臺灣個資外洩頻傳，該如何使個資法發揮更大保護力？消基會提個資修法三大建議

根據媒體報導，全臺灣2,300萬民民眾個資，只需要15萬元就可以買到，這意味著，個資外洩已經是多麼嚴重的事情。不只如此，從近期發生的多起個資外洩事件來看，不管外洩的是華航300萬筆會員資料、iRent（和雲行動服務公司）的40萬筆客戶資料，格上租車的訂單資料曝險，甚至是微風百貨的90萬筆會員資料爆發相關的個資外洩事件，都可以發現，企業發生個資外洩的事情，已經是另外一種常態。

站在保護一般民眾與消費者立場的消基會，也是臺灣第一個，在雄獅旅行社爆發外洩旅客個資時，代表外洩個資民眾進行符合個資法規定的團體訴訟單位。現任消基會副董事長徐則鈺律師也是當年代表外洩個資民眾向雄獅旅行社提出團體訴訟的義務律師。

徐則鈺認為，真正要讓個資法可以保護到民眾的權益，並讓企業深自警惕的話，《個資法》應該參考消保法第七條的規定進行修法，必須由企業針對民眾個資沒有外洩進行舉證，而不應該由相對較為弱勢的消費者進行舉證。他說：「個資法修法的第一件事情，應該就是要做到：個資受駭者和企業的舉證責任轉換。」

他也表示，個資法的賠償金額過低，加上團訟門檻高，個資外洩的受害者權益往往難以伸張。他進一步解釋，過往消費者必須舉證，的確因為外洩的個資，造成個人的權益損害，但舉證難度非常高。

徐則鈺舉例說明，消基會之前曾經針對雄獅旅行社外洩民眾個資事件，提出臺灣第一起個資團體訴訟。不過，消基會在一審判決時敗訴，其中的一個重要原因在於，法官採信雄獅旅行社的說法，因為雄獅旅行社有撰寫《個人資料檔案安全維護計畫書》並報請交通部核備，就表示雄獅旅行社已經善盡企業保護個資之責。

徐則鈺表示，對於許多資安專家而言，書面的個資防護計畫和實際上的作為是否一致，都應該要進一步確認實務的個資保護作為是否有疏失，才可以真正清楚知道，雄獅旅行社是否有做好個資保護，書面的防護計畫不應該代表該公司保護個資的作為。

其次，徐則鈺表示，《個資法》修法應該提供相關的罰則，才能讓企業警覺，一旦沒有做好個資保護，就必須負擔高額賠償，才會讓企業願意投資更多資源落實個資保護。

最後，徐則鈺明白指出，過往個資保護沒有專責獨立的個資保護機關，所有政府部門彼此都是互踢皮球，互說彼此不是個資外洩事件的主管機關，也造成外界普遍認為，臺灣在個資保護方面的作為非常落後。因此，他認為，政府部門儘速成立保護個資的獨立專責機構應該是當務之急。

公路總局對iRent外洩個資開罰20萬元

捍衛消費者權益的消基會，日前相當罕見的針對iRent（和雲行動服務公司）的40萬筆客戶資料外洩事件，對外發布新聞稿進行譴責，尤其是，該起個資外洩事件發生的原因，是因為iRent的雲端資料庫在網路上遭到公開，不設防個資資料庫形同在網路上裸奔，而只要知道該資料庫IP位址的所有人，都可以堂而皇之的下載資料庫的個資內容。而揭露此資安事件的國外資安研究員，在與iRent發電子信件聯繫未果，轉而聯繫數位發展部部長唐鳳後，此事才獲得重視與處理。

消基會也嚴正譴責iRent對雲端個人資料保全的輕忽程度，因為消費者必須下載iRent的App才能使用相關的租車服務，但iRent對於雲端防駭和資料保全的作為卻如此輕忽，與其現代化經營形象有天壤之別，更讓民眾對於和iRent互動往來感到憂心。

過往，只要有個資外洩案件一經媒體報導，行政院通常會要求受駭單位的目的事業主管機關，指定由專家或者是由一月底掛牌的數位發展部所轄資安研究院相關人員，一同進行行政檢查。

