【簡評】提高企業的個資侵害民事賠償額度,有效嗎-簡評個人資料保護法111年12月30日修正草案
撰文:王慕民 律師
審閱:葉奇鑫 律師
許 斌 博士
全文約2200字,閱讀約需5分鐘
立法委員在111年12月30日提案修正個人資料保護法(個資法)關於民事損害賠償的額度(註1),新增對「營利社團法人」(例如公司)的個資侵害民事求償金額可「以前一會計年度全球年營業額之百分之二」為上限。
修正草案第28條第4項
對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣三億元為限。但因該原因事實所涉利益超過新臺幣三億元者,以該所涉利益為限。
修正草案第29條第2項
依前項規定請求賠償者,適用前條第三項(註2)。但若係營利社團法人者,亦可以前一會計年度全球年營業額之百分之二為上限,兩者取較高者為準。
第29條的修正理由在於「營利社團法人憑藉科技之進步,得以自身產品或服務,透過科技應用成果,極易獲取大量個人資料。為避免上述資料受侵害,實應提升營利社團法人損害賠償最高總額之限制。又營利社團法人之規模大小與獲取之資料量應為正相關,故參照歐盟 GDPR第八十三條之規定,增訂損害賠償最高總額亦得以前一會計年度全球年營業額之百分之二為上限」。
這個修正草案的立意良善,但在實務上能不能確實發揮效用,值得觀察。
歐盟GDPR的紅蘿蔔和棍子
歐盟GDPR將企業責任區分為「懲罰性責任」(透過監管機關的裁罰實現)與「填補性責任」(藉由被害人的求償實現)(註3),其中第83條以企業前一年度全球營業額比例計算上限的規定,是作為監管機關「行政處罰」的額度範圍,並非針對被害人的「民事求償」。
藉由高額的罰鍰上限,搭配監管機關的各種糾正權力(例如警告、告誡、命改善、限制處理資料等,見GDPR第58條第2項),輔以審酌罰鍰金額的裁罰基準(例如違法嚴重性與持續期間、故意或過失、企業採取降低當事人損害的行為、企業的責任程度、企業是否再犯、企業與監管機關的配合程度、監管機關知悉企業違法是否因企業自行通報等,見GDPR第83條第2項),「混搭」這些配套措施來促使企業落實自我合規,並配合監管機關控制損害,降低當事人所受侵害。
例如英國個資保護監管機關ICO(UK Information Commissioner’s Office)在2019年,原本對英國航空(British Airways)於2018年的個資外洩事件通知開罰1.83億元英鎊(現約新臺幣67億元),後因英國航空事後行為良好,配合ICO調查、改善,最終ICO於2020年參考英國航空的意見陳述以及Covid-19的疫情影響,審酌GDPR第83條第2項的裁罰基準,將罰鍰調降為2千萬元英鎊(新臺幣現約7.3億元)(註4),約為英國航空2017年全球營業額的0.16%。
我國個資法怎麼管
相較歐盟GDPR以「高額罰鍰+糾正權力+裁罰基準」建構的企業合規、改善誘因條件,我國現行個資法雖然賦予主管機關數種行政手段來監督企業(例如禁止蒐用資料、命刪除資料、公布違法情形等,見個資法第25條),但行政處罰的罰鍰上限最高僅新臺幣50萬元(見個資法第47條),且未如GDPR明定揭露罰鍰審酌基準以增加企業合規、改善、配合調查的誘因,這或許才是我國個資法首應考量強化的方向。
提高賠償額度不如提高處罰上限
回到本次修正草案,如果把「高額賠償」作為「目的」(填補被害人損害),修正企業的個資侵害民事賠償上限有其道理,只是實務上仍需由被害人循民事程序起訴、舉證(企業違法、被害人受損害、因果關係等)、攻防。
即便依照修正草案(第29條第2項但書)的適用,當被害人不易或不能證明其實際損害「額」時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算,或以營利社團法人(被告)的前一會計年度全球年營業額2%為上限計算(兩者取較高者),法院在原告不易或不能證明實際損害額時,能判斷被告(企業)的賠償金額多寡,恐怕也很難達到本次修正草案所要追求的目標(每人每一事件的賠償金額可達被告前一會計年度全球年營業額2%)(註5),將使修正草案的強化企業責任目的,因民事訴訟的被動性、損害填補原則而有所折扣。
但如果參考歐盟GDPR的監管精神,把「高額處罰」作為「手段」(督促企業守法合規),那麼該提高的應該是個資法賦予主管機關的罰鍰額度,並搭配裁罰審酌基準的揭露,以紅蘿蔔和棍子交互配套,促使企業在事前自我合規、事中配合調查、事後有效改善。
註1: https://lis.ly.gov.tw/lygazettec/mtcdoc?PD100614:LCEWA01_100614_00028
註2: 個資法第28條第3項:「依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算」。
註3: 參歐盟法院CJEU的佐審官(Advocate General, AG)於2022年10月作成的意見(Opinion),Case C‑300/21,paras 47, 48, https://curia.europa.eu/juris/document/document.jsf?text=&docid=266842&pageIndex=0&doclang=EN&mode=lst&dir=&occ=first&part=1&cid=133904。
註5: 本次修正草案還有另一點值得商榷:現行個資法在「同一個資侵害事件有多數被害人」情形(例如實務上常見的個資外洩),當事人如請求損害賠償,被告的賠償金最高合計總額設有(2億元)上限(現行個資法第28條第4項),本次修正草案除提高上限為3億元之外(修正草案第28條第4項),另修正草案說明謂「應提升營利社團法人損害賠償最高總額之限制」,但所修正者卻是針對被害人「每人每一事件」在不易或不能證明其實際損害額時,得請求法院依侵害情節,可判決企業賠償至該企業「前一會計年度全球年營業額的2%」,並非針對企業同一事件的賠償「總額」限制。操作下來可能出現「同一次個資事故,一位原告向企業求償,最高額度可到該企業前一會計年度全球年營業額的2%(雖然很難想像),可能超過新臺幣3億元;但多位原告求償,企業賠償總額的上限就是新臺幣3億元。」這是不是立法者想要追求的目標,似有待進一步討論(將營利社團法人的賠償總額上限新增為個資法第29條第2項準用個資法第28條第4項的特別規定似乎較合理)。
※歡迎註明出處後轉載。