新版個資法有許多不同於以往的規範,其中,擴大損害賠償金額及增列團體訴訟條文,更是在企業間引發許多討論聲浪,然而討論歸討論,真正開始著手加強個資保護工作的卻屈指可數,法規嚴懲不貸的作法,真能達到引起企業重視個資保護、降低個資外洩的目的嗎?
在《資安人》77期《個資法合理商業標準 企業責任不能無上限》文中曾經提到,當風險大到無法承受的程度時,企業可能會採取種種風險規避措施,甚至是設一些境外小公司,出事就讓它倒。為避免此種狀況,產官學界應儘速研擬個資保護的標準,供企業遵循,才能落實新版個資法立法目的。
對此,達文西個資暨高科技法律事務所律師葉奇鑫也有相似觀點。他認為,政府應該儘速建立個資法的民事損害賠償審理基準,說明法官在審理此類案件時,應該注意哪些事項及量刑標準,如同最近制定的性侵案件量刑參考標準一樣,畢竟新版個資法的立法目的不在於懲罰企業,而是杜絕個資外洩,制定基準才能創造民眾、企業、法院三贏之局面。
對企業而言,如果政府能夠制訂個資保護基準,且說明做到此基準可以降低賠償金額,自然會勇於投資保護民眾個資,對民眾而言,若企業能重視個資保護工作,也就不必再承受個資外洩之苦,對法院而言,參考標準審理案件,可以降低爭議、免除恐龍法官之譏。
葉奇鑫進一步指出,面對新版個資法到來,企業應該建立個資法律防火牆來避免風險,包括以下三個層面:
第一、提高法務人員的參與度
新版個資法對個資的搜集、處理和利用,雖然有許多限制與規範,但其實影響不大,企業手中現有的個資大多可以繼續利用,最大的差異在於個資外洩時,企業可能面臨的團體訴訟,所以,企業必須增加法務人員參與度,由法務與資安人員(或MIS)協力,強化個資管理制度,避免發生違反個資法的事件。
第二、強化舉證能力
上述第一點談的是避免訴訟,然而風險規避不可能做到百分百,企業還是有面臨訴訟的可能性,因此,平時就要加強舉證能力,才能因應未來訴訟時的舉證需求。目前最好的作法是保留Log,但這有技術上的困難,以資料庫為例,現今許多廠牌的資料庫都有DB Auditing功能,但開啟之後卻會大幅拖累系統效能,另外還有成本上的困難,特別是規模愈大的企業,資料量也就愈大,可能沒幾天的時間,儲存資料量就達到1TB,儲存設備的需求成本相當高。
企業保存Log有二個優點,第一是切斷個資侵害事件與企業的因果關係,第二是將因果關係導向其他被告,簡單來說就是證明個資侵害事件與企業無關,但要注意的是,Log保存若不具備不可否證性,證據力會受到挑戰。
第三、降低賠償金額
個資法第28條規定,被害人不易或不能證明其實際損害額時,得請求法院依侵害情節來判定損害賠償金額。所謂「依侵害情節」指的就是,考量外洩資料量有多大多嚴重,但還有另外一種可能性就是,企業主張已盡全部努力保護個資,據此向法官要求降低損害賠償金額,這在法律上是可行的做法,但由於法律並沒有明文規定,因此只能由法官自行判斷,而這也呼應前述制定個資法民事損害賠償審理標準的重要性。