該起案件曝光後，交通部公路總局臺北市區監理所便在2月2日，派人赴iRent進行現場查核，調查時也發現，iRent並未能依規定提供《汽車運輸業個人資料檔案安全維護計畫書》，且現場也無法說明確切可能洩漏客戶個資的筆數。因為iRent後來也未能於限期內配合改善，目的事業主管機關交通部公路總局臺北市區監理所也將依照職權，對iRent開罰最高罰金20萬元。

建議一：儘速成立個資保護專責獨立機關

臺灣的常見資安事件，大致可以分成一般駭侵事件以及個資外洩事件，不過，一般駭侵事件不一定涉及個資外洩；但個資外洩事件，除了內神通外鬼的內賊外，通常跟駭侵事件脫離不了關係。

面對一般的駭侵事件，許多人第一直覺會認定，該起駭侵事件應該是受到「資通安全管理法」的規範與管轄，但臺灣的「資通安全管理法」目前只規範公務機關以及特定非公務機關（泛指八大關鍵基礎設施服務提供者），所以不管是華航、iRent、格上租車或是微風百貨等民營業者，都不在「資安法」納管範圍之中。

但從《電腦個人資料保護法》修正成《個人資料保護法》迄今已經滿十年的《個資法》，即便期間也經歷幾次修法，但一直未能解決《個資法》施行過程中，各界共同面臨的真正核心問題，那就是：到底哪個機關才是個資法真正的主管機關呢？一旦爆發個資外洩事件時，到底應該要找哪個機關負責呢？

徐則鈺表示，目前臺灣並沒有個資主管機關，國發會是負責個資法的法規解釋，一旦有企業爆發個資外洩事件，根據《個資法》的規定，將會是由「目的事業主管機關」對其進行行政檢查並予以裁罰；但平常時候，這些目的事業主管機關不會主動關心，企業是否有落實個資保護等相關事宜。

他認為，因為臺灣還沒有成立個資專責機關，所以，只能等到有發生個資外洩事情時，再看看發生個資外洩的企業是哪一個行業別，再由該行業別的目的事業主管機關出面進行行政檢查，但平常這些目的事業主管機關是不會主動找企業麻煩、去關切個資保護的落實程度。

徐則鈺也說：「這些目的事業主管機關進行的行政檢查如果有用，詐騙就不會這麼橫行了！」行政檢查沒用，因為連企業都不怕，消極的作為只會助長詐騙集團聲勢。

就像是，公路總局用公路法懲罰iRent外洩個資，但這樣的行政處罰，跟《個資法》或是個資保護，到底有什麼關係呢？

很多政府部門都是依法行政，徐則鈺也同意，如果個資保護不是某個機關的依法行政的範圍內的話，相關的部會機關也不會逾越相關權責。而目前，有許多的個資外洩事件，通常都是網站資料庫外洩，去年剛成立的數位發展部也是相對有IT量能的部會時，他說：「建議行政院可以直接指定個資專責機關，而數位部也應該有舍我其誰的精神。」

 建議二：個資法對企業保護太過，應仿效消保法肩負舉證責任

消保法為了保護消費者權益，便在消保法第七條明定：「從事設計、生產、製造商品或提供服務的企業經營者，對於消費者應負無過失責任。」

徐則鈺認為，同樣的狀況，若發生在個資外洩的情境，為了保護個資受害者的權益，個資受害者和進行團體訴訟時的舉證責任應該從個資受害者端，轉換成由企業負起證明「個資沒有外洩」的責任。

他說，當初個資法在修法時，為了避免民眾濫訟，條文中也載明企業應該符合的「適當安全維護措施」的規範，這也讓許多企業認為，只要滿足條文的規定，就足以符合《個資法》的法律規定。

消費者相對企業更為弱勢，徐則鈺指出，企業載明符合「適當安全維護措施」的規範，其中落實程度有多少，除非可以透過類似目的事業主管機關的行政檢查，或者是第三方單位進行查核，外洩都難以一窺全貌的情況下，反而必須由個資受害當事人舉證，自己的確有因為企業外洩的個資遭受到損害。

