新版個資法下資安公司的商機與風險管理

我國個資安全事件亦層出不窮，數年前即傳出警方緝獲詐騙集團而查扣的電腦中發現約2萬筆台新銀行現金卡個資。今年5月底金管會裁罰兆豐銀行200萬元，起因於兆豐銀行去年委外銷毀汰舊的電腦設備，但沒有全程監控，導致部分電腦的硬碟資料外流到二手市場。

重視商譽的業者，對於個資安全保護自會特別重視，否則將會遭到消費者的唾棄而流失客源。除業者自律之外，法律也強化個資的保護。

新版個資法帶來的商機

新版個資法保護的客體不再限於電腦處理的個資，而擴及於任何得以直接或間接方式識別個人的資料（如姓名、出生年月日、身分證字號、教育、職業、聯絡方式等）。另就規範的對象而言，除公務機關外，亦不再侷限於特定行業，而包括任何自然人、法人或團體。個資法對於自然人之個資提供更確實的保障，包括行政、民事以及刑事救濟管道。

不論是公務或非公務機關都必須採行安全措施保護個資，以免招致法律責任。個資法第18條規定：「公務機關保有個人資料檔案者，應指定專人辦理安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏。」第27條另規定：「非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。」

公務或非公務機關未必具有資安技術與管理的專長，乃有必要委外進行個資安全措施的設計與實施，也因此創造了資安公司提供業主個資安全服務的商機。依個資法施行細則草案第9條規定個資安全措施包括下列事項：一、成立管理組織，配置相當資源；二、界定個資之範圍；三、個資之風險評估及管理機制；四、事故之預防、通報及應變機制；五、個資蒐集、處理及利用之內部管理程序；六、資料安全管理及人員管理；七、認知宣導及教育訓練；八、設備安全管理；九、資料安全稽核機制；十、必要之使用紀錄、軌跡資料及證據之保存；十一、個資安全維護之整體持續改善。而資安公司就上開事項皆得開發各種軟體、硬體及服務等商品以賺取資訊財。

資安公司的風險管理

資安公司提供業主個資安全服務的同時，也可能面對業主轉嫁法律責任的風險，應預先做好風險管理。資安公司特別需要注意承包公務機關的資訊商品採購案，因為公務機關對外採購有政府採購法的適用，多會援用公共工程委員會所制頒的採購契約範本，但是該契約範本中卻已預定業主轉嫁責任予廠商的條款，諸如：

1. 廠商履約，其有侵害第三人合法權益時，應由廠商負責處理並承擔一切法律責任。
2. 機關及廠商應採取必要之措施，以保障他方免於因契約之履行而遭第三人請求損害賠償。其有致第三人損害者，應由造成損害原因之一方負責賠償。

資安公司面對非公務機關的民間業者也可能被要求簽訂如上之約款。然而，上開條款對於資安公司可能產生不利的後果：假設業主的資訊設備遭駭客入侵並竊取用戶個資，即使資安公司已提供符合當時技術水準的資安防護措施，仍可能因此被業主要求負責處理並承擔一切法律責任。

事實上，個資危安事件所引發的損害範圍並不容易確定，例如個資被害人高達成千上萬、被害人的銀行存款全部遭盜領、或是個資遭濫用而名譽受損等，因此資安公司有必要於契約中明定責任限制約款，諸如：

1. 資安公司僅擔保提供符合當時商業上被接受（或符合當時技術水準）的資安商品，不擔保須承擔不可歸責於資安公司的所有風險。
2. 於業主發生個資外洩或資安措施遭駭客破解入侵時，資安公司僅須在合理及必要的限度內提供技術協助。
3. 資安公司對業主負擔損害賠償責任的範圍以業主已支付的契約報酬為上限。
4. 資安公司就第三人損害之賠償範圍不及於衍生性、間接性或純粹經濟上的損失。

責任比例共同承擔

上開條款未必都能被業主接受，尤其是公務機關裡承辦對外採購的公務員基於擔心遭審計單位究責以及保守心態，常會堅持制式的政府採購約款。因此，資安公司有必要積極與業主協商，爭取較為合理的責任轉嫁約款，以控制法律風險。持平而論，關於個資侵害的風險控制，不能一概推由業主或資安公司單方承擔，應視具體情況而定，可能採取責任比例方式共同承擔，或是透過保險機制分散風險，甚至用戶本身也有義務要自我防護並承擔其疏失所造成個資遭侵害的風險。

在資訊化社會中，沒有絕對的資訊安全。如果要確保絕對的資訊安全，勢必阻礙資訊的流通與利用，然而這就不是資訊化社會了。因此，關於侵害個資的法律責任分擔應考慮公平及合理性。

（本文作者現為執業律師）