观策站》iRent用户资料外泄 应迅速赔偿和解（叶庆元、黄伟齐）

iRent传个资外泄，金管会称证交所已启动查核和泰内控。（图／本报资料照）

依媒体报导，和泰集团旗下之iRent（和云行动服务股份有限公司）发生用户资料外泄事件；一名安全研究员在和泰汽车的云端伺服器上发现了一个资料库，其中包含iRent的客户名字、手机号码、电子信箱、家庭住址、驾照照片与经特殊处理的卡片支付等个资，且没有密码保护，任何人只要知道资料库的IP位址都可以查看上述客户资料，期间更长达9个月，受害会员更多达14万人。这显然是我国近期私部门最严重的个资外泄事件，和云及和泰更可能面临28亿元的民事赔偿责任，相关法律责任及解决方案值得加以分析、检讨。

本案，和云为提供服务的需要，搜集、保管消费者的姓名、手机号码、电子信箱、地址、驾照照片等个人资料，尚属于法有据，但和云既然持有相关个资，并且又储存在和泰的云端伺服器，和泰及和云就必须依据个资法第27条及汽车运输业个人资料档案安全维护计划及处理办法规定，规划、订定、修正与执行消费者个人资料档案安全维护计划，以落实个人资料档案之安全维护与管理。此次发生个资外泄时间长达九个月，且和泰或和云并未透过密码管理相关个资之撷取，显构成个资法第27条第1项（「未能采行适当之安全措施，防止个人资料……泄漏者」）之情形，依个资法第48条第4款规定，交通部或相关地方政府得命和泰或和云限期改正，如届期未改正者，得按次处新台币2万元以上20万元以下罚锾。

针对此部分，iRent（和云）之目的事业主管机关交通部公路总局表示，已责成台北市区监理所对和云展开调查，若和云确实违反个资法第27条第1项规定，将要求其限期改正，若届期未改正将按次处新台币2万元以上20万元以下之罚锾。此部分虽然有点后知后觉，但总比不知不觉来得好。不过需提醒公路总局的是，由于此一资料库是在设置在和泰的云端伺服器，所以调查及处罚对象除了和云之外，恐怕尚应扩及和泰，方为妥适。

除了行政处罚之外，和云及和泰更应担心的是最高可达28亿元的民事赔偿责任。依个资法第30条规定，个资遭外泄之受害人得于知悉损害时起2年内请求赔偿，并可透过团体诉讼之方式，来节省相关的诉讼成本。此外，虽然个别消费者要证明实际受损不易，但消费者得引用个资法第28条之规定，请求法院依侵害情节，以每人每一事件（单笔外泄）以新台币500元以上2万元以下计算赔偿金额。故本案中若受害之14万名会员皆起诉请求，和云及和泰恐将面临7千万至28亿元之巨额赔偿责任。

面对如此重大的个资外泄事件，笔者认为，和泰及和云应该主动积极与消费者沟通，并提出相关的和解方案（如后续租赁金额折抵等优惠），以免进入民事求偿程序后，面对不可测的天价赔偿，并且也影响和泰的财务报表。此外，这对于主管机关后续裁罚的金额，也有一定程度的影响（虽然行政裁罚的金额在此案相较于民事赔偿责任，真的是如九牛一毛）。

最后，个资的搜集、使用及维护，是政府及企业不可规避的责任。近期除了iRent的个资外泄事件之外，健保资讯以及身分证资料也都曾发生大规模外泄的情况，显见从公部门到私部门，对于个资的管理及维护仍相当漫不经心。由于我国目前对于个资保护并无真正的主管机关（法务部只负责个资法解释，并非专责主管机关），行政院陈院长应通盘考量，指定数位发展部或法务部为专责主管机关，切实督导公、私部门落实个资保护规范，以避免未来再发生类似大规模个资外泄之情形。

（作者为泰鼎法律事务所合伙律师、法务专员叶庆元、黄伟齐）