最明顯的案例就是，消基會針對雄獅旅行社提出第一起個資外洩團體訴訟，雄獅旅行社因為像法院提出有撰寫《個人資料檔案安全維護計畫書》並報請交通部核備，承審法官採信，這樣的作為就表示雄獅旅行社已經善盡企業管理之責，因此判決雄獅旅行社一審勝訴。

徐則鈺認為，雄獅旅行社有完善《個資法》要求的書面資料，但真正落實程度，應該由目的事業主管機關進行行政檢查，確認有無缺失，或者是由第三方公正單位進行查核後，這樣才能證明，雄獅旅行社的確已經做到所有能做的個資保護措施了。

《個資法》將最難的、攸關訴訟成敗的舉證責任，交由個資受害者負擔，徐則鈺表示，這對於受害者是相當不公平的。他以團體訴訟為例，受害者要證明因為，因為oo公司外洩的個資，導致受害者被詐騙xx元，這意味著，受害者不只要證明有個資外洩事件，還得證明個人因為該事件有遭受損失；倘若無法證明損失，法院也只會依照《個資法》賠償受害者500元～2萬元。

徐則鈺認為，《個資法》不保障相對弱勢的消費者是不對的，應該參考《消保法》第七條「企業必須證明產品在進入市場時的產品是良好無害」的精神，將舉證個資外洩的責任，從消費者端轉換到企業端。

因為「舉證之所在、敗訴之所在。」徐則鈺說，多數民眾都不喜歡打官司，加上消費者不只要證明發生個資外洩事件，也必須證明因此遭到損失，這樣的舉證責任對一般民眾而言，都具有相對的難度。這也可以從《個資法》實施以來，企業打《個資法》官司都會贏的情況來看，反成形成一股間接鼓勵企業，不需要花更多心力去保護個資也沒有關係的氛圍。

建議三：提高《個資法》罰則，讓企業覺得落實個資保護更划算

《個資法》規定，如果被害者不易或不能證明實際損害金額時，每個人獲得的賠償就是500元以上、2萬元以下；如果是同一事件造成多數人受害，累計損害賠償最多2億元，而受害者可以證明損害超過2億元除外，就可以要求賠償實際受害損失。

徐則鈺表示，因為提出訴訟的過程耗時又費錢，如果求償金額過低，許多消費者往往會自認倒楣、默默承受損失，而不會對企業提出訴訟。因此，徐則鈺建議，《個資法》應該參考歐盟GDPR（歐盟個資法）的罰則──GDPR違法情節重大者，最高罰款2千萬歐元（折合約新臺幣6.6億元），或是前一年全球營業額4%，企業一旦意識到，沒有做好個資保護，一旦爆發個資外洩事件時，可以會遭到天價的罰金。當罰金相對於個資和隱私保護的投資，有如此大的差異時，企業就會比較心甘情願做好個資和隱私保護。

他也說，《個資法》修法時，應該要重新訂定賠償金額，但只有提高賠款上線沒有意義，同時也要提高賠款下限，畢竟，訴訟費用實在太高，一般人很難只為500元～2萬元去花高額訴訟費用去打官司。

他進一步解釋，個資法沒有刑事責任、只有民事求償，所以原告不需要支付偵訊時的律師費用；而民事遞狀後，法院會收裁判費，金額是以訴訟標的的1.1％計算；若是團體訴訟，裁判費最多先收60萬元，其他等判決出來後，再依照勝敗收取裁判費用；若是一般消費者自行提告，並不算在團體訴訟範圍。他說，其他訴訟費用還包括律師費，委任律師會依照審級去計算，若以義務律師來計算一審費用，至少5萬元起跳。

徐則鈺指出，《個資法》對於受害當事人並沒有任何優待，就是傳統的民事訴訟，即便是團體訴訟，也只是代理受害者提出訴訟、打官司而已，目的事業主管機關也不願意補助團訟費用。上述種種的現實，更讓《個資法》像是沒有牙齒的老虎，沒有任何威嚇力，更無助提高企業落實個資保護的意願。

