泰鼎法律事務所合夥律師、法務專員 葉慶元、黃偉齊
依媒體報導,和泰集團旗下之iRent(和雲行動服務股份有限公司)發生用戶資料外洩事件;一名安全研究員在和泰汽車的雲端伺服器上發現了一個資料庫,其中包含iRent的客戶名字、手機號碼、電子信箱、家庭住址、駕照照片與經特殊處理的卡片支付等個資,且沒有密碼保護,任何人只要知道資料庫的IP位址都可以查看上述客戶資料,期間更長達9個月,受害會員更多達14萬人。這顯然是我國近期私部門最嚴重的個資外洩事件,和雲及和泰更可能面臨28億元的民事賠償責任,相關法律責任及解決方案值得加以分析、檢討。
本案,和雲為提供服務的需要,蒐集、保管消費者的姓名、手機號碼、電子信箱、地址、駕照照片等個人資料,尚屬於法有據,但和雲既然持有相關個資,並且又儲存在和泰的雲端伺服器,和泰及和雲就必須依據個資法第27條及汽車運輸業個人資料檔案安全維護計畫及處理辦法規定,規劃、訂定、修正與執行消費者個人資料檔案安全維護計畫,以落實個人資料檔案之安全維護與管理。此次發生個資外洩時間長達九個月,且和泰或和雲並未透過密碼管理相關個資之擷取,顯構成個資法第27條第1項(「未能採行適當之安全措施,防止個人資料……洩漏者」)之情形,依個資法第48條第4款規定,交通部或相關地方政府得命和泰或和雲限期改正,如屆期未改正者,得按次處新臺幣2萬元以上20萬元以下罰鍰。
針對此部分,iRent(和雲)之目的事業主管機關交通部公路總局表示,已責成台北市區監理所對和雲展開調查,若和雲確實違反個資法第27條第1項規定,將要求其限期改正,若屆期未改正將按次處新臺幣2萬元以上20萬元以下之罰鍰。此部分雖然有點後知後覺,但總比不知不覺來得好。不過需提醒公路總局的是,由於此一資料庫是在設置在和泰的雲端伺服器,所以調查及處罰對象除了和雲之外,恐怕尚應擴及和泰,方為妥適。
除了行政處罰之外,和雲及和泰更應擔心的是最高可達28億元的民事賠償責任。依個資法第30條規定,個資遭外洩之受害人得於知悉損害時起2年內請求賠償,並可透過團體訴訟之方式,來節省相關的訴訟成本。此外,雖然個別消費者要證明實際受損不易,但消費者得引用個資法第28條之規定,請求法院依侵害情節,以每人每一事件(單筆外洩)以新臺幣500元以上2萬元以下計算賠償金額。故本案中若受害之14萬名會員皆起訴請求,和雲及和泰恐將面臨7千萬至28億元之鉅額賠償責任。
面對如此重大的個資外洩事件,筆者認為,和泰及和雲應該主動積極與消費者溝通,並提出相關的和解方案(如後續租賃金額折抵等優惠),以免進入民事求償程序後,面對不可測的天價賠償,並且也影響和泰的財務報表。此外,這對於主管機關後續裁罰的金額,也有一定程度的影響(雖然行政裁罰的金額在此案相較於民事賠償責任,真的是如九牛一毛)。
最後,個資的蒐集、使用及維護,是政府及企業不可規避的責任。近期除了iRent的個資外洩事件之外,健保資訊以及身分證資料也都曾發生大規模外洩的情況,顯見從公部門到私部門,對於個資的管理及維護仍相當漫不經心。由於我國目前對於個資保護並無真正的主管機關(法務部只負責個資法解釋,並非專責主管機關),行政院陳院長應通盤考量,指定數位發展部或法務部為專責主管機關,切實督導公、私部門落實個資保護規範,以避免未來再發生類似大規模個資外洩之情形。
(圖片取自風傳媒)