個人資料保護法第二十七條規定註釋-個人資料檔案安全維護計畫及業務終止處理方法

個人資料保護法第27條規定：

非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。

中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。

前項計畫及處理方法之標準等相關事項之辦法，由中央目的事業主管機關定之。

說明：

本法對公務機關之規定，於性質上非公務機關亦相同者，應得用於非公務機關，爰為第一項準用之規定。為統一非公務機關之收費，其標準應由中央目的事業主管機關定之，爰為第二項之規定。

第一項修正理由如次：（一）非公務機關準用原條文第十二條、第十三條、第十五條、第十六條第一項規定，已分別於修正條文第十條、第十一條、第十三條及第十四條明定之，爰刪除原條文第一項有關上開規定之準用及第二項規定。（二）非公務機關雖不再準用公務機關「指定專人依相關法令辦理安全維護事項」之規定，惟對於所保有之個人資料檔案，仍應負安全保管責任，爰參考丹麥個人資料處理法第四十一條，規定非公務機關應採行適當之安全維護措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。由於非公務機關行業別限制取消，原條文第二十條第五項業已刪除。然某些行業如銀行、電信、醫院、保險等，因保有大量且重要之個人資料檔案，其所負之安全保管責任應較一般行業為重，爰增訂第二項規定，授權中央目的事業主管機關得指定特定之非公務機關，要求其訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法，以加強管理，確保個人資料之安全維護。前項規定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法，宜有相關規範，以為依循，爰增訂第三項規定，授權由中央目的事業主管機關訂定辦法。

按個人資料，指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料；非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏；非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限；依前項規定請求賠償者，適用個資法第28條第2項至第6項規定，同法第2條第1款、第27條第1項、第29條分別定有明文。又按應證之事實雖無直接證據足資證明，但可應用經驗法則，依已明瞭之間接事實，推定其真偽。是以證明應證事實之證據資料，並不以可直接單獨證明之直接證據為限，凡先綜合其他情狀，證明某事實，再由某事實為推理的證明應證事實，而該間接事實與應證事實之間，依經驗法則及論理法則已足推認其有因果關係存在者，自非以直接證明應證事實為必要（最高法院98年度台上字第2035號判決意旨參照）。…按損害賠償之債，以有損害之發生及有責任原因之事實，並二者之間，有相當因果關係為成立要件。又所謂相當因果關係，係指依經驗法則，綜合行為當時所存在之一切事實，為客觀之事後審查，認為在一般情形下，有此環境、有此行為之同一條件，均可發生同一之結果者，則該條件即為發生結果之相當條件，行為與結果即有相當之困果關係；反之，若在一般情形上，有此同一條件存在，而依客觀之審查，認為不必皆發生此結果者，則該條件與結果並不相當，不過為偶然之事實而已，其行為與結果間即無相當因果關係，不能僅以行為人就其行為有故意過失，即認該行為與損害間有相當因果關係（最高法院87年度台上字第154號、98年度台上字第673號判決意旨參照）。換言之，相當因果關係之認定，應以行為人之行為所造成之客觀存在事實為觀察之基礎，倘就該客觀存在之事實，依吾人智識經驗判斷，通常均有發生同樣損害結果之可能者，始得謂行為人之行為與被害人所受損害間，具有相當因果關係（最高法院99年度台上字第1349號判決意旨參照）。查富爾特公司確有洩漏其保有張秋蘭之個人資料，已認定如前，而張秋蘭於106年4月28日下午5時30分許，因接獲詐騙集團成員致電謊稱其為系爭網站平台人員，就系爭交易因系爭網站會計人員疏失，導致連續扣款，須依指示操作自動櫃員機解除上開錯誤設定，致陷於錯誤，共計匯款25萬7,892元至該詐欺集團成員指示之金融帳戶，亦如前述，可見若非詐騙集團取得張秋蘭留存於系爭網站平台之個人資料，並使用該等明確、特定之個人資料以取信於張秋蘭，張秋蘭應不致於陷於錯誤而遭詐騙，堪認富爾特公司前揭未盡適當安全維護措施，致洩漏張秋蘭個人資料之行為，與張秋蘭遭詐騙受有25萬7,892元損害間有相當因果關係，張秋蘭自得請求該部分財產上損害之賠償（臺灣士林地方法院107年度簡上字第225號民事判決）。