個資法倒數計時專欄(一):幫個資法把把脈
2011-08-25
作者:葉奇鑫 律師 / 審閱:吳君婷 律師
個資法預計在2012年中旬施行,不管是準備靠個資賺錢,還是打算花錢加強個資,大家都在倒數計時聲中忙碌了起來,因此我也決定透過一系列的文章,用比較白話的方式,來幫助各位朋友了解新個資法,並提出我的個人觀點,不成熟之處,也請各位先進指教。
在正式分析新個資法之前,我想先提一下舊個資法(電腦處理個人資料保護法)的歷史,讓大家瞭解新法和舊法真正最大的不同在哪裡。舊個資法其實是個很有歷史的法律,從1995年施行至今(2011年),已經整整十六年,而實施的成果,卻是「個資滿天飛」。依照台灣曾經出現過的個資刑事判決顯示,被告所擁有之個資數量最大為四千二百萬筆(台北地方法院95年度易緝字7號刑事判決),我們可以開玩笑的說,其實全民的個資都已經在歹徒手中,歹徒才是台灣最大的個資擁有者。
為什麼舊法的實施成果如此不堪?舊的個資法到底出了甚麼問題?
我想問題絕不是出在舊法沒規範到紙本的個資,因為真正個資的大量外洩事件,都是透過電腦資料庫竊取的方式得逞,只有竊取整個資料庫,才可能發生數十萬筆甚至上百萬筆個資的嚴重外洩事件。因此這次新法將紙本個資納入規範,立法方向絕對正確,但也絕非解決目前個資外洩問題的關鍵。
也有人認為舊法處罰太輕,舊法的損害賠償上限是二千萬元,這金額不足以警惕企業謹慎保管個資,因此新個資法一口氣把損害賠償上限提高十倍,達到二億元,對企業可以有威嚇效果。二億元當然不是個小數字,筆者也相信二億元會比二千萬更有嚇阻效果。但根據本事務所的研究,在舊法二千萬元賠償上限的時代,台灣寥寥可數的個資民事賠償案件中,判決賠償金額大多僅在數萬元至二十萬元之間,既然實施了十六年,實務上卻從未出現賠償二千萬的案例,甚至也未出現過百萬元以上的賠償案例,因此二千萬這個數字自然也就不會是真正的問題關鍵了。
至於目前資安廠商最喜歡談的「舉證責任倒置」(以說服企業購買可監控或記錄之資安設備),其實並不是新的規定,舊法對「非公務機關」就是採舉證責任倒置的設計,只是過去舊個資法「任督二脈不通」,企業很少因為個資外洩被告,因此企業並沒有機會體會到「舉證之所在,敗訴之所在」這句名言的威力,也導致有些人誤以為舉證責任倒置是新的規定。
那麼新個資法有何新的特色,能讓社會各界如此重視這個新法律呢?我認為這次新個資法真正打通任督二脈的新規定有三:
一、新個資法適用於所有行業
這比起舊個資法只適用於金融業、徵信業、醫院等八種行業及法務部所指定之行業,殺傷力當然大很多。以網路業為例,小網站動輒數萬筆,大網站動輒數百萬筆的個資,過去不受個資法規範,現在卻必須老老實實回頭盤點資料庫中的個資,而且還要盡一切所能防止個資外洩事件發生,以避免一失足成千古恨,多年辛苦經營了龐大的會員和流量,卻因一次個資外洩事件而面臨二億元的求償,甚至因此產生企業經營危機。
二、新個資法擴大了個資的定義
在舊法時代,個資指的是「足資識別該個人」的資料,而新法所指之個資,包含「直接或間接識別該個人」之資料,可千萬別小看「足資」和「直接或間接」的文字差異,因為所謂的「間接」到底有多間接,沒人有把握。舉例言之,我的gmail是:simon061@gmail.com,在舊法這很難構成「足資」識別葉奇鑫這個人,因為這世界上叫simon的人如過江之鯽,即使多個061這個數字,也沒有人能因此而識別出這就是葉奇鑫的email。但在新個資法時代,如果透過Google官方協助,就可以間接查出simon061這帳號是住在台灣的葉奇鑫所使用,這究竟算不算「間接識別」呢?目前沒有人有把握回答,因此很多在舊法不算個資的資料,在新法都可能成為落入個資的定義範圍,這當然大大的增加了新法威力的射程。(關於間接識別,將另文介紹)
三、團體訴訟
筆者認為團體訴訟才是這一次個資法最具破壞力的設計。什麼是團體訴訟?用最白話的方式解釋,就是成千上萬的被害人只要簽立委任契約書,授權給具團體訴訟資格之團體,該團體之律師就可以提供一條龍服務,直到被害人拿到賠償金為止。被害人簽完委任書之後,馬照跑、舞照跳,完全不用操心繁瑣的訴訟程序,甚至可能無需事先繳納相關費用。
這樣的制度為什麼有威力呢?其實個資外洩事件發生後,很多被害人在接到詐騙電話的那一刻,已經知道自己個資外洩,甚至也知道是哪個公司所外洩,但在舊法時代,即使知道了也「懶得告」,因為就算告贏了,頂多拿到十萬元賠償,雖說法律規定如果能「證明」自己因為個資外洩所受損害超過十萬元,則不受十萬元上限的限制,但在訴訟中要「證明」自己因個資外洩所受損害超過十萬元,談何容易?
