用範圍

過去電腦處理個人資料保護法在適用上有許多問題，諸如適用的對象只限於特定、少數的行業，導致民眾個人資料的保護不周延，也直接觸動了這次修法的引子。立法院大幅度修正並更名為個人資料保護法，未來適用個資法的行業不再只是特定、少數的行業，只要是公務機關以外之自然人、法人或其他團體，均屬適用之範圍。 ( 個資 § 2 ⑧ )

所以，某知名博 XX 公司因客戶資料外流而引發的訴訟事件，過去只能適用民法第 195 條隱私權遭侵害而主張慰撫金，未來將可直接適用個資法。 ( 台北地院 97 訴 1683) 因此，企業主當然要注意個資法的內容與發展。

●客戶資料的安全措施

一、建立安全措施之義務

有關客戶資料的安全措施，應該是本次修法的重點所在，也是許多企業主煩惱的核心項目之一。舊法的規定，企業主只要找個專人來辦理客戶資料的安全維護事項即可，實務上的運作，只要有網管人員，建立一些基本的客戶資料保管規則，大致上即符合個資法的規定。但是新法通過後，則更為嚴謹，或者對於企業主而言，可以用「嚴苛」二字來形容，也就是保有個人資料檔案者，應採行適當的安全措施，來防止個人資料遭到竊取、竄改、毀損、滅失。(個資§27Ⅰ)這一次更進一步規定，主管機關可以指定企業主訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。(個資§27Ⅱ)

二、違反安全措施之責任

對於企業主而言，訂定安全維護計畫是會提高企業營運成本，企業要花前來遵循辦理的意願恐怕並不會很高。為此，個資法特賦予企業行政上以及民事上的責任，行政方面的責任，未依主管機關之要求訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法，一開始先限期改正，屆其未改正，就會按次連續處罰新台幣2萬元以上，20萬元以下之罰鍰。(個資§48④)

三、主管機關的檢查權

或許企業主抱持著僥倖的心理，反正到底有沒有訂定相關維護計畫與處理方法，主管機關天高皇帝遠，怎麼可能會知道？這次修法，針對主管機關的「檢查權」有更明確的規範，當符合一定要件時，就可以進入企業進行檢查，還可以要求提供相關證明資料及扣留、複製之，不配合者，可以透過罰鍰的方式，迫使企業提供相關資料。(個資§22、49)而且企業的代表人、管理人或其他有代表權人，也要受同一額度的罰鍰，通常被罰的人就是老闆。(個資§50)

四、高額的民事責任

企業面臨民事責任的情形，最常見者當然就是資料外洩，無論外洩的原因是駭客入侵、系統出錯，或員工監守自盜，只要違反個資法的規定，就必須負擔損害賠償責任。雖然個資法規定，只要企業能證明其無故意或過失者，就可以免責，但是要符合無故意或過失的要件，恐怕相當困難。(個資§29)

這次修法加重企業的賠償金額，從以前最高總額2千萬元為上限，大幅度增加到2億元(多數當事人權利受侵害事件)，實在不容小覷。而且這2億元還不是最上限，只要該原因事實所涉利益超過2億元者，以該所涉利益為限，例如能告證明損害金額是5億元，最高就要賠償5億元。而且基於個人資料遭到竊取的損害，其損害的實際金額很難證明，為降低被害人的舉證責任，被害人得請求法院依照侵害的情節，以每人每一事件新台幣5百元以上，2萬元以下計算。(個資§28)

舉個例子，如果是信用卡業者的客戶資料因為駭客入侵而遭到資料外洩，有些客戶的帳戶金額遭到轉帳，這些客戶可以證明的損失金額是2千萬元，其他客戶3萬人，但尚未有具體損害，若法院認定這3萬人的每人損失額以5千元計算，即必須賠償1億5千萬，加上剛剛的損失金額2千萬元，總計賠償1億7千萬元。

●結論

新個人資料保護法的通過，對於以蒐集客戶資料為理所當然的業者，將有莫大的衝擊，所涉及的法律議題也相當繁多與複雜，除了本文所提到的安全措施、檢查權、民事及行政的責任外，還有許多必須要釐清的觀念，諸如個人資料的範疇、通知義務、特種資料(敏感性資料)之蒐集、處理及利用等，都是企業者必須要立即瞭解、短時間內就必須配合上路的修法改革，相關內容未來再逐步地一一介紹。