宇恒勞資錦囊部落格

壹、【新聞報導摘錄】 
（資料來源: 2018年03月14日，蘋果日報，記者李奕緯、李姿慧／台北報導）

台北一名女子於106年間透過華信航空公司網站訂購機票，嗣後卻接到詐騙電話，誑稱為華信航空公司的客服人員，與她核對姓名、電話、購買機票之金額、日期等個人資料，取得信任後，隨即誘騙她操作ATM匯出52萬。該女子認為因對方說出她的詳細個人資料而上當，因而向華信航空公司以違反個人資料保護法請求損害賠償。經台北地方法院判決華信航空公司敗訴，需賠償新台幣2萬元，全案因華信航空公司未提起上訴而確定。
（原文網址: https://tw.appledaily.com/new/realtime/20180314/1314702/，判決原文請見臺北台北地方法院106年度北小字第2161號判決）

貳、【宇恒法律事務所叮嚀】
一、近年來，因網路科技之便利，消費者愈來愈傾向使用網際網路等電子商務消費，然而個資外洩的風險卻也因此增加，對此個人資料保護法（下稱個資法）特別要求各行各業均須採取「適當之安全措施」，來防止個人資料被竊取、竄改、毀損、滅失或洩漏，至於何謂適當程度，則授權中央目的事業主管機關訂定相關計畫及處理方法（個資法第27條第1項、第3項參照）。以華信航空所屬之民用航空業為例，其中央目的事業主管即交通部於104年1月1日頒佈施行「民用航空運輸個人資料檔案安全維護計畫」（下稱維護計畫），要求經營定期航線之中外籍民用航空業者制定個人資料檔案安全維護計畫，以防止個人資料外洩。且除了民用航空業者外，各主管機關也針對工程技術顧問業、票據交換所、觀光業、旅行業、網際網路平台業等業者，頒佈了「個人資料檔案安全維護計畫」。
二、在本案例中，法院認為，由於華信航空公司未依循交通部所公佈施行的維護計畫保護消費者個人資料，因而認定華信航空公司未盡到個資法第27條適當安全措施法定義務。即便華信航空公司於接獲警方通報「後」，隨即重新檢視網站交易流程、進行病毒與妨害掃描及網頁自動防護等舉措，法院仍認為無法改變違反法定義務的事實。因此，非公務機關有無依循主管機關所頒佈之「安全維護計畫」，建立個資防護安全措施，未來可能成為法院判斷非公務機關是否善盡法定義務的重要準則，業者不可不慎。
三、須進一步強調的是，雖然依個資法第28條請求損害賠償責任，仍須以損害及個資遭外洩之間具有因果關係為前提，但法院在本案中以：「被告未依法訂立個人資料檔案安全維護計畫及安全稽核機制致駭客入侵竊取原告個資，抑或因而遭被告公司人員外洩等情，惟此等事實因宥於網際網絡科技浩瀚並參雜人為因素之變異而有高度舉證困難，責令被害人擔負完全之舉證責任實有不公；而被告既為以此交易營利之企業經營者，原告交付個資後即由其支配掌握，其對於個資被竊取或外洩風險之控制及分擔能力俱優於原告」，認為消費者在因果關係舉證責任上屬於弱勢，而華信航空公司在風險控制及分擔能力上均優於原告，進而認為應降低消費者因果關係上的舉證責任，華信航空公司既然未依法採取防免個資外洩的安全措施，則得推定華信航空公司的違法行為，與消費者個資外洩間具有「相當合理確定性」而具備因果關係，除非企業對於無一般因果關係存在乙事，提出確切之反證證明。
四、由上可知，各行各業務必熟悉並遵循目的事業主管機關頒佈之「個人資料檔案安全維護計畫」，若像本件華信航空等到出事後方補破網，在訴訟舉證上會非常辛苦喔！且縱使當事人無法證明實際損害，依照個資法第29條第2項準用第28條第3項規定，仍可至少請求每人每一事件500元以上2萬元以下的賠償金。