違反個資法要賠多少錢?個資外洩的民事賠償標準 「我的個資被洩露出去了,可以告對方嗎?到底能賠多少錢?」這是許多人在發現自己個資外洩時,心中最直接也最實際的疑問。在這個數位時代,從網路購物、訂房到社群互動,我們的個人資料彷彿成了流通的數位貨幣,一不小心就可能落入不肖人士手中。今天,就讓我們用最白話、最生活化的方式,拆解這個法律問題,並透過真實的法院判決,告訴你「個資外洩的價碼」到底怎麼算。 一、個資法的「賠償條款」長怎樣?法律依據白話解 首先,我們要了解請求賠償的「武器」是什麼。台灣的《個人資料保護法》(以下簡稱個資法)中,最關鍵的賠償條款是第28條和第29條。 簡單來說,這兩條規定的核心精神是:「如果你因為個資被非法蒐集、處理、利用而受害,原則上就可以要求賠償。」 賠償分為兩種: 1. 財產上的損害:就是你實際的金錢損失,例如因為個資外洩被詐騙集團騙走的錢。 2. 非財產上的損害(也就是精神慰撫金):即使你沒有實際的金錢損失,但個資外洩讓你感到焦慮、不安、隱私受侵害,也可以請求一筆賠償金。如果你難以證明實際損害額,可以請求法院依侵害情節判賠,金額為每人每一事件新臺幣500元以上2萬元以下。對於同一原因事實造成多數當事人受害的情況,總額以2億元為限。 二、真實案例大解析:法院到底判賠多少? 法律條文有點抽象,我們直接看法院的實戰案例,你會更清楚「行情」在哪裡。 案例一:法院自己出包?上訴狀個資全公開的國賠案 在這個案例中,原告主張臺灣高等法院將他聲明上訴的狀紙(裡面有他的姓名、身分證字號、地址、電話等完整個資)直接當成判決附件公開在司法院網站上任人下載,導致個資外洩。他因此提起國家賠償訴訟,請求5萬元。 參照111年度北國小字第26號判決所述:「原告下載第一個『104上易2523.pdf』後再次驚見聲明上訴狀影本中原告之系爭資料還是全被揭露洩漏...原告是照個資法請求國家賠償,因為它侵害原告的系爭資料,洩漏、不得公開...原告的個資完整的遭被告洩漏」。 然而,法院審理後認為,法院將當事人提出的書狀作為判決附件公開,是執行法定職務(審判公開)的必要行為,屬於個資法允許的範圍,因此判決原告敗訴,一毛錢都拿不到。 參照111年度北國小字第26號判決所述:「被告將原告所提聲明上訴狀列為附件檔,與該刑事判決一併公開,屬個資法第十五條執行法定職務必要範圍內之行為,並無違反個資法之不法可言...原告依個資法...規定對被告為本件請求,洵屬無據。」 這個案例告訴我們: 並非所有「公開個資」的行為都違法。如果是公務機關或法院在合法執行職務的必要範圍內處理個資,就可能不構成賠償責任。所以,並不是個資一被別人看到,就一定能告成。 案例二:訂房平台個資外洩,消費者遭詐騙60萬 這個案例就非常典型。一位消費者向某訂房平台訂房後,平台疑似未做好資安防護,導致消費者的訂單個資外洩。詐騙集團取得資料後,假冒平台客服進行詐騙,導致該消費者被騙走新臺幣501,975元。消費者一狀告上法院,除了要求賠償這筆財產損失外,還以精神受創為由,請求98,025元的精神慰撫金,總計60萬元。 參照112年度訴字第762號判決所述:「上開損失係因被告未能妥善保管消費者資訊,讓詐欺集團得以竊取消費者個資,致伊受有損害...依個資法第29條、第28條第3項...請求被告賠償上開伊受詐騙之50萬1,975元;並依個資法...請求被告賠償非財產上損害9萬8,025元。」 這個案子在一審時,消費者敗訴了。法院認為消費者無法證明「個資是從這個平台外洩的」以及「被騙的錢與個資外洩有直接關係」。 參照112年度訴字第762號判決所述:「原告主張被告違反個資法之規定,致被告保有之原告個資檔案外洩、遭詐騙集團利用等情,均無法證明...原告之訴...應予駁回。」 這個案例的啟示: 求償最大的難關在於「舉證」。你要如何證明你的個資是從A公司洩漏的,而不是從B網站或你自己不小心洩漏的?這在技術上非常困難,也常是受害者求償失敗的主因。 案例三:購物平台個資外洩,消費者獲賠2萬元精神慰撫金 這個案例的原告在網路購物後,接到詐騙電話,雖然他機警地沒有上當,沒有財產損失,但他認為是購物平台個資保護不周,導致他的隱私權受侵害,因此提起訴訟,只請求非財產上的損害賠償。 法院審理後認為,該購物平台確實未盡到妥善保護個資的義務。法院更採用了「舉證責任減輕」的見解,認為在個資外洩事件中,受害者難以舉證,因此若企業違反保護義務,就應先推定外洩與其過失有關,除非企業能證明自己沒責任。 參照107年度湖小字第401號判決所述:「比照我國實務就公害訴訟降低被害人因果關係舉證責任之見解,認被告行為所生之危險已有相當合理確定性,即推定有一般因果關係之存在...被告倘認無...因果關係存在,自應提出確切之反證證明。」 除了所生之危險,實務上還有許多相關細節值得留意,網路法律自保指南提供了更全面的法律知識。 最後,法院判決該購物平台應賠償原告新臺幣20,000元的精神慰撫金。 