現行個資法第28條第3項規定,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新台幣500元以上2萬元以下計算。同條第4項及第5項則規定,對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新台幣2億元為限;如同一原因事實造成之損害總額超過2億元時,被害人所受賠償金額,不受第3項所定每人每一事件最低賠償金額新台幣500元之限制。

舉例來說,依據現行個資法規定,如前述iRent租車外洩40萬筆個資受害人請求損害賠償,iRent租車的賠償上限為2億元,平均每一受害人得請求金額為新台幣500元;如微風百貨90萬受害人請求損害賠償,則每一受害人得請求金額僅為新台幣222元;如戶政機關個資外洩受害人請求賠償,每一受害人得請求之金額更是只有新台幣8.6元。如此低的法定賠償額,實在令人感嘆個資果真賤如草芥。

經細查現行個資法第28條立法理由,其第3項將個資賠償下限規定為新台幣500元之原因為「考量個人資料價值性」及「當事人行使請求權、出庭作證之意願」,參酌法院辦理民事事件證人鑑定人日費旅費及鑑定費支給標準第三點「證人、鑑定人到場之日費,每次依新臺幣伍佰元支給」;至於第4項及第5項單一事件賠償上限訂為新台幣2億元之原因則沿用舊法立法原由「為避免賠償額過鉅無法負擔並為風險預估與控管」,僅因個資蒐集日漸普遍,因此將上限由2千萬元提高到2億元。

由前述個資法第28條立法理由,顯然當初立法者並不認為個資具有多大的價值,且其認為受害者行使請求權意願不高。這個理由看似無端,但放到近期個資外洩事件動輒數十萬筆的情況,受害人遍布全國卻無計可施、求助無門的情況,個資確實顯得十分廉價,而受害人多數只能氣在心裡,鮮少會為了區區上限2萬元的賠償對企業耗費時間金錢起訴請求損害賠償之情境,卻也十分貼近事實。而當初立法者考量企業恐因大規模違法事件,賠償額過鉅無法負擔,因此設置賠償上限的立法例,在現今個資外洩情況一再發生,卻無法提出改善措施的情況下,立法者對於企業的體貼之舉,卻也顯得諷刺。

但如果個人資料價值不高,為何竊取個資販賣個資事件會一再發生?更何況,個資多為個人人格權的表彰,豈能以「價值性」予以量化?再者,如果擔憂企業因大規模個資外洩事件恐無法負擔高額賠償,法律應課以企業強化個資防護力度與措施之義務,而非犧牲受害人權益來降低企業賠償責任,此等本末倒置的立法,著實令人不解。

綜觀現時對於個人資料保護法修正方向,多數朝向對違法企業加重行政處罰,少有增加對受害人保護修法意見的提出。事實上,個資外洩真正受害的還是個資所有人,對企業加重處罰可以對企業達到警惕效果,但對於受害人的損害卻無法藉此彌補。因此,企望立法者能在修法時,考量個資外洩受害人權益與企業風險控管,在二者間取得更好的平衡,才能真正達到保護個資的目的。

#損害 #企業 #受害 #賠償 #新台幣