條文內容
一、非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。
二、依前項規定請求賠償者，適用前條第二項至第六項規定。

1.非公務機關採『過失責任主義』（有過失才要賠償），能證明其無故意或過失者除外
2.要證明無故意或過失有較高難度，因為個人資料外洩，法官心證會認為一定有某些點有個資，且沒有善盡保護之責任
3.企業現在個資保護上努力越多，未來賠償可能就越少
4.如果在購物平台買東西的消費者發現被詐騙，提起訴訟，企業被要求至法庭說明時：
4.1 該企業不可以說：我們的系統都沒問題，應該是店家或物流業者的疏失
4.2 應該說：本公司的流程皆符合ISMS以及PIMS，否則就會被法官要求要依法答辯。抗辯越多，被傳喚的人就越多
5.雖個資法之舉證責任倒置，但原告仍須舉證其個資係由被告所侵害，只是不用證明被告係故意或有無過失。同時，原告亦需舉證有損害發生無損害即無賠償原則（民事訴訟法§222），有損害即有賠償原則
6.非公務機關如能符合下列三種標準，應可證明已盡保護之責：
6.1 ISMS (Information Security Management System): ISO 27001
6.2 PIMS (Personal Information Management System): BS10012, JISQ15001
6.3 國內法規
7.此即為舉證責任倒置之條文