再說,被害人如果要自己打這場官司,必須一個人面對大企業的律師團,加上不斷出庭的舟車勞頓以及心理壓力,十萬元對被害人來說,恐怕沒什麼吸引力,於是大企業只要提出幾萬元的和解條件,當事人大概就謝天謝地,趕快把錢放進荷包,撤回告訴了。而如果被害人要請律師打這場官司,每一審律師費大概就要十萬元,加上台灣長久以來實務見解都認為當事人不能請求律師費用,因此被害人請律師打贏這場官司,可能只能爭取到正義,但反而倒賠十萬元(假設二審確定)。這就是為什麼舊個資法施行了十六年,個資求償案件卻寥寥可數的真正原因。
被害人在舊法的訴訟制度上是如此弱勢,被害人選擇忍氣吞聲,企業也就高枕無憂,因此我們可以說,舊個資法在設計上其實是保護了企業,而不是個資。而新的個資法時代,被害人在團體訴訟制度的鼓舞下,必定勇於提告,當被害人紛紛勇於爭取權益,企業老闆當然就開始難以成眠了。
個資法預計在2012年中旬施行,不管是準備靠個資賺錢,還是打算花錢加強個資,大家都在倒數計時聲中忙碌了起來,因此我也決定透過一系列的文章,用比較白話的方式,來幫助各位朋友了解新個資法,並提出我的個人觀點,不成熟之處,也請各位先進指教。
在正式分析新個資法之前,我想先提一下舊個資法(電腦處理個人資料保護法)的歷史,讓大家瞭解新法和舊法真正最大的不同在哪裡。舊個資法其實是個很有歷史的法律,從1995年施行至今(2011年),已經整整十六年,而實施的成果,卻是「個資滿天飛」。依照台灣曾經出現過的個資刑事判決顯示,被告所擁有之個資數量最大為四千二百萬筆(台北地方法院95年度易緝字7號刑事判決),我們可以開玩笑的說,其實全民的個資都已經在歹徒手中,歹徒才是台灣最大的個資擁有者。
為什麼舊法的實施成果如此不堪?舊的個資法到底出了甚麼問題?
