字體:小 中 大 |
|
|
|
| 2010/06/02 19:42:01瀏覽2434|回應0|推薦12 | |
「老闆,客戶資料外洩了?該怎麼辦?會不會被客戶控告?聽說賠償金可以高達 2 億元,甚至於更高耶!」資安部門的資安長緊急向老闆報告。 老闆也不是省油的燈,也唸過剛通過的個人資料保護法 ( 以下簡稱個資法 ) 的第 29 條,只要企業能證明沒有故意也沒有過失,就可以免除損害賠償責任,於是就對著資安長說:「放心,上次那家資安業者不是嚷著說個資法通過後,一定要買 XX 產品,我們也買了,也遵守個資法的規範,應該就沒有故意過失,而能免責了吧!」老闆的推論是正確的嗎? ●第一階段:違反個資法規定─適當之安全措施 先介紹一下個資法第 29 條規定:「非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。」 這一條條文的第一階段,就是先判斷公司是否有遵守個資法的規定,還是並沒有遵守個資法的規定,其中最重要的規定,當屬第 27 條的規定,首先來看第 1 項:「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」買了資安的產品,例如防火牆、入侵偵測系統,只是安全措施的一種,還不算符合「適當之安全措施」。 什麼是適當的安全措施呢? 基本上可以先看看政府部門怎麼制訂相關的規定,因為依據個資法第 27 條第 2 項規定:「中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。」如民國 85 年電腦處理個人資料保護法剛通過時,就針對金融業、保險業、證券業暨期貨業,分別制定相關「個人資料檔案安全維護計畫標準」,其主要內容如 ( 一 ) 確保系統的安全性; ( 二 ) 確保系統遭不當入侵、使用及存取; ( 三 ) 建立稽核制度; ( 四 ) 專人負責管理; ( 五 ) 災害防護; ( 六 ) 教育訓練等。所以,為了符合遵守個資法規範之要件,企業必須建立相關的安全維護計畫,即便是個資外洩,也能夠主張免責。
●第二階段:有無故意或過失之判斷 問題就在於許多企業主認為這是購買產品的問題,只要買了資訊安全的產品,就可以免除 2 億元甚至於更高的賠償責任。從上開說明,應該就可以發現單單商品的購買,恐怕並不能符合「適當之安全措施」的要件,還有許多制度上的設計,以及許多人員的訓練等,幾乎企業必須採行某些資訊安全標準,如通過 ISO 27001 認證,才可能符合此一要件,否則有些企業只有稽核制度,有些企業只買了資訊安全設備,有些企業只有資訊安全方面的教育訓練,都無法面面俱到,當發生客戶資料外洩的情形,想要主張業已「適當之安全措施」,恐怕相當困難。 因此,大多數企業主遇到客戶資料外洩的情況,通常就必須研究一下,到底有沒有故意過失。我國個資法採取「過失責任」,也就是說只要企業主對於資料外洩的結果有故意或過失,就必須要負責任。所謂故意,包括直接故意跟間接故意。所謂「直接故意」,是指行為人對於構成犯罪之事實,明知並有意使其發生者;而「間接故意」,是指行為人對於構成犯罪之事實,預見其發生而其發生並不違背其本意。在過失方面,「有認識過失」是指行為人對於構成犯罪之事實,雖預見其能發生而確信其不發生;而「無認識過失」則是指行為人雖非故意,但按其情節應注意,並能注意,而不注意。 舉個例子,員工故意盜賣客戶資料最為常見,過去有些電信業者就將客戶資料賣給討債集團、詐騙集團,這種情況當然就是故意了。所以,實務上也算是常見故意的情況。過失,例如預見系統有個漏洞,有可能駭客會透過此一漏洞進入系統竊取資料 ( 預見其發生 ) ,但是系統管理者卻認為沒有駭客會那麼高竿,不可能藉此入侵系統 ( 確信其不發生 ) ,但最後果然有高超的駭客入侵成功,並將該企業的客戶資料張貼在大陸網站上,這種就是「有認識過失」的具體案例。最後「無認識過失」應該是最常見的,例如企業主應該要時時警惕員工注意資訊安全 ( 應注意 ) ,也有能力聘請專業網管人員、購買資訊安全設備 ( 能注意 ) ,但是卻沒有這麼做 ( 不注意 ) ,那就會成立「無認識過失」。 ●結論 總之,單單購買產品,並無法符合法律「適當之安全措施」的要求,所以不是解決個資法高額賠償責任的唯一法門。如果誤信業者天花亂墜的廣告之詞,恐怕到最後賠償責任不能免,還先白花了一些不必要的資訊安全設備。 其次,大多數的業者恐怕難以達到「適當之安全措施」,所以必須面臨損害賠償之責任,但只要不是故意,也不是過失,還是可以免除其責任,只是無故意或過失,舉證責任之一方在企業主這邊。企業主必須證明沒有員工外洩資料、企業內部確實有一套完整的資訊安全維護措施,而且員工都有具體落實執行,這樣子還是發生不幸的資料外洩結果,就可以主張免責。 【圖解行政法】 》》捍衛權利大作戰 》》圖解親屬繼承─愛情福利社 |
|
| ( 時事評論|社會萬象 ) |
