我是廣告 請繼續往下閱讀
但特定系統的帳號密碼價值就高出許多,像是個人電子錢包或支付平台的帳號密碼,就可能有8到10美元的價值。警政署刑事局研發科代理科長莊明雄提醒,越詳細、越完整的個資價值越高。他指出,人力銀行的資料恐怕一個人就價值台幣上萬元,包括學歷、工作經歷、家庭狀況等個資,或公務人員資料還可能販售給敵國作為情報或進行身份竊盜。「如果我有照片、身分證字號、戶籍地址、配偶,我能不能做一張身分證出來?或申請電話門號?」莊明雄憂心忡忡。
個資法裁罰金額低 團體訴訟門檻高
雖然個資依不同內容在暗網上有不同價碼,但回到《個人資料保護法》中個別被害者能請求賠償的金額,僅有500元以上,2萬元以下。如為團體訴訟,最高求償總額則為2億元,兩者金額差距萬倍。
曾引《個資法》向網路書店平台讀冊生活求償2萬元的A先生雖然勝訴,但他不滿業者處理個資外洩的態度,消極、推卸,只會撇清責任,讓人憤怒,加上這不是讀冊第一次被法院認證個資外洩,顯示業者根本罰不怕。A先生認為,讀冊生活資本額登記1.22億元,《個資法》的2萬元上限金額,對業者根本不痛不癢,只有龐大賠償金能逼業者改善資安問題。
台灣《個資法》行政裁罰依不同情況分為:根據第47條,處5萬元以上50萬元以下罰鍰並令限期改正,屆期未改正者,按次處罰之。或是根據地48條,先限期改正,屆期未改正者,按次處2萬元以上20萬元以下罰鍰。
以電商常見的狀況通常是未符合第2項,也就是如未依《個資法》第27條第1項採行適當安全措施,以防止個人資料被竊取、竄改、毀損、滅失或洩漏之情形,不過限期改善期間主管機關不得裁罰。
萬幼筠表示,台灣法律沒有懲罰性賠償的概念,所以對業者來說罰款反而是面子問題,但不會有改善資安的壓力。以歐盟的GDPR(一般資料保護規定)為例,GDPR被形容是史上最嚴《個資法》,因為加重企業控管及處理資料的責任,所以祭出的罰金往往令人咋舌。今年就一口氣對META開出高達4億美元的罰單。歐盟的GDPR裁罰金額最高為2000萬歐元(約6.53億台幣),或該企業前一會計年度全球年營業額4%。
萬幼筠認為,比起齊頭式平等更應該在意立足點平等,以營業額考量裁罰比例,也就是考量到不同規模的企業違法造成的影響也不同,因此同一犯行罰款也不該一樣。
比較國內外《個資法》內容,台灣不僅罰的金額偏低,主管機關也傾向以輔導替代處罰,除了顯示我國對個資的態度外,更可能業者輕忽保護消費者個資的責任。
《個資法》團體訴訟門檻高 消基會不再代表受害者提告
雖然《個資法》中團體訴訟的求償金額最高2億元,但實務上光是要引用《個資法》提起團體訴訟,就有兩道門檻,目前判決更沒有勝訴先例。《個資法》規定,團訟的代表除了須為財團法人或社團法人外,還要求該單位要符合一定規模以上和成立時間,另外規定「保護個資事項」要列在該組織章程內。
2018年消基會發起全國首件,目前也是全國唯一一件的《個資法》團體訴訟,當時消基會以《個資法》、《消費者保護法》和《民法》代25名受害者向雄獅旅行社求償450萬元,不過最終以一審敗訴、上訴後二審和解收場。
訴訟判決書中提出本案是第三人惡意入侵,加上事發後雄獅立即採取報警和告知消費者等防護措施,另外消基會無法就「雄獅未妥善管理個資」和「消費者受騙跟個資外洩關係」舉證,因此一審判雄獅免賠。
當時參與訴訟的消基會副董事長徐則鈺對此忿忿不平,直說《個資法》該修之外,消基會也不打算再提起《個資法》的團體訴訟。徐則鈺認為,實務上外部人士難以取得業者的內部資訊,也難以證明消費者接到電話詐騙跟業者個資外洩的因果關係,但《個資法》對團體訴訟沒有減免舉證責任,又對團體訴訟的代表單位設下高門檻,等於讓《個資法》的團體訴訟看得到,吃不到。
消基會也認為修法提高被害者的可求償金額,就會有更多受害者站出來提告,同樣可以對業者達到警告和改善資安壓力。讀冊受害者A先生感嘆,如果想改善個資外洩的現況,就要有更多消費者勇於提告。他強調,「正義從來不是廉價的」,如果消費者心態不改變,違反《個資法》的問題還是會層出不窮。
