专家传真－个资外泄频传，企业如何因应

王品餐饮集团会员个资外泄并遭到诈骗，到近日台北国际马拉松大赛参赛者遭到诈骗，已经接获20多件报案。

虽然早有〈个人资料保护法〉，但第28条第三项、第四项所指，如被害人不易或不能证明其实际损害额时，得请求法院依侵害情节，若以2亿元的赔偿上限，除以750万位学生，平均每人赔偿26.6元，赔偿上限使得立法目的难以落实。

这些受诈骗的个资所有人其损失属第三人损失，这是责任保险（Liability Insurance）主要理赔的项目，换句话说企业可以藉由适当的责任保险来弥补消费者或者客户的损失。对责任保险的误解或忽视，正是台湾企业与国际企业在风险管理思维最大的差别。

资安保险是一项新兴的保险规划，除了提供企业资料恢復及系统修復、相关危机处理费用、信用监控费用、数位鉴识费用之外，也包括造成的财务损失及对第三方的损失请求赔偿。

常见企业对自身的资安防护作为非常有重心，认为即使遭受攻击也能够在最短时间之内恢復系统，然而依据〈2021 IBM数据外泄成本报告〉实际调查发现，从骇客入侵到企业发现遭受攻击平均天数为212天，确认被攻击之后到完全控制为75天。

即使企业可以承受自身的紧急修復成本及财务损失，但面对上百万甚至千万笔个资外泄、遭受诈骗的客户所提起集体诉讼如何面对呢？

个资法立法之初若更理解保险特性，善用责任保险的赔偿功能，可创造多赢局面，一方面因个资外泄的受害者得到合理的补偿（远超过500元），而企业透过风险转嫁也不致因赔偿受害人损失而破产或倒闭，同时得以实现当时个资法立法之目的。

个人认为，对第三方损害赔偿责任的重视代表一个社会公民意识的成熟度，近来渐渐看见法院作出天价赔偿的判决，这正是一项重要指标。

我经常对董事会成员提出一个概念「Liability is fatal」。Liability对财会人员而言是所谓的「负债」，但在风险管理专家眼中却是「法律赔偿责任」，而法律赔偿责任极可能导致企业倒闭。

企业面对风险管理时绝大多数重视的是自身实体损失，例如机器设备、厂房、运输车队，轻忽第三方的赔偿责任，因此责任保险不是额度太低就是挑选价格便宜的险种而买错商品，例如桃园某制药厂大火波及隔壁工厂，却误以为投保3,000万公共意外险可以理赔相邻厂房损失，其实受制于分项限额仅有500万额度可赔偿第三人财物损失，在此案中真正可以赔偿第三方财物损失是Commercial General Liability Insurance （CGLI）。

回到资安保险本身，愈强固的个资防护机制降低的是外泄事件发生的可能性（Likelihood），投保资安险时也可以得到更好的费率（Rate），同时足够的「法律赔偿额度」可大幅降低该事件带来的衝击（Impact），确保公司EPS的稳定性。值得一提的是资安保险其保险额度可全额给付因个资外泄请求损失赔偿之和解金或获赔偿金，不受分项限额（Sub-limit）的限制，对企业风险转嫁可发挥最大效益。