團體訴訟難 個資法再修正有其必要

近年企業資安問題一直備受關注，甚至總統都明言「資安即國安」，在各式資安問題中，個資外洩更是直接影響民眾權益，甚有不法詐騙集團取得利用外洩個資，以致民眾被詐騙錢財事件發生。

　個人資料保護法（以下簡稱「個資法」）自民國99年大幅修正，101年正式施行以來，迄今也已超過十年。在99年大修後，因所有企業個人均被納入個資法規範範圍，而且個資法對於個資蒐集、利用、處理、及傳輸均有嚴格程序規定，同時課以個資持有人負有採取適當安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏義務。

　因此，在修法通過當時，幾乎所有會蒐集個人資料公務機關及非公務機關（企業）都繃緊神經嚴正以待，開始體檢內部個資蒐集情形，制定個資安全維護計畫，備妥個資蒐集同意書，載明蒐集目的、利用範圍期間等，佐以個資侵害刑事責任及團體訴訟引進，加上當時法律學界律師界言之鑿鑿，日後個資團體訴訟高額請求將成為每個企業營業的法律風險，個資議題成為當時每個企業首要管理的風險。

■個資法前次修法已逾10年，

團體訴訟沒有成功案例

　在個資法施行十年後，民眾對於個資意識有顯著提升，但現實中個資法對民眾的影響似乎只存在隨時都會被要求填寫的個資蒐集利用同意書，同時個資外洩事件卻仍然三不五時出現在報紙的社會新聞角落。

　至於當時被評估為企業首要面對的團體訴訟法律風險，至今為止，除在107年消基會代雄獅旅行社受害消費者依個資法團體訴訟規定向雄獅旅行社提起團體訴訟，遭士林地方法院判決消基會敗訴的案例外，不僅沒有成功案例，且無其他個資外洩受害者循個資法相關規定委託提起團體訴訟。

　原本被視為小蝦米對抗大鯨魚的個資團體訴訟，為何在個資法施行十年，並未產生如當初立法預期效益，究其原因無非是以下三點：一、依據個資法第32條規定得受委託代為提起團體訴訟的法人必須符合三要件，亦即財團法人之登記財產總額達新臺幣1,000萬元或社團法人之社員人數達100人；保護個人資料事項於其章程所定目的範圍內；許可設立三年以上，然細數國內符合前述門檻的法人團體著實屈指可數。

　二、個資法第34條規定必須有受損害之當事人20人以上以書面授與訴訟實施權，但每個受害當事人無法證明其損害時，得請求之金額至多為新台幣2萬元，在多數個資外洩事件，受害人明明個資被不法利用，但實難證明損害，因此即使有財團法人或社團法人願意出面籌組自救會提起團體訴訟，好不容易集合20名受害人，不計非財產損害，所得請求之金額不過為40萬元，恐怕連支付受理求償登記行政作業的費用都不夠。

　三、即使提起團體訴訟，受委託提起團體訴訟的原告，對於企業是否有違反個資法未就保有個資檔案採行適當安全措施，受害人損害與個資外洩事件間是否有因果關係，仍要負舉證責任，例如在消基會與雄獅旅行社的團體訴訟中，士林地方法院即以消基會僅提出被告公司及警政署新聞稿、網路新聞證明雄獅旅行社，尚不足以證明被告公司有違反個資法未採取適當安全措施之情。

■大規模個資外洩事件頻傳，

立法者應思考如何保護受害者

　綜合以上原因，在大規模個資外洩事件中，個資法規定的團體訴訟要發揮保護受害人的效果，恐怕非如立法之初所預設的理想狀況。至於如何解決這些問題，在大規模個資外洩事件頻傳的現在，有效使得受害者得到保護，進而使企業對於持有個資能更謹慎以對，著實需要立法諸公們進一步思考。