個資法專家/以推特爲例 個資被駭客入侵、誰該負責
圖、文/個資法專家在今年10月1日上路施行的個資法,雖然在二年多之前就已經公佈,但由於相關配套措施及子法均付之闕如,還是讓許多企業有進退失據的感覺。企業裡,客戶/會員的個資,少則幾萬筆,多則幾百萬筆。假如這些個資不幸外流,但不是被公司賣出去,也不是被員工泄露出去,而是遇到了高手駭客,公司是不是仍然必須依據個資法第29條、第28條之規定,對每一筆泄露的個資,賠償五百至兩萬元,甚至還賠到法定上限的二億元爲止呢?
Twitter日前遭受駭客入侵,導致25萬筆用戶的資料外泄,並在2/1聲明中指出,過去一週陸續偵測到異常登入行爲,並證實是來自駭客組織的攻擊,當時雖然立即關閉了相關係統,但仍有用戶受到影響,預估駭客已竊走25萬名用戶的使用者名稱、email帳號、連線代碼(session tokens)以及加密存放的密碼。由於攻擊手法相當精密,Twitter認爲,這並非業餘人士所爲,也不可能是單一狀況。
在如上文報載的本案中,Twitter被駭客入侵,25萬筆用戶的資料外泄,假設新個資法適用在這個案子上,Twitter又該負什麼責任?個資法第29條第1項要求,倘若公司「違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任」(賠償的標準如前所述,訂明在第28條第3、4兩項);而第29條但書,則對公司提供了唯一的責任切割途徑「能證明其無故意或過失者,不在此限」。既然這個條文是賠償責任之主要來源,就讓我們在此以Twitter的例子作分析,看它應不應該賠:1. 條件A:「個人資料遭不法蒐集」,這點符合。個資遭駭而流出既然是事實,那就沒什麼好再進一步硬拗的了。2. 條件B:「違反本法規定」,這點看來就有爭議了。首先,個資法全文56條,若每一條都要去看有沒有違反,着實浪費時間。其實,對民間企業而言,個資法固然規範了許多義務,比方說特種個資原則上禁止蒐集處理、對個資當事人之各種告知義務、正確性保持義務、掣給複本及刪除義務…等。但就駭客入侵這種案例而言,主要須檢討的,則是第27條第1項的「採行適當之安全措施、防止個人資料被竊取、竄改、毀損、滅失或泄漏」之義務。至於同條第2項,由於還有待於政府進一步之行政命令,在此暫且按下不表。也就是說,倘若Twitter這次個資被駭事件,是因爲「沒有采行適當之安全措施」所導致,那大致上也同步將被認定在保護個資上有過失(參下述)。
然而,公司究竟有沒有采行適當之安全措施,這件事情到底該由誰去舉證?從條文表面上看,似乎是求償的受害者;但論其實際,由於證據偏在公司內部,再並同第29條但書觀察,可以看得出來法律的方向,等於要強迫企業說明並舉證,何以其一方面確實採行了適當之安全措施、二方面也沒有任何的故意或過失!3. 條件C:「能否證明公司對於個資遭駭無故意過失」,這部分是在訴訟答辯上最抽象、又與上述的條件B在說理上具有高度重疊性的地方。比方說,Twitter倘若主張自己已經盡了一切必要之努力,應該注意到的和能注意到的,一樣都沒有遺漏,那麼可能即必須舉證證明以下二點:(1) 公司的server與外部連線的gateway,都已經用防火牆作好保護(2) 個資都以DRM(即「數位權利管理」技術。簡單講,是去對文件的內容加密,任何人只要沒取得解密的金鑰,即使拿到了一份含有個人資料的文件,也無法讀到內容)上鎖。這二點如果都具備、而駭客卻仍舊侵門踏戶不但把個資拿走還破解出金鑰打開文件而違法利用個資,Twitter的確有很大的機會能在答辯上被法院接受、認定其已經採用了適當的安全措施,並且在本件個資外流的事件上沒有故意或過失。換句話講,在個資遭駭的案型中,我們認爲,從現行科技水準看,由於防火牆及DRM這兩種東西都已經是相當成熟的技術,並且在取得成本上也都種可選擇的方案(不像十幾年前,企業如果要買這種solutions,可能得準備花到數百萬臺幣之預算)可以斟酌,不致於讓企業陷入負擔不起的窘境(預算是否符合比例原則的考慮是可以被政府接受的,這部分參考目前的個資法施行細則草案第9條第3項即可得知),所以倘若企業連如此基本的防護都怠於採用,在個資被駭的不幸發生時,從客觀上顯然將無法證明已經採取了適當之安全措施,在主觀上更難以用自己對於個資的外泄沒有過失來自辯。依法定標準負賠償責任,恐怕就會成爲當然之結果了。