个资法专家/以推特为例 个资被骇客入侵、谁该负责
图、文/个资法专家在今年10月1日上路施行的个资法,虽然在二年多之前就已经公布,但由于相关配套措施及子法均付之阙如,还是让许多企业有进退失据的感觉。企业里,客户/会员的个资,少则几万笔,多则几百万笔。假如这些个资不幸外流,但不是被公司卖出去,也不是被员工泄露出去,而是遇到了高手骇客,公司是不是仍然必须依据个资法第29条、第28条之规定,对每一笔泄露的个资,赔偿五百至两万元,甚至还赔到法定上限的二亿元为止呢?
Twitter日前遭受骇客入侵,导致25万笔用户的资料外泄,并在2/1声明中指出,过去一周陆续侦测到异常登入行为,并证实是来自骇客组织的攻击,当时虽然立即关闭了相关系统,但仍有用户受到影响,预估骇客已窃走25万名用户的使用者名称、email帐号、连线代码(session tokens)以及加密存放的密码。由于攻击手法相当精密,Twitter认为,这并非业余人士所为,也不可能是单一状况。
在如上文报载的本案中,Twitter被骇客入侵,25万笔用户的资料外泄,假设新个资法适用在这个案子上,Twitter又该负什么责任?个资法第29条第1项要求,倘若公司「违反本法规定,致个人资料遭不法搜集、处理、利用或其他侵害当事人权利者,负损害赔偿责任」(赔偿的标准如前所述,订明在第28条第3、4两项);而第29条但书,则对公司提供了唯一的责任切割途径「能证明其无故意或过失者,不在此限」。既然这个条文是赔偿责任之主要来源,就让我们在此以Twitter的例子作分析,看它应不应该赔:1. 条件A:「个人资料遭不法搜集」,这点符合。个资遭骇而流出既然是事实,那就没什么好再进一步硬拗的了。2. 条件B:「违反本法规定」,这点看来就有争议了。首先,个资法全文56条,若每一条都要去看有没有违反,着实浪费时间。其实,对民间企业而言,个资法固然规范了许多义务,比方说特种个资原则上禁止搜集处理、对个资当事人之各种告知义务、正确性保持义务、掣给复本及删除义务…等。但就骇客入侵这种案例而言,主要须检讨的,则是第27条第1项的「采行适当之安全措施、防止个人资料被窃取、窜改、毁损、灭失或泄漏」之义务。至于同条第2项,由于还有待于政府进一步之行政命令,在此暂且按下不表。也就是说,倘若Twitter这次个资被骇事件,是因为「没有采行适当之安全措施」所导致,那大致上也同步将被认定在保护个资上有过失(参下述)。
然而,公司究竟有没有采行适当之安全措施,这件事情到底该由谁去举证?从条文表面上看,似乎是求偿的受害者;但论其实际,由于证据偏在公司内部,再并同第29条但书观察,可以看得出来法律的方向,等于要强迫企业说明并举证,何以其一方面确实采行了适当之安全措施、二方面也没有任何的故意或过失!3. 条件C:「能否证明公司对于个资遭骇无故意过失」,这部分是在诉讼答辩上最抽象、又与上述的条件B在说理上具有高度重叠性的地方。比方说,Twitter倘若主张自己已经尽了一切必要之努力,应该注意到的和能注意到的,一样都没有遗漏,那么可能即必须举证证明以下二点:(1) 公司的server与外部连线的gateway,都已经用防火墙作好保护(2) 个资都以DRM(即「数位权利管理」技术。简单讲,是去对文件的内容加密,任何人只要没取得解密的金钥,即使拿到了一份含有个人资料的文件,也无法读到内容)上锁。这二点如果都具备、而骇客却仍旧侵门踏户不但把个资拿走还破解出金钥打开文件而违法利用个资,Twitter的确有很大的机会能在答辩上被法院接受、认定其已经采用了适当的安全措施,并且在本件个资外流的事件上没有故意或过失。换句话讲,在个资遭骇的案型中,我们认为,从现行科技水准看,由于防火墙及DRM这两种东西都已经是相当成熟的技术,并且在取得成本上也都种可选择的方案(不像十几年前,企业如果要买这种solutions,可能得准备花到数百万台币之预算)可以斟酌,不致于让企业陷入负担不起的窘境(预算是否符合比例原则的考虑是可以被政府接受的,这部分参考目前的个资法施行细则草案第9条第3项即可得知),所以倘若企业连如此基本的防护都怠于采用,在个资被骇的不幸发生时,从客观上显然将无法证明已经采取了适当之安全措施,在主观上更难以用自己对于个资的外泄没有过失来自辩。依法定标准负赔偿责任,恐怕就会成为当然之结果了。