個資法合理商業標準 企業責任不能無上限

最近新聞報導幾家美、日國際級大公司都遭遇大量客戶資料外洩的事件。這些資安事件點出了一個事實，這個世界上沒有百分之百的安全，只有相對的安全，安全事件一定會發生，只是影響程度差異而已。身為專業經理人，在盡力去做預防和維護工作的同時，也必須設想到事件發生時該如何處理。

法規遵循風險過大  企業尋求規避之道

處理任何的安全事件都有一定的步驟，從災害管制、原因鑑定、釐清責任，到後續民事賠償和可能的刑事追訴。筆者觀察到先進國家的個人資料保護法，在事件處理上都有相同的特色，如在災害管制上要求主動告知受影響的消費者、在釐清責任上都是採故意或過失處罰主義……等等。

台灣個資法也一樣，但是美國單一事件最高罰200萬美金（約6,000萬台幣），台灣則是新台幣2億元，以兩國的經濟規模來比，可以看出台灣企業所要負擔的責任遠比美國企業大好幾倍。由此可見，台灣立法者確實非常注重對個人資料的保護，所以才對企業課以如此高的責任，再加上增設了集體求償的便利機制，可以預期未來若發生個資外洩事件，企業面臨賠償的機率遠高於新法未實施前，更不用說此類事件的新聞效應、抗爭等等非法律因素。

就某個層面來看，新版個資法確實將台灣在人格權保護上提升到和歐美國家相同甚至是更高的層級。但殘酷的現實是，當風險大到無法承受的程度時，企業可能會採取種種風險規避措施，甚至是設一些境外小公司，出事就讓它倒。

筆者多年前在英國進修時，曾經聽教授提起美國加州因為通過嚴格的環保法案，環保事件賠償金額幾乎是無限上綱，而且可以追溯數十年，使得許多大型船公司都避開加州附近航點，一度讓來往加州的油輪都是掛權宜旗的「一船公司」。教授語重心長地說，這對整個社會和商業環境的發展是不健康的，因為最有資源和能力把安全管理做好的通常是這些大公司，如果連他們都做不來，那就不是法案真正想要達到的目的。

個資外洩無故意或過失  如何定義？

面對種種挑戰，企業自保之道就是把資安做到無故意或過失。當然，除非是有問題的企業，否則不會故意洩漏個人資料，所以本文不討論企業有意的故意。不過在法律上的故意，除了「明知並有意使其發生」的直接故意，也包括「預見其發生而其發生並不違背其本意者」的間接故意，這部分企業當然要負故意的責任，這點是無庸置疑的。

以個資法來推演，如果大部份企業都努力按照台灣或國際標準在建置個人資料保護管理體系，而某公司就是無動於衷，沒有正當理由就不投入相對資源建置保護機制，一旦個資外洩事件發生，該企業的企業主（董事會）和高階主管就有可能以「有洩漏個資的間接故意」論以責任，直接責任者的責任甚至可能涵蓋到刑事責任。

在企業內部運作中常常會碰到的「正當理由」是沒有經費，這種理由或許是企業內負責資安人員可以主張非間接故意的正當理由，但企業主和高階主管可能就很難用同樣的理由來主張，因為公司政策由這些人決定，公司法領域中有不少關於企業主經營者的責任問題，可以參照。

除去上述所說的間接故意之外，絕大部份企業不會故意洩漏個資。所以企業要避免被個資法制裁處分，可能可以做到的是無過失。但什麼才叫做無過失？筆者以為，企業內部疏失所造成的事件，很難不被認為是過失。按照我國民法第188條第一項：「受僱人因執行職務，不法侵害他人之權利者，由僱用人與行為人連帶負損害賠償責任。但選任受僱人及監督其職務之執行，已盡相當之注意或縱加以相當之注意而仍不免發生損害者，僱用人不負賠償責任。」條文中雖然說企業負過失責任，但是司法實務上的判決判例中沒有一個企業引用這一條而勝訴過，所以實質上就等同是無過失責任論。

以此來看個資法第29條第一項：「非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。」如果法院採取和民法第188條相同見解，那就代表此條法規將會變成企業實質上的無過失責任。若真如此，這對企業未來的經營風險影響非常大，甚至可能會直接間接地影響到台灣的經濟環境，絕不可小覷。

