個資外洩判賠 防詐仍有缺陷

駭客攻擊頻繁、個資外泄層出不窮。圖／聯合報系資料照片

日昨貴報「買溫泉券遭詐騙，個資外泄判賠」，報導臺灣高等法院認定溫泉飯店及其委託的資訊服務業者，應就個資外泄事件給付消費者新臺幣兩萬元賠償。仔細閱讀該判決，不禁要爲法院勇於保護消費者個資的見解喝采，希望全國保有消費者個資的業者都能引以爲鑑。但本文仍要指出該判決的一項缺陷，那就是忽略了「個資外泄通知」制度的重要功能，可能讓消保及防詐工作功虧一簣。

在上述判決中，高等法院有多項值得肯定甚至具有突破性的見解，若日後能廣爲其他判決援引、採納，必將有助於維護消費者個人資料自主權。

首先，該判決援引民事訴訟法第二七七條但書規定，減輕了消費者的舉證責任。一般來說，消費者在交出個資之後，資料就儲存在業者（或其委託的資訊服務業者）的系統中，由其全權管理控制。因此當發生個資外泄事件時，如按照一般舉證法則，由身爲原告的消費者舉證相關事實，依「舉證之所在、敗訴之所在」的通例，對消費者非常不利。本次判決參考證據偏在的理論，引用上述規定減輕消費者的舉證責任，實至爲正確。

其次，在業者是否已善盡「安全維護」義務上，判決也戳破業者「紙上資安一百分，實際作爲不及格」假象。在實務上，許多業者往往依照主管機關發佈的辦法，訂定漂亮又詳盡的個資安全維護計劃，但實際上多未真正落實，而主管機關在（事後）檢查時，也多「紙上談兵」，並未深入檢討業者實際作爲的不足。本判決不被這些表象所矇蔽，進一步要求業者舉證其實際作爲（包括對委託的資訊服務業者持續監督），同時又能本於司法獨立精神，正視數發部數位產業署調查的侷限與不足，更是難能可貴。

然而美中不足的是，本判決忽略了個資法第十二條「個資外泄通知」制度在防止消費者進一步受害（如詐騙）上的重要功能。簡言之，個資法要求業者在發生個資外泄事件時，必須將個資被侵害的事實及因應措施，以適當方法通知當事人。但實務上，本條規定少有得到落實，如同本案，業者往往只願意在網站或簡訊提醒消費者防詐，聲明不會要求更改付款或操作ATM，卻不願直面個資外泄的事實。

由於詐騙層出不窮，多數國人早已對一般防詐提醒麻木，如果消費者不是被告知其個資已經外泄，怎能激起警覺？本判決簡單的以詐騙是第三人積極行爲以及僅有原告遭受詐騙爲由，從因果關係上排除業者就消費者遭到詐騙部分的責任，恐怕將更助長業者怠於通知的慣行，不但有違個資法意旨，也形成了防詐的破口，實爲消費者保護未竟之功。