參照107年度湖小字第401號判決所述:「原告依個人資料保護法第29條、第28條第2項規定,請求非財產上損害20,000元,於法即屬有據,且衡情並未過當。」 這個案例的關鍵點: 1. 沒有實際財損也能告:只要隱私權、個資自主控制權受侵害,就可以請求精神慰撫金。 2. 舉證責任可能倒置:在特定情況下,法院可能會要求「被控洩漏個資的一方」自己證明「個資不是從我這邊漏出去的」,這對受害者是一大利多。 3. 基本賠償額:在這個案例中,法院認為2萬元是「衡情並未過當」的金額,這可以作為一個參考基準。 三、賠償金額怎麼算?法官的「心證計算機」 從上面案例可以看出,賠償金額從0元到60萬元都有可能,落差極大。法官到底用什麼標準在撥算盤?綜合法院見解,主要有以下考量因素,我們可以把它想像成一個公式: 賠償總額 = (財產上損害 × 因果關係證明度) + (非財產上損害 × 情節嚴重度係數) 1. 財產上損害部分: - 實際損失金額:你被騙了多少錢、為了處理此事花了多少費用(如律師費、交通費),都需要單據證明。 - 成敗關鍵:因果關係:你必須強力證明「這個損失」就是因為「那個單位的個資外洩」直接造成的。如同案例二,舉證失敗就無法獲得賠償。 2. 非財產上損害(精神慰撫金)部分: 法官會綜合考量以下幾點,類似於車禍精神賠償的判斷方式: - 侵權者的過失程度:是故意、重大過失還是一般輕微過失?公司規模越大、資安預算越足,其應盡的注意義務就越高。 參照112年度簡上字第143號判決所述:「被上訴人公司資本額高達9,300萬元...依其公司規模,理應能就其取得之訂房客戶個資為適當之保護措施,卻未依個資法第27條第1項規定...採行任何適當之安全措施...應有過失。」 - 個資外洩的內容與範圍:洩漏的是「姓名+電話」還是「身分證字號+戶籍地址+財務資料」?是只有一個內部人員看到,還是被公開在網路上任人下載?後者情節顯然嚴重許多。 - 造成的實際影響:是否因此被騷擾、恐嚇、詐騙?是否對日常生活、工作造成困擾?有無就醫紀錄(如因焦慮失眠看診)? - 雙方的身分、地位、經濟狀況:這是一般精神慰撫金的共通考量點。 - 個資法第28條第3項的法定上限:當受害人難以證明實際損害額時,法院可依侵害情節酌定賠償金額,每人每事件以500元至2萬元為範圍。案例三的2萬元賠償即在此範圍內。 四、重要QA:你的疑惑,一次解答 Q1:我懷疑個資從某網站外洩,但我沒有直接證據,該怎麼辦? A:這是最常見的困境。你可以: - 蒐集間接證據:保留詐騙電話來電紀錄、對方能精確說出你在該網站的交易細節(如商品、金額、日期)的對話紀錄。這能強力推論個資來源。 - 參考法院見解:積極主張「舉證責任減輕」。你可以向法院說明,個資流通過程僅企業能掌控,消費者處於資訊弱勢,應由企業負擔較高的證明責任。 參照107年度湖小字第401號判決所述,該見解對消費者相當有利。 Q2:如果告贏了,除了賠錢,還能要求對方做什麼? A:可以。根據個資法第28條第1項,除了損害賠償,你還可以請求「排除侵害」和「防止侵害」。例如,要求企業將不慎公開在網路上含有你個資的檔案下架、刪除,或要求其建立更完善的資安措施,防止同樣事件再發生。 Q3:個資外洩,刑事責任和民事責任有什麼不同? A:兩者完全不同: - 刑事責任:像是「公務員洩密罪」或「非公務機關非法利用個資罪」(個資法第41條),目的是懲罰行為人,結果是可能被判刑或罰金,罰金是繳給國庫。 - 民事責任:就是你本文看到的「損害賠償」,目的是填補你個人的損失,賠償金是付給你個人。兩者可以同時進行。 Q4:企業怎樣才算盡到「適當安全措施」,避免賠償責任? A:這沒有絕對標準,而是「綜合判斷」。根據法規,企業必須採取與其規模、業務性質相匹配的技術與組織措施。 參照個資籌法字第 1140000195 號判決所述:「應採取技術及組織措施,包括事故預防、通報應變、內部管理程序、資料安全管理、人員管理及教育訓練等...是否達成此目的,應視個案所採行之具體措施內容綜合判斷。」 例如,一家小工作室可能只需做好電腦密碼保護;但一家上市電商,就必須有防火牆、加密傳輸、定期資安稽核、員工訓練等整套制度。並非一次失誤(如誤用電子郵件副本而非密件副本)就必然違法,但若連基本措施都欠缺,就難逃過失責任。 Q5:預防勝於求償,我該如何自保? A: 1. 分級管理密碼:重要帳號(銀行、電商主帳號)密碼應獨一無二,定期更換。 2. 謹慎提供個資:非必要不留真實個資,例如網路抽獎活動。 3. 留意授權範圍:安裝APP或使用服務時,注意它要求讀取的通訊錄、照片等權限是否合理。 4. 定期檢查:可善用「個人信用報告」查詢,確認有無異常貸款或信用卡申請。 --- 總而言之,個資外洩求償是一場「證據」與「法律論證」的戰爭。金額沒有公定價,從0元到數十萬元都可能,關鍵在於侵害情節的嚴重性與你舉證的成敗。了解這些法院的實務見解,不僅能讓你在不幸遭遇時知道如何捍衛權益,更能提醒我們每一個人,在數位世界中,個人資料是何等珍貴、需要謹慎保護的資產。 如果涉及新臺幣方面的問題,可