無過失責任常常應用在商品責任上，是現代消費者保護的一種方式。消保法上商品責任規範之客體範圍，乃將商品與服務並列(消費者保護法第7條第一項)，但，就消保法上無過失商品責任而言，係以客觀之危險（瑕疵）取代主觀之故意或過失，以商品或服務未具安全性為前提，其規範作用在於要求企業經營者應確保其商品流通進入市場，或服務於其提供時，應符合當時科技或專業水準可合理期待之安全性，以避免損害之發生。

也就是說，商品流通進入市場，或服務於其提供時，未具安全性即為有危險(瑕疵)，以危險(瑕疵)為商品責任之要件，須商品或服務具有危險(瑕疵)始得追究企業經營者之商品責任，並非消費者一有損害之結果即得推論商品或服務具有瑕疵（註1）。

與消保法所採產品或服務無過失責任相比，個資法明文規定是採過失責任，似乎說明立法者本不希望企業在個資保護中負無過失責任。換言之，筆者前段有關民法188條和個資法29條的推演，不應讓其發生才是。不只是台灣，在先進國家如美國對於個人資料保護也是採取過失責任，以美國為例，許多銀行和企業的網站在聲明隱私權政策時，最常見到的一條是：我們將會依「合理商業標準」(reasonable commercial standard) 保護消費者的資料。

制定合理商業標準  避免企業責任無限上綱

合理商業標準在很多的商業契約中都可以看到，它源自於美國統一商法典(Uniform Commercial Code)，有關誠信(Good Faith)交易原則（註2）。類似我國民法第148條第2項：「行使權利，履行義務，應依誠實及信用方法。」參考一些美國有關合理商業標準相關的判決，筆者的初淺心得是，美國法院在檢定這標準時，第一是看有沒有相關法規，其次是看行業或國際相關規範或程序標準，再來才是對事實的認定，看是否實際上違反了當時科技或專業水準可合理期待的品質。

資安管理如何才算是無過失，是大家現在最想知道的答案。資訊安全大體上分成技術和管理兩個面向，在資安技術部分，企業幾乎都是買專業廠商的軟體和服務，筆者以為，無過失的舉證責任應該是在廠商身上。在資安管理面上，對同樣的問題或許可以接受的檢驗標準是，在採用某產品時，該企業是否切實做過研究分析，確定其可以滿足公司資安政策和策略目標後才採用。

企業按照國際標準來做資安管理，例如：ISO27000、BS 10012:2009，絕對是一個很好的證明，佐證該企業主和管理層在主觀意識上對於個資保護的重視，在客觀上企業有專責的高階資安管理負責人和專業專責團隊，以及相關的標準程序和資源配置，這些都能證明企業整體上無故意，但要證明無過失，仍應要有更實際的作為。因為事件是外顯的，檢驗方法應該是由結果往前推，這也是資安業界在訂定標準時的方向。

資訊科技已經發展到完全安全的地步了嗎？顯然不是，事實上所謂的資訊社會也不過上世紀末才真正開始，而資訊安全更僅是近十多年來才開展出的新議題。就如筆者在文章一開始所提及的，不論安全做的多好都無法完全避免事件不會發生。我們都生活在風險社會（註3），風險管理觀念也是現在的經濟基礎之一。資訊安全和航空安全以及其他所有的安全面向一樣，都是植基於風險管理的體系架構，在求最適的預防和最迅速有效的事件影響控制。

筆者以為，主管機關、學界和實務界應該儘速研擬出個人資料保護的標準，而此標準必須是「合理的」、「商業化的」（即經濟上可運行）標準，供大家遵循努力，一起達成個人資料保護法的兩項目的：「避免人格權受侵害」和「促進個人資料之合理利用」。

註1：李英正，「論消保法上商品責任之危險議題」，【消費者保護研究】第10輯，行政院消費者保護委員會，pp203，http://www.cpc.gov.tw/KnowledgeBase_Query/ShowFAQ.asp?ID=6310

註2：U.C.C. § 1-201 (20), "Good faith," except as otherwise provided in Article 5, means honesty in fact and the observance of reasonable commercial standards of fair dealing.

註3：「風險社會」 (risk Society)是德國著名社會學家貝克(Ulrich Beck)提出來的理解現代性社會的核心概念。