作者: 張喻閔 法律研究員

審閱: 葉奇鑫 律師

個人資料外洩事件，隨著數位化時代的來臨而時有所聞，我國有關個資的法律保護，除了現行民法中侵權行為與人格權的保障外，更於1995年訂定《電腦處理個人資料保護法》（下稱「舊個資法」）加以特別規範。但因「舊個資法」的規範主體及適用範圍均有所限制，無法因應數位化時代下，日新月易的個資蒐集與應用方式，故於2010年5月將其修正並更名為《個人資料保護法》（下簡稱「新個資法」），對於個人資料提供更完整保障。其中影響最大者，莫過於新法中，新增之團體訴訟規定[1]。由於個資外洩事件往往牽涉眾多受害者，若個別起訴必定曠日廢時。而繁雜的訴訟程序以及個人需負擔之舉證責任與經濟成本，對於弱勢的受害人而言更是望之卻步的主要原因。

「新個資法」第34條所增定的團體訴訟規定，對於同一原因事實造成多數個資當事人權利受侵害事件，經受有損害之當事人20人以上，以書面授與符合一定條件之財團法人或公益社團法人訴訟實施權[2]，經授權的法人即可以自己名義提起損害賠償訴訟[3]。如此一來，個資當事人可省去自行提起訴訟之不便與困難，避免被迫放棄訴訟權利，並可藉由團體訴訟公告曉示與併案審理的優點，加速訴訟進行，增進勝訴機率，進而提高起訴意願。

但於「舊個資法」時期所發生之個資外洩事件，受害者是否得於「新個資法」施行後提起團體訴訟？試分析如下：

一、最高法院確立「程序從新」法理

針對上述問題，最高法院判決多依據「程序從新」之法理來討論類似爭議，相關判決可供參考：最高法院92台上字1731號判決，針對仲裁事件，認為仲裁法係仲裁程序事項之程序法，該法修正施行後，法院於審理撤銷仲裁判斷事件時，依「實體從舊，程序從新」之原則，自應適用修正施行後的仲裁法規定；最高法院96台上字第2664號判決，該判決對於民國90年以前所發生之金融犯罪，認為中央存款保險公司仍得於民國90年後依據新公布之《行政院金融重建基金設置及管理條例》，以自己名義，代參加存款保險機構向應負賠償責任之人提起民事訴訟；而在最高法院82年台上字第 2578 號判決中，對於租稅事件，明確說明所謂實體從舊，即為法律溯及既往原則之運用，乃指有關租稅權利義務本體之發生及其內容如何，均應適用行為時或事實發生時所施行法律之規定；所謂程序從新，則係指有關租稅課徵程序，應依徵繳時之規定加以處理。由此可知，最高法院肯認程序事項應適用修正後之規定。

二、法務部函釋亦採相同見解

除前述最高法院之實務見解以外，法務部為答覆立法委員詢問，於民國101年2月17日做出「法律字第10100518090號」函釋意見如下：「…尚未施行之個人資料保護法（下稱新法）第四章雖新增有關團體訴訟規定，因該法尚未施行，如於現行法有效施行期間發生個資外洩而造成損害事件，目前尚無個人資料保護法團體訴訟之適用，當事人於修正施行後得依新法團體訴訟之規定主張權利，但仍須注意有無罹於時效之問題。…」明確肯認於「舊個資法」時期所發生之個資外洩事件，得於新法施行後，在請求權時效內依據「新個資法」提起團體訴訟。

三、新法團體訴訟之衝擊

有關請求權時效，「新個資法」第30條規定：「損害賠償請求權，自請求權人知有損害及賠償義務人時起，因二年間不行使而消滅；自損害發生時起，逾五年者，亦同。」因此，若「新個資法」如預期的於民國101年正式施行，則依上述規定計算，只要是在新法施行日起算前五年內（約計算至民國96年間）所發生的個資外洩事件，或受害者知悉損害與賠償義務人時不超過兩年（約於民國99年間以後知悉即可），皆可於新法施行後利用團體訴訟請求賠償。

舉例而言，日前警方破獲詐騙集團，意外於所查扣的電腦中發現大量國內某○○銀行的客戶個資，數量多達2萬筆。其中檔案夾以A、B、C、D……等代號加以區分，並由身分證字號排序，外洩個資被轉存影像檔，方便不法集團轉賣牟利，其中詳載客戶姓名、卡號、身分證、電話及地址，甚至還有健保卡、戶籍、存摺等個資。該銀行個金執行長表示，外洩個資經研判應為民國97年時發生的駭客入侵案，該案件已於事後由警方破獲，當時受害者包括多家銀行機構 [4]。以上述案件為例，若有該銀行客戶於民國99年以後發現個資遭外洩，即可於新法施行後提起團體訴訟，無疑對於「舊個資法」時期已發生外洩事件的單位而言，隨時處於高額賠償的陰影下。由此可知，新法增訂的團體訴訟條文，其威力驚人，不可等閒視之。