華信航空網站遭「駭」，旅客個資被看光光。165反詐騙諮詢專線統計，今年3月12日至19日，已受理40起遭假冒華信航空客服電話詐騙的案件，另有上百人致電165諮詢，詐騙金額超過300萬元，受害人數持續增加。

    本會也在3月22日接獲陳小姐（化名）申訴，她於2月21日在華信航空官方網站購買2張台北至台東單程機票，並刷卡支付新台幣2932元，沒想到3月22日下午卻接到自稱是華信航空客服的來電，告知因作業人員的疏失，誤將她的付款設為「12期自動刷付」，導致她的銀行帳戶每月將被自動扣款2932元，連續12期，因此要她授權銀行配合辦理取消該自動付款的設定，以免被無故扣款。

    由於自稱是華信航空的客服人員一開始便與陳小姐核對個人資料，包含姓名、電話、email、購買商品、金額、購買日期、搭機航班、班次時間和日期、付款方式、信用卡卡號及發卡行等資料，且都正確無誤，使得陳小姐不疑有他，便按照詐騙集團指示至ATM操作，結果一日之內被詐騙52萬餘元。

• ㄧ、遭詐騙後才收到簡訊 華信未盡「即時通知」義務

    陳小姐驚覺受騙後，3月23日隨即報案處理，並要求洩漏個資的華信航空負起賠償責任，但華信航空卻說自己也是受害者，強調公司人員無人疑似洩漏旅客個資，公司網站系統也無安全問題，且事發之後皆配合警政署指示作業，對於陳小姐請求賠償一事，於法無據，因此無法同意。

    然而本會認為，華信航空難辭其咎，首先，在通報當事人方面，華信航空動作太慢，以致於陳小姐未能即時接到警告。165防詐騙專線自3月12日接獲第一起民眾舉報「冒用華信航空詐騙」案件後，隔（13）日即通知華信航空客服部，須告知近3個月內曾購票的旅客留意，免遭詐騙，且之後至少連續10日向華信航空寄發通知，提醒華信航空加緊聯繫消費者。

    但是，陳小姐卻在自己被詐騙的後6天，也就是3月28日才收到華信航空的簡訊，此時距離「165反詐騙」首次通報華信航空已達15天，為時已晚。根據「個人資料保護法」第12條規定，非公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人。本會認為，華信航空沒有在接獲165反詐騙專線警示，應提醒購票旅客注意迅即以適當方式通知消費者，遲至15日後始以簡訊通知陳小姐個資外洩，因而延誤了防堵詐騙的黃金時間，故華信未善盡通知義務，顯與被害人重大財物損失不無關連。

• 二、華信若未舉證證明已採取適當安全維護措施，即應負損害賠償責任

    依個資法第27條第1項、第29條及第28條第3項分別規定「非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏」、「非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。依前項規定請求賠償者，適用前條第二項至第六項規定」、「對於同一原因事實造成多數當事人權利受侵害之事件，經當事人請求損害賠償者，其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者，以該所涉利益為限」，「非公務機關若違反個資法，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，應負損害賠償責任。但能證明其無故意或過失者，不在此限。」「如被害人不易或不能證明其實際損害額時，得請求法院依侵害情節，以每人每一事件新臺幣500元以上2萬元以下計算」。

        華信航空堅稱查無任何人員有疑似洩露旅客個資之不法情事、無任何違反個人資料保護法的情形、公司系統之信用卡交易也透過加密認證，安全保護無虞；但依法華信需舉證證明其已採取適當安全維護措施及事項，包括技術上及組織上的必要措施，對於購買旅客個資外洩，並無故意或過失，始可免責，否則被害人即可請求華信賠償500元至2萬元金額，至於陳小姐進一步遭詐騙之52萬元損失，若法院認定華信違反即時通知義務與陳小姐遭詐騙間有相當因果關係，則華信亦有負賠償責任的可能。

       華信航空旅客個資外洩，導致多人受害，事實如此不容辯駁，華信航空當然無法置身事外；然而，面對被害人的呼喊以及損害賠償訴求，華信航空卻以受害人自居，對其相關責任兩手一攤，退避三舍，其態度讓人不敢恭維，企業形象也因此更受傷害，本會呼籲面對被害人的呼喊及損害賠償訴求，華信航空應對被害人有同理心，儘速提出賠償辦法，並持續採有效安全維護措施，避免傷害擴大。

• 三、賠償及裁罰案例寥寥可數，非公務機關對大量個資外洩無感

    除了華信航空，台灣企業外洩個資的情況也屢見不鮮。根據165防詐騙專線統計，「金石堂網路書店」位居詐騙集團最愛冒用的網購平台第1名，去年就有697名消費者因金石堂網路書店購書資訊外洩而被詐騙；今年1至3月，受害人數再往上增加220件。

    本會統計，近3年企業「個資外洩」事件已破200萬筆，在民事責任上，若以每人每一事件500元計算賠償金額，則業者至少應付出10億元給受害人，但媒體上卻從未見到企業因個資問題而付出重大賠償的消息。

