個資外洩可以求償多少?個人資料保護法賠償上限解析 想像一下這個場景:阿明開心地訂了機票和飯店,準備來趟期待已久的日本之旅。幾天後,他接到一通電話,對方準確地說出他的姓名、身分證字號、航班日期和入住飯店,聲稱是旅行社人員,因系統錯誤誤設了分期付款,要求阿明操作ATM解除設定。阿明不疑有他,照著指示操作,結果畢生積蓄瞬間被轉走。事後他才驚覺,根本不是旅行社打來的,而是詐騙集團!而他的個資,正是從他訂購行程的旅遊網站外洩出去的。 這不是電影情節,而是臺灣法院真實審理過的案例。當個人資料外洩導致我們財產受損、精神痛苦時,到底能向洩漏個資的企業或機關求償多少錢?法律有沒有規定上限?本文將用最白話的方式,帶你了解「個人資料保護法」(下稱個資法)的賠償規則,並透過真實的法院見解與計算範例,讓你徹底掌握自己的權益。 --- 一、你的個資被賣了?先看懂法律規定的兩種賠償 個資法就像是你個人資訊的保鏢。根據法律,任何公司(法律上稱「非公務機關」)保有你的個資檔案,必須採取適當的安全措施,防止資料被偷、被改、被洩漏。如果他們沒做好,導致你的個資外洩並讓你受害,他們就必須賠償。 賠償主要分兩大類: 1. 財產上的損害:就是你實實在在的金錢損失,例如被詐騙匯出的款項、為了處理後續盜刷問題請假的薪資損失等。 2. 非財產上的損害(精神慰撫金):因為個資外洩感到焦慮、失眠、名譽受損等精神痛苦,可以請求一筆慰撫金。 接下來的關鍵問題就是:這兩種賠償,金額怎麼算?有天花板嗎? --- 二、財產損害賠償:原則「實報實銷」,但你要證明因果關係 財產損失的賠償,法律上原則是你損失多少,就賠償多少。但最大的挑戰在於,你必須向法官證明「你的損失」和「對方的個資外洩」有直接的因果關係。 真實法院案例解析: 假設你就是開頭提到的阿明,你告上法院,必須說服法官:「就是因為這間旅遊網站沒保管好我的個資,才會讓詐騙集團拿到我的旅遊細節來騙我,如果他們沒外洩,詐騙集團根本無從騙起。」 法院在審理這類案件時,會仔細檢視這種連結是否成立。參照113年度簡上字第219號判決所述,因其明確分析了因果關係: 「可見若非詐騙集團取得上訴人留存於被上訴人公司主機之個人資料及旅遊資訊,並使用該等明確、特定之個人資料以取信於上訴人,上訴人應不致於陷於錯誤而遭詐騙...是堪認被上訴人公司前揭未盡適當安全維護措施,致洩漏上訴人個人資料之行為,與上訴人遭詐騙受有399,890元損害間有相當因果關係。」 在這個真實案例中,法院認為,詐騙集團能說出精準的個人資料與旅遊計畫,顯然是從旅行社那邊流出的。這種「無A則無B」的關係成立,因此判決旅行社必須賠償被害人被騙走的 399,890元。這筆錢就是「財產上損害」的賠償,沒有特定的法定上限,端看實際損失金額。 --- 三、精神損害賠償(慰撫金)與「法定賠償額」的奧秘 除了實際的財損,個資外洩讓人感到被侵犯、不安,當然可以請求精神賠償。這裡就涉及到一個特別的規定,也是大家最常聽到的「個資法賠償上限」。 1. 原則:法官酌定精神慰撫金 和非財產上的損害,法官會根據個案情況,如外洩的資料敏感度(是姓名電話,還是病歷、財務資料?)、外洩的規模、當事人受影響的程度等,來決定一個合理的慰撫金金額。參照113年度簡上字第219號判決,其引用了法條精神: 「又非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,被害人雖非財產上之損害,亦得請求賠償相當之金額,個人資料保護法第29條第2項、第28條第2項固有明文。」 2. 特別規定:每事件「500元至2萬元」的法定賠償額 為了避免被害人舉證精神損害金額的困難,個資法第28條第3項設有一個「法定賠償額」機制。意思是,如果你無法證明具體的精神損害額度,也可以在每人每一事件的範圍內,請求法院判給500元以上,2萬元以下的金額。 重要!這是「擇一」關係,不是「外加」! 這是最大的迷思!很多人以為,財產損失照賠,然後「另外還可以」再領一筆2萬元以下的賠償。這是錯誤的。 這個「500元至2萬元」的法定額度,是為了「替代」難以證明的「非財產上損害」(精神慰撫金)。如果被害人選擇主張這個法定賠償額,就不能再另外請求法官酌定更高的精神慰撫金。 更關鍵的是,如果被害人提出的「財產上損害」證據確鑿,而且金額超過2萬元,法院實務上會直接以判決賠償該筆財產損失為主,而不再適用這個法定賠償額規定。因為財產損失的賠償已經實質上覆蓋並超越了法定賠償額的保障目的。 參照113年度簡上字第219號判決所述,其清楚說明了這個法律適用邏輯: 「本件上訴人舉證證明之損害為其受詐之金額即399,890元,已超過本條規定之最高限額,本院自應審酌上訴人提出之證據認定損害賠償金額,而無本條規定之適用。」 