我想問題絕不是出在舊法沒規範到紙本的個資,因為真正個資的大量外洩事件,都是透過電腦資料庫竊取的方式得逞,只有竊取整個資料庫,才可能發生數十萬筆甚至上百萬筆個資的嚴重外洩事件。因此這次新法將紙本個資納入規範,立法方向絕對正確,但也絕非解決目前個資外洩問題的關鍵。
也有人認為舊法處罰太輕,舊法的損害賠償上限是二千萬元,這金額不足以警惕企業謹慎保管個資,因此新個資法一口氣把損害賠償上限提高十倍,達到二億元,對企業可以有威嚇效果。二億元當然不是個小數字,筆者也相信二億元會比二千萬更有嚇阻效果。但根據本事務所的研究,在舊法二千萬元賠償上限的時代,台灣寥寥可數的個資民事賠償案件中,判決賠償金額大多僅在數萬元至二十萬元之間,既然實施了十六年,實務上卻從未出現賠償二千萬的案例,甚至也未出現過百萬元以上的賠償案例,因此二千萬這個數字自然也就不會是真正的問題關鍵了。
至於目前資安廠商最喜歡談的「舉證責任倒置」(以說服企業購買可監控或記錄之資安設備),其實並不是新的規定,舊法對「非公務機關」就是採舉證責任倒置的設計,只是過去舊個資法「任督二脈不通」,企業很少因為個資外洩被告,因此企業並沒有機會體會到「舉證之所在,敗訴之所在」這句名言的威力,也導致有些人誤以為舉證責任倒置是新的規定。
那麼新個資法有何新的特色,能讓社會各界如此重視這個新法律呢?我認為這次新個資法真正打通任督二脈的新規定有三:
一、新個資法適用於所有行業
這比起舊個資法只適用於金融業、徵信業、醫院等八種行業及法務部所指定之行業,殺傷力當然大很多。以網路業為例,小網站動輒數萬筆,大網站動輒數百萬筆的個資,過去不受個資法規範,現在卻必須老老實實回頭盤點資料庫中的個資,而且還要盡一切所能防止個資外洩事件發生,以避免一失足成千古恨,多年辛苦經營了龐大的會員和流量,卻因一次個資外洩事件而面臨二億元的求償,甚至因此產生企業經營危機。
二、新個資法擴大了個資的定義
在舊法時代,個資指的是「足資識別該個人」的資料,而新法所指之個資,包含「直接或間接識別該個人」之資料,可千萬別小看「足資」和「直接或間接」的文字差異,因為所謂的「間接」到底有多間接,沒人有把握。舉例言之,我的gmail是:simon061@gmail.com,在舊法這很難構成「足資」識別葉奇鑫這個人,因為這世界上叫simon的人如過江之鯽,即使多個061這個數字,也沒有人能因此而識別出這就是葉奇鑫的email。但在新個資法時代,如果透過Google官方協助,就可以間接查出simon061這帳號是住在台灣的葉奇鑫所使用,這究竟算不算「間接識別」呢?目前沒有人有把握回答,因此很多在舊法不算個資的資料,在新法都可能成為落入個資的定義範圍,這當然大大的增加了新法威力的射程。(關於間接識別,將另文介紹)
三、團體訴訟
筆者認為團體訴訟才是這一次個資法最具破壞力的設計。什麼是團體訴訟?用最白話的方式解釋,就是成千上萬的被害人只要簽立委任契約書,授權給具團體訴訟資格之團體,該團體之律師就可以提供一條龍服務,直到被害人拿到賠償金為止。被害人簽完委任書之後,馬照跑、舞照跳,完全不用操心繁瑣的訴訟程序,甚至可能無需事先繳納相關費用。
這樣的制度為什麼有威力呢?其實個資外洩事件發生後,很多被害人在接到詐騙電話的那一刻,已經知道自己個資外洩,甚至也知道是哪個公司所外洩,但在舊法時代,即使知道了也「懶得告」,因為就算告贏了,頂多拿到十萬元賠償,雖說法律規定如果能「證明」自己因為個資外洩所受損害超過十萬元,則不受十萬元上限的限制,但在訴訟中要「證明」自己因個資外洩所受損害超過十萬元,談何容易?
再說,被害人如果要自己打這場官司,必須一個人面對大企業的律師團,加上不斷出庭的舟車勞頓以及心理壓力,十萬元對被害人來說,恐怕沒什麼吸引力,於是大企業只要提出幾萬元的和解條件,當事人大概就謝天謝地,趕快把錢放進荷包,撤回告訴了。而如果被害人要請律師打這場官司,每一審律師費大概就要十萬元,加上台灣長久以來實務見解都認為當事人不能請求律師費用,因此被害人請律師打贏這場官司,可能只能爭取到正義,但反而倒賠十萬元(假設二審確定)。這就是為什麼舊個資法施行了十六年,個資求償案件卻寥寥可數的真正原因。
被害人在舊法的訴訟制度上是如此弱勢,被害人選擇忍氣吞聲,企業也就高枕無憂,因此我們可以說,舊個資法在設計上其實是保護了企業,而不是個資。而新的個資法時代,被害人在團體訴訟制度的鼓舞下,必定勇於提告,當被害人紛紛勇於爭取權益,企業老闆當然就開始難以成眠了。