條文內容
一、非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。
二、依前項規定請求賠償者,適用前條第二項至第六項規定。
1.非公務機關採『過失責任主義』(有過失才要賠償),能證明其無故意或過失者除外
2.要證明無故意或過失有較高難度,因為個人資料外洩,法官心證會認為一定有某些點有個資,且沒有善盡保護之責任
3.企業現在個資保護上努力越多,未來賠償可能就越少
4.如果在購物平台買東西的消費者發現被詐騙,提起訴訟,企業被要求至法庭說明時:
4.1 該企業不可以說:我們的系統都沒問題,應該是店家或物流業者的疏失
4.2 應該說:本公司的流程皆符合ISMS以及PIMS,否則就會被法官要求要依法答辯。抗辯越多,被傳喚的人就越多
5.雖個資法之舉證責任倒置,但原告仍須舉證其個資係由被告所侵害,只是不用證明被告係故意或有無過失。同時,原告亦需舉證有損害發生無損害即無賠償原則(民事訴訟法§222),有損害即有賠償原則
6.非公務機關如能符合下列三種標準,應可證明已盡保護之責:
6.1 ISMS (Information Security Management System): ISO 27001
6.2 PIMS (Personal Information Management System): BS10012, JISQ15001
6.3 國內法規
7.此即為舉證責任倒置之條文