他也以自身協助個資團訟的經驗為例，一般消費者若對企業提告，通常都是企業法務代表出庭，即便敗訴，賠償金額2萬元，企業通常會很爽快賠償；但若是發動團體訴訟，企業通常會籌組龐大的律師團因應，就是怕消費者團結力量大，一旦勝訴，就會對企業商譽造成重大損失，或者需要支付高額賠償金。

徐則鈺坦言，如果因為《個資法》賠償金額提高，發生原本立法者不想看到的濫訟情況時，企業是否也可能因為必須支出額外的法務費用，回過頭來，決定提升資安防護、落實個資和隱私保護呢？畢竟，目的事業主管機關對企業的行政裁罰只有2萬元～20萬元，企業不會感到痛，唯有提高賠償金額以及法院判決，才可能讓企業感到個資外洩對企業造成的「痛」，才願意去修正。

《個資法》團訟不應該奠基在消保團體的犧牲上

在數位時代，個資外洩不像以往紙本時代，是幾百筆、幾千筆的外洩，資料庫外洩個資動輒數十萬筆、數百萬筆甚至數千萬筆個資外洩。因此，徐則鈺建議，司法院也應該針對法官，加強更多的資訊素養，讓法官面對個資外洩事件時，可以更容易理解資訊科技對個資保護帶來的衝擊；也可以明文排除法官的自由心證，或讓法官自由心證空間小一點，透過舉證責任轉換，可以更有利消費者。

面對外界對於消基會的期待，希望可以扮演個資團訟領航者的角色，但徐則鈺認為，目前《個資法》的團訟機制，其實是建立在消保團體的犧牲奉獻上，《個資法》修法之初，不管是財團法人或是社團法人，只要在章程中記載有個資保護的目的，就可以提出團體訴訟，但因為個資訴訟的勝率低、加上賠償金額少，後來只剩下消基會還承擔此項業務。

但他也說，因為《個資法》對於團體訴訟沒有任何優待，消基會必須獨自承擔團訟過程中，所有的律師費、訴訟費、裁判費以及相關的時間、心力等，如果沒辦法勝訴，所有的費用都只能由消基會自行承擔。

徐則鈺表示，消基會代替受害民眾提出團體訴訟時，例如，亞歷山大健身中心的團體訴訟，體育署有補助部分費用，所以十多年下來，還可以繼續打官司；但消基會對雄獅旅行社提出團體訴訟時，主管機關交通部觀光局則說沒錢、並不願意給予任何補助。他也說，主管機關是否支持民眾提出個資團訟，並給予團訟代理人適當的經費補助，將會是個資團訟能否持續運作的關鍵。

臺灣詐騙橫行，根據警政署的統計，臺灣在2021年發生的詐騙案件高達2萬4千多起、被害人超過4萬4千人；到2022年前九個月，詐騙案件就已經高達2萬1千多起，2022年前三季發生的詐騙案件，就逼近2021年總和，預計2022年發生的詐騙案件，將會創下過去十年來的新高紀錄。

徐則鈺表示，詐騙案件的起源很大一部分是來自於個資外洩，因此，消基會也呼籲相關部會應先就個資外洩、不安全的網路店家或賣場的個資管理系統進行全面查核，或許能稍稍遏阻臺灣成為詐欺之島。

過去五年來，詐騙集團猖獗，因為知道消費者的個資和消費明細，容易讓消費者相信。徐則鈺認為，為了降低詐騙，建議政府可以思考從電信業者端去防堵詐騙電話。他說，有很多一打就掛的電話，都是各種電話行銷公司收集的資料，像是民間業者Whoscall的App因為民眾長期回報可疑電話，也可以提醒民眾審慎接聽來電可疑的電話，降低民眾受騙機率。

他指出，包括二類電信公司在內的電信公司，都可以從這些詐騙電話中收到相關費用，電信公司賺錢，但民眾卻是接電話被騙，這是一個不合理的過程，政府或是主管機關可能會認為，民間公司蒐集回報的詐騙電話樣本樹太少，但如果樣本數夠多呢？主管機關能否想辦法從源頭去遏止這樣的詐騙歪風，讓民眾不用擔心接到詐騙電話呢？他認為，這才會對民眾發揮最大的助益。