第三章 個人資料保護上之疑慮
第七節 安全維持義務之自我免責
國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
理,以取得特定當事人之決策所為之個人資料處理者,亦應進行資料保護影 響評估。...」規範以特種個資為自動化分析時,應進行資料保護影響評估。
芝麻信用服務協議第二條第四項「...為了外部機構給您提供更多優質 的服務,包括享受有關優惠、享受更加便捷的流程體驗等,您同意我們可將 您的全部信息進行分析並將結果推送給我們的合作或服務的機構,考慮到該 分析結果並不涉及您的具體信息或其他敏感信息,您同意上述分析結果的輸 出無須另行獲得您的授權。」直接要求資料主體同意將全部信息進行分析並 將結果推送給合作或服務的機構,而無得以拒絕之告知,也沒有看到在服務 協議中有給予適當的保護措施。僅於芝麻信用服務協議第二條第六項規範
「如果您對於我們的服務有異議,您可以向我們提出,我們根據適用的法定 期限會進行核查、處理及答复。」給予表達意見機會,但仍無拒絕自動化之 規定。
第七節 安全維持義務之自我免責
考量信用評估係需要大量個人資料,而個人資料越集中越有被入侵或 破壞之危險,同時安全維持義務也是資料處理者對資料主體個人資料自主權 的保障,避免資料主體所交付之個人資料,遭竊取或破壞而無法掌控資料流 向。
我國個資法第十八條「公務機關保有個人資料檔案者,應指定專人辦 理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」要求 公務機關有安全維護義務,並於個資法施行細則第二十四條針對公務機關特 別規定「公務機關保有個人資料檔案者,應訂定個人資料安全維護規定。」
人員部分依據個資法施行細則第二十五條規定「個資法第十八條所稱專人,
指具有管理及維護個人資料檔案之能力,且足以擔任機關之個人資料檔案安 全維護經常性工作之人員。」同條第二項亦加重公務機關責任,要求「公務
‧
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
權人,監督義務之範圍,並不僅以訂定個資法第 27 條第 2 項規定之個人資 料檔案安全維護計畫或業務終止後個人資料處理方法,即為已足。尚須就具 體個案,視非公務機關之規模大小與組織、所違反個資法規定條文之內容與 意義、個人資料數量多寡、機敏性之風險程度、監督可能性等因素而定。一 般而言,必要之監督措施,例如:是否選任適當之人員、適當之組織分工、
訓練、說明、指示、查看、對於不當行為之糾正改進、依法規改善設施…等,
惟以客觀上有必要且有期待可能性者為限;如有特殊情況(發現營運有不正 常現象、選任之人員不能勝任…等)亦當提高其要求標準。有關組織上之欠 缺,包括分工未周而無人負責、責任重疊致相互推諉、權責過度下放等,亦 可能構成違反監督義務。故代表人所應盡之防止義務,應考量組織規模與保 有個人資料之數量或內容,依比例原則建立技術上與組織上之措施,並視體 個案情形判斷之。」要求由實際作為來判斷是否已盡防止義務184
GDPR 第五條規定處理應以確保個人資料適當安全性之方式為之,包括 使用適當之技術上或組織上之措施,以防止未經授權或非法處理,並防止意 外遺失、破壞或損壞(「完整性和保密性」)。同條更規定控管者應遵守相關 原則,並負舉證責任證明之。要求由資料處理者承擔舉證責任,證明其已盡 安全維持義務。
芝麻信用服務協議第四條第四款表示「我們的系統在下列狀況發生時 會無法正常運作,所以下列情形中我們無法向您提供服務。您對此充分理解 並同意我們無須就下述情況所導致服務無法正常提供時給您造成的各種影 響或損失承擔責任:...(四)由於黑客攻擊、電信部門技術調整或故障、
網站升級、第三方方面的問題等原因而造成我們的服務中斷或者延遲。」另 於芝麻信用官方網頁表示「資料主體理解並同意,鑒於電腦、互聯網的特殊 性,下述情況不屬於芝麻信用違約:2、駭客攻擊造成服務中斷、資訊資料
184 法務部 103 年 10 月 21 日法律字第 10303512310 號函。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
洩露;但芝麻信用應按照本協議約定做好應急處理。」185就駭客攻擊、電信 部門技術調整或故障、網站升級、第三方方面而服務中斷、資訊資料洩露之 狀況,均可以免責。
然而駭客攻擊有時是肇因於芝麻信用本身安全性維護不夠,未盡到安 全性維護義務才導致駭客攻擊,此時仍可認為芝麻信用免責?其實將芝麻信 用應盡之責任轉嫁給資料主體,讓其在訴訟上承受舉證責任。在芝麻信用未 舉證責任證明其已盡安全性維持義務,諸如:內部管理程序、管理機制、管 理人員配置、認知宣導、設備安全管理、資料安全稽核機制等措施是否適當 採行,而逕以「不屬於芝麻信用違約」之效果加以約定,芝麻信用管理有限 公司服務協議第四點之規定實有可議之處。