泰鼎法律事務所合夥律師、法務專員 葉慶元、黃偉齊

依媒體報導，和泰集團旗下之iRent（和雲行動服務股份有限公司）發生用戶資料外洩事件；一名安全研究員在和泰汽車的雲端伺服器上發現了一個資料庫，其中包含iRent的客戶名字、手機號碼、電子信箱、家庭住址、駕照照片與經特殊處理的卡片支付等個資，且沒有密碼保護，任何人只要知道資料庫的IP位址都可以查看上述客戶資料，期間更長達9個月，受害會員更多達14萬人。這顯然是我國近期私部門最嚴重的個資外洩事件，和雲及和泰更可能面臨28億元的民事賠償責任，相關法律責任及解決方案值得加以分析、檢討。

本案，和雲為提供服務的需要，蒐集、保管消費者的姓名、手機號碼、電子信箱、地址、駕照照片等個人資料，尚屬於法有據，但和雲既然持有相關個資，並且又儲存在和泰的雲端伺服器，和泰及和雲就必須依據個資法第27條及汽車運輸業個人資料檔案安全維護計畫及處理辦法規定，規劃、訂定、修正與執行消費者個人資料檔案安全維護計畫，以落實個人資料檔案之安全維護與管理。此次發生個資外洩時間長達九個月，且和泰或和雲並未透過密碼管理相關個資之擷取，顯構成個資法第27條第1項（「未能採行適當之安全措施，防止個人資料……洩漏者」）之情形，依個資法第48條第4款規定，交通部或相關地方政府得命和泰或和雲限期改正，如屆期未改正者，得按次處新臺幣2萬元以上20萬元以下罰鍰。

針對此部分，iRent（和雲）之目的事業主管機關交通部公路總局表示，已責成台北市區監理所對和雲展開調查，若和雲確實違反個資法第27條第1項規定，將要求其限期改正，若屆期未改正將按次處新臺幣2萬元以上20萬元以下之罰鍰。此部分雖然有點後知後覺，但總比不知不覺來得好。不過需提醒公路總局的是，由於此一資料庫是在設置在和泰的雲端伺服器，所以調查及處罰對象除了和雲之外，恐怕尚應擴及和泰，方為妥適。

除了行政處罰之外，和雲及和泰更應擔心的是最高可達28億元的民事賠償責任。依個資法第30條規定，個資遭外洩之受害人得於知悉損害時起2年內請求賠償，並可透過團體訴訟之方式，來節省相關的訴訟成本。此外，雖然個別消費者要證明實際受損不易，但消費者得引用個資法第28條之規定，請求法院依侵害情節，以每人每一事件（單筆外洩）以新臺幣500元以上2萬元以下計算賠償金額。故本案中若受害之14萬名會員皆起訴請求，和雲及和泰恐將面臨7千萬至28億元之鉅額賠償責任。

面對如此重大的個資外洩事件，筆者認為，和泰及和雲應該主動積極與消費者溝通，並提出相關的和解方案（如後續租賃金額折抵等優惠），以免進入民事求償程序後，面對不可測的天價賠償，並且也影響和泰的財務報表。此外，這對於主管機關後續裁罰的金額，也有一定程度的影響（雖然行政裁罰的金額在此案相較於民事賠償責任，真的是如九牛一毛）。

最後，個資的蒐集、使用及維護，是政府及企業不可規避的責任。近期除了iRent的個資外洩事件之外，健保資訊以及身分證資料也都曾發生大規模外洩的情況，顯見從公部門到私部門，對於個資的管理及維護仍相當漫不經心。由於我國目前對於個資保護並無真正的主管機關（法務部只負責個資法解釋，並非專責主管機關），行政院陳院長應通盤考量，指定數位發展部或法務部為專責主管機關，切實督導公、私部門落實個資保護規範，以避免未來再發生類似大規模個資外洩之情形。

（圖片取自風傳媒）