專門為人打點造型的晶點公司成立已有多年,累積許多客戶並存有客戶個人資料於公司電腦內之資料庫,因該公司之客戶多為歌手、演員等知名人物,為保護客戶資料,便請電腦工程人員阿誠在公司電腦內之資料庫檔案上鎖加密且安裝防止木馬程式植入電腦之軟體,以上述兩種防護作為客戶個人資料的安全維護措施並有定期維護。嗣後阿誠為電腦做例行檢測時發現資料庫無端遭駭客入侵,且就駭客入侵所留下之痕跡來看,資料已有被盜取。請問晶點公司對上述事件是否可主張其無損害賠償責任?如何主張?
按個人資料保護法第二十九條之規定:「非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限」本規定採過失責任主義,惟為落實本法保護人格權之意旨,故在立法上減輕受害當事人之舉證責任,亦即,對於非公務機關故意、過失之認定,容許非公務機關自行舉反證推翻以證明其無過失,即舉證責任倒置(推定過失)主義,非公務機關若能舉證證明其無故意、過失,始得免除損害賠償責任。反之,若非公務機關無法證明其無故意或過失者,受害當事人則能比照本法第二十八條第二項到第六項之規定請求損害賠償。
以本案例而論,晶點公司電腦資料庫遭駭客入侵而導致客戶個人資料被盜取,就個人資料保護法以觀,晶點公司就前述資料已有採行適當之安全維護措施,其後發生駭客入侵事件亦並非由於晶點公司之故意或過失行為所致,因此,依個人資料保護法第二十九條第一項規定,晶點公司可主張其無損害賠償責任。惟就前述個人資料保護法之規定及意旨而言,晶點公司若欲主張其就本次事件無損害賠償責任,仍應自行舉證其於本次事件並無故意或過失,申言之,晶點公司可依個人資料保護法施行細則第九條規定舉證其已在技術上及組織上已為必要措施,具體言之,其可舉證已履行下列事項:
一、成立管理組織,配置相當資源。
二、界定個人資料之範圍。
三、個人資料之風險評估及管理機制。
四、事故之預防、通報及應變機制。
五、個人資料蒐集、處理及利用內部管理程序。
六、資料安全管理及人員管理。
七、認知宣導及教育訓練。
八、設備安全管理。
九、資料安全稽核機制。
十、必要之使用記錄、軌跡資料及證據之保存。
十一、個人資料安全維護之整體持續改善。
反之,若晶點公司未能依法舉證證明其並無故意或過失,則受害當事人仍得爰依個人資料保護法第二十九條第二項規定,比照同法第二十八條第二項第六項規定,向晶點公司請求損害賠償。本文為律師投稿文章呂錦峯律師/海灣國際法律事務所