關於損害賠償的更多實務案例與操作細節,網路法律自保指南有系統性的整理可供參考。 意思是,在這個案子裡,被害人證明了高達近40萬的財產損失,遠超過2萬元的法定賠償上限,法院就直接依證據判賠40萬,而不去動用那個500~2萬的規定。這個法院見解明確告訴我們:能證明高額財損時,賠償金額可以遠遠超過2萬元。 --- 四、總賠償金額怎麼算?一張表與一個情境題搞懂 讓我們用開頭的「阿明情境」搭配真實法院見解來算算看: 情境: 旅遊網站A公司個資外洩,導致阿明被詐騙新臺幣50萬元,並因此精神焦慮需就醫。 | 賠償項目 | 金額計算與依據 | 說明 | | :--- | :--- | :--- | | 財產上損害賠償 | 500,000元 | 阿明必須提出匯款紀錄、報案證明等,並像113年度簡上字第219號判例那樣,說服法官這筆損失與A公司外洩個資有因果關係。 | | 非財產上損害賠償(精神慰撫金) | 約30,000元 ~ 100,000元 (由法官酌定) | 法官會考量A公司過往是否也曾外洩(如113年度簡上字第219號判決提及)、外洩資料的敏感性、阿明精神痛苦程度等來決定。 | | 個資法法定賠償額 (500~20,000元) | 本例不適用 | 因為阿明的財產損失50萬元已遠高於2萬元,且他選擇請求法官酌定精神慰撫金,故不適用此定額。 | | 可能的總賠償金額 | 約 530,000元 ~ 600,000元 | 財產損害 + 法官酌定的精神慰撫金 | 結論: 個資外洩的求償總額,並不僅限於2萬元。2萬元只是「無法舉證具體損害時,精神慰撫金的法定替代上限」。當你能證明具體、高額的財產損失時,求償總額是「實際財產損失 + 法官裁量的精神慰撫金」,總數可能非常可觀。 --- 五、重要Q&A:關於個資求償,你一定想知道的問題 Q1:如果公司說他們「已盡一切安全防護義務」,我就沒辦法求償了嗎? A: 不一定。根據個資法第29條第1項,原則上只要公司違反個資法導致你受害,它就必須賠償。但法律給予公司一個「免死金牌」:如果公司能證明自己「沒有故意或過失」,就可以免責。實務上,這非常困難。公司必須舉證自己已採取符合當時技術水準、足夠嚴密的組織與技術防護措施(如個資籌法字第 1140000195 號、113年度簡上字第219號判決所提及之適當安全措施)。若公司過去已發生過個資外洩卻未改善(如113年度簡上字第219號判決所述情形),幾乎不可能被認為無過失。 Q2:求償一定要打官司嗎?有其他途徑嗎? A: 訴訟是最終手段。你可以: 1. 先向企業申訴:正式要求他們說明與賠償。 2. 向主管機關檢舉:可向目的事業主管機關(如金管會針對銀行、觀光局針對旅行社)或地方政府法制局(處)檢舉該企業違反個資法。依據個資籌法字第 1140000195 號判決片段提及,若查證屬實,主管機關可依個資法第48條處以2萬元以上200萬元以下罰鍰,並命令限期改正。這有時能促使企業更願意坐下來談和解。 3. 提起民事訴訟:如果協調不成,最後手段就是向法院提起民事損害賠償訴訟。 Q3:個資外洩,洩漏的人會有刑事責任嗎? A: 有可能。如果是故意非法蒐集、利用或外洩個資,例如公司內部員工偷賣客戶資料,可能觸犯個資法第41條的「意圖營利」或「非意圖營利」罪,最高可處五年以下有期徒刑。這與民事賠償是兩條不同的路線,可以同時進行。參照110年度台上字第5423號判決,其提及個資法第41條,顯示實務上確有刑事追訴案例。 Q4:如果外洩的是公務機關(如戶政事務所、醫院),賠償規則一樣嗎? A: 大致相同,但適用公務機關的賠償條文。公務機關違法侵害你的個資,同樣要負財產與非財產損害賠償責任。其非財產損害的法定賠償額,依國家賠償法結合個資法規定,也是每人每一事件在500元以上2萬元以下酌定,但總賠償總額最高以2億元為限(參照法律字第 10100518090 號、法律字第 10100518090 號判決片段)。 --- 總結 個資外洩求償,絕非僅有「2萬元」這個答案。核心關鍵在於: 1. 財產損失證據力:保存好所有匯款紀錄、通聯記錄、報案三聯單等證據,證明損失與個資外洩的關聯性。證明得了,賠償金額就從這裡開始累加。 2. 企業有無過失:企業必須負起舉證責任證明自己已善盡保護義務,這非常困難。 3. 精神慰撫金:可以請求,由法官酌定,或選擇適用500~2萬的法定額度(但與高額財產損失通常擇一)。 你的個人資料是寶貴的數位資產。當它因為他人的疏失而外洩並造成損害時,法律賦予你完整的求償武器。了解這些規則,才能在第一時間有效捍衛自己的權益,也讓不重視個資保護的企業,真正付出應有的代價。
