公司不小心洩漏客戶資料，會有什麼責任？

一、公司的常見問題

阿明設立公司經營網路購物平台，獲得許多顧客的青睞，公司也因此存有大量顧客的姓名、電話及地址等個人資料。不料，某日公司的網路資料庫卻遭有心人士入侵而導致個資外洩，使顧客們接獲詐騙電話，顧客們得知此事後紛紛向阿明公司表達不滿，並表明要阿明賠償。

二、顧問律師來解答

（一）公司有防止個資洩漏的義務嗎？

現今的商業活動中，許多公司基於業務上的必要，不可避免地須要客戶提供其個人資料，尤其依據個資法的定義，個人的姓名、電話號碼以及身分證字號等只要能夠直接或間接辨別為該個人的資料都屬於個資，範圍相當廣泛。固然，取得客戶個資對於公司行銷上有所助益，可以藉此分析消費者行為模式，不過在控管與維護方面同時也帶來相當高的風險。

事實上，依據個資法第27條第1項的規定，如果是非公務機關，例如公司或是一般民眾保有個人資料檔案，則應該要採取適當的安全措施，防止個資遭到竊取、竄改、毀損、滅失或洩漏。另外，所謂的適當安全措施，可以參考個資法施行細則第12條規定，包含技術上與組織上的措施，例如事故的預防機制、個資利用的內部管理程序及設備安全管理等。以案例中的網路購物平台為例，公司即應加強防火牆的建置，避免客戶個資遭詐騙集團或網路駭客盜取。

（二）因疏忽洩漏個資的責任？

如果公司不幸地因為一時疏忽而致使客戶個資外洩，首先依據個資法第12條，應查明事實後立即通知當事人。再者，公司可能面臨到損害賠償的問題，依據個資法第29條規定，如果公司因為違反個資法規定導致個資遭到不法的蒐集、利用或侵害他人的權利，公司可能因此須負財產上或非財產上的損害賠償責任。而且，此時須由公司舉證證明自己已盡注意義務，才有可能免責。另外，依據個資法第48條規定，如果經主管機關或地方政府查明，可以命公司限期改正，如果屆期未改正，也可能按次遭處2萬元以上20萬元以下罰鍰。

實務見解部分，可以參考臺灣臺北地方法院106年度北小字第2161號小額民事判決，此案主要是因為原告透過被告航空的官網訂購機票，事後卻因詐騙集團假裝為航空客服人員而與原告核對個人資料後要求匯款，導致原告遭受詐騙。法院認為被告因為原告訂購機票而取得原告之姓名、電話號碼及搭乘客機活動等個資，依法即應採行適當之安全措施以防止該個人資料被竊取或洩漏，被告如果未能舉證證明已盡注意義務，即可認有過失，因此須負損害賠償責任。

（三）洩漏個資的賠償範圍

關於個資法的損害賠償範圍，依據個資法第28條第2項規定，縱使被害人受到非財產上的損害，仍然可以請求相當的金額，也就是實務上經常聽到的精神慰撫金。而且，依據同條第3項規定，如果被害人無法證明或是難以證明實際的損害額度，也可以請求法院依情節以每人每一事件500元以上2萬元以下計算，參考臺灣高等法院103年度上字第1350號民事判決，法院認為此項規定僅僅是在被害人不易或不能證明實際損害額時減輕其舉證責任，以每人每一事件500元以上2萬元以下計算賠償金額，但是這並不表示被害人可以請求的賠償金額限於此範圍。此外，如果公司有高達一千萬個會員的個資受到侵害，現行法為了加重個資持有者的責任，已提高賠償總額限制，原則上以二億元為限，仍不得輕忽。

三、顧問律師的建議

個人資料可以說充斥在我們的日常生活當中，而且我國的個資法隨著歷次修正，保護的範圍擴及更廣而且規範更為嚴格。對於企業經營者來說，也不得不即時做出因應與調整，尤其是在現今的商業模式之下，公司取得客戶個資的方式相當廣泛，例如在網路上註冊時要求顧客填寫資料等，因此重點即在於如何在取得個資之後妥善處理並有效維護，降低觸法風險。事實上，針對個資的保護義務，公司除了專注於完善內部管理機制以及強化硬體設備外，員工的教育訓練更是不可忽略的一部分。畢竟，員工較有機會長時間的持有客戶資料，也因此較容易產生洩漏個資的風險。