    另非公務機關對其保有個人資料檔案，未善加採取適當安全措施、防止個人資料被竊取、竄改、毀損、滅失或洩漏者，及違反規定隱匿不為通知被害人者，雖依個資法第48條規定，中央目的事業主管機關或直轄市、縣（市）政府應限期改正，屆期未改正者，按次處新臺幣二萬元以上二十萬元以下罰鍰。然除特許行業之銀行業曾因個資外洩，遭金管會依金融法規開罰外，似乎鮮少耳聞有裁罰個案。

甚至，如意圖為自己或第三人不法之利益或損害他人之利益，而違法蒐集、處理或利用個人資料，足生損害於他人者，依個資法第41條規定，可處五年以下有期徒刑，得併科新臺幣一百萬元以下罰金之刑事責任。但據研究報告所示，102年1月1日至105年12月31日，因違反個資法被起訴之案件共215件，其中遭第一審法院獲判有罪者有135件，分別為102件處以拘役、22件有期徒刑、11件處以罰金，而遭判拘役或徒刑合計124件案件中，123件得易科罰金，僅有1件不得易科罰金，但法院則另為諭知緩刑，換言之，無一人因違反個資法而入監服刑。

相較於非公務機關層出不窮的個資外洩事件，現行法規定除讓被害人不易得知個資外洩訊息，而偏低的賠償金額亦令人缺乏請求誘因，況主管機關對非公務機關發生個資外洩查處態度消極，且違法蒐集處理利用個資之刑事被告均可獲法院輕判，無怪乎非公務機關面對個資外洩事件發生不僅無感，更對斥資改善個資安全維護措施之意願大為下降。

⊙企業「個資外洩」事件一覽表

統計時間：2013年迄今；資料來源：各媒體報導

• 四、企業面臨天價賠償日本、韓國早有先例

    我國「個資法」上路以來，還未曾出現個資外洩的團體訴訟案件，但在日本、韓國早已出現一些案例，使企業面臨高額求償。舉例來說，2004年日本最大網路公司Yahoo！BB被竊取資料，影響450萬名用戶，後來Yahoo！BB給予每人五百日圓精神賠償，但部分用戶仍提民事訴訟，最後法院裁決Yahoo！BB應賠償原告每人6千日元，總計Yahoo！BB為此付出約23億日元。

    媒體報導也指出，2011年8月，2萬7千多名南韓民眾集體控告蘋果公司iPhone手機擅自收集、儲存用戶的個人資料，侵犯隱私，要求蘋果公司賠償每一個人100萬韓圜(約台幣2.6萬元)。事實上，在2011年6月，一位南韓律師在同年6月，就成功透過訴訟迫使蘋果電腦南韓分公司賠償了他100萬韓圜，之後他也組織這起集體訴訟官司。

    高額求償使企業再也不敢輕忽個資管理與保護。本會呼籲，法院應重視個資外洩對消費大眾的傷害，從重判賠，政府也應修改「個資法」，嚴格規範企業的個資保護責任，好讓企業都能挹注更多資源到個資管理上，維護消費環境安全。

消基會呼籲

對政府

• 面對近年來，包括金融業、電商平台、網路賣場等非公務機關資安不設防個資外洩頻傳現況，政府應全面檢視現行個資法對於發生個資外洩事件，民眾求償要件及程序過苛、企業通知義務形同具文，主管機關行政罰緩金額過低，刑事責任構成要件足否嚇阻違法蒐集、處理、利用個資情事等規定，擬研修正相關法規，加強企業對個資安全的管理規範。
• 現行個資法未修正前，主管機關應落實對非公務機關執行資料檔案安全維護例行性業務檢查，且對於未採行適當之個資安全維護措施，或因而致個資外洩或未即時通知消費者之非公務機關，應確實依個資法第48條規定查處裁罰，以提高企業資安意識。

對業者

• 企業應確實依個資法規定對保有個資檔案，採行適當之安全維護措施，一旦企業發現個資外洩情況，則應即刻通知可能受害的消費者，使消費者能儘早接到警告，避免遭到詐騙，受到二次傷害。
• 業者保有的個資檔案若因內控不佳或遭駭客入侵，導致消費者個資外流，則業者應主動負起責任，誠意溝通，依法給予受害人精神以及財物上的損失賠償。

對消費者

• 應時刻注意個人資料之保護，避免輕易透露個人資料。
• 若接到商店客服電話，要求至自動提款機匯款或轉帳操作，請勿理會。消費者應撥打電話到原商店確認事由，或致電165防詐騙專線詢問，免得上當。
• 若發覺個資外洩，可依法向洩密機關求償；若不能證明因資料外流所造成實際損害額，也可請求法院依侵害情況，要求洩密機關給予每人每一事件500元至2萬元的賠償。
• 民眾若有個資外洩的疑慮，或因個資外洩而被詐騙，應立即報警處理。

財團法人中華民國消費者文教基金會