前言
當您經營的企業委託資訊廠商開發網站、管理客戶關係系統或處理資料庫,卻發生個資外洩事故時,您第一個念頭可能是:「這是外包廠商的錯,跟我無關。」然而,法律實務的答案並非如此簡單。根據台灣個人資料保護法及相關司法實務見解,企業作為個人資料的原始蒐集者,即使已將資料處理委外,仍負有監督義務,無法完全免責。本文將直接為您解析:當外包廠商造成個資外洩,企業仍可能與廠商共同承擔責任;第一步應該是立即保存證據、查閱委外合約中的資安條款,並在未取得法律專業意見前,切勿對外公開指責廠商或對客戶做出賠償承諾。
壹、去識別化案例事實
某間位於桃園的電子商務公司(下稱A公司),為拓展業務,委託一家資訊系統開發商(下稱B公司)建置官方網站及會員管理系統。雙方簽訂委外合約,合約中明定B公司應負擔資料安全維護責任,並約定若發生個資外洩事件,由B公司負全責。
然而,B公司因未定期更新系統安全漏洞,導致駭客入侵資料庫,竊取A公司會員的姓名、電話、電子郵件及部分信用卡資訊。事故發生後,A公司陸續接到會員反映接到詐騙電話,部分會員因此遭受財產損失。A公司立即通知所有受影響客戶,並向桃園市政府警察局報案。同時,A公司要求B公司提供事故報告及系統日誌,但B公司以「涉及營業秘密」為由拒絕提供完整資訊。目前,多名受影響會員已委任律師向A公司請求損害賠償,而A公司則計劃向B公司追償。
貳、核心爭點
企業將個資處理委外後,是否仍須對客戶負擔個資外洩的賠償責任?
委外廠商(如系統商、雲端服務商)及其次承包商在法律上應負擔何種責任?
委外合約中的「廠商負全責」條款,能否完全免除企業的責任?
當廠商不配合提供日誌或事故報告時,企業有何法律救濟管道?
事故發生後,企業對客戶、主管機關及合作方的通報順序與法規要求為何?
參、法律解析
一、企業作為原始蒐集者的監督義務
根據**個人資料保護法第27條第1項,非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。此處的安全措施義務,不僅限於企業本身直接處理資料的行為,更延伸至委外廠商。個人資料保護法第4條**更明確規定:「受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關。」
這意味著,當企業委託B公司處理客戶個資時,B公司在法律上被視為A公司的「延伸」,A公司仍須對B公司的違法行為負責。參照判決,法院明確指出緩慢公司(即原始資料保有者)為個資法第27條第1項所稱保有個人資料檔案者,應負適當安全措施及通知義務,不因委外而免除。判決亦持相同見解,認定麗禧公司作為訂購系統的營運者,即使系統由墨攻公司開發維護,仍須對個資外洩負責。
二、委外廠商、雲端服務商與次委外的責任鏈
當事故涉及多重委外關係時,責任鏈可能更為複雜。例如:企業委託A系統商開發網站,A系統商又將部分工作分包給B雲端服務商。此時:
企業:仍須對客戶負擔原始監督責任,無法以「已委託專業廠商」為由卸責。
A系統商:若未善盡對次承包商的管理監督,須對企業及客戶負連帶賠償責任。
B雲端服務商:直接參與資料處理者,若違反安全維護義務,亦須對客戶負侵權責任。
**民法第184條第2項**規定:「違反保護他人之法律,致生損害於他人者,負賠償責任。」個資法即屬保護他人之法律,因此廠商若違反安全維護義務,即可能構成民法第184條第2項的侵權行為。判決即認定迪卡儂公司未採取適當安全措施,違反個資法第27條,須對客戶負賠償責任。
三、契約中的資安標準、通知期限、稽核權與賠償條款
委外合約是企業保護自身權益的第一道防線,應至少包含以下條款:
資安標準:明定廠商應遵循的安全等級(如ISO 27001、PCI DSS等),並將資料分類分級。
通知期限:發生事故後,廠商應在「立即」(例如24小時內)通知企業,否則構成違約。
稽核權:企業得隨時要求查閱廠商的系統日誌、事故報告及處理紀錄。
賠償條款:約定廠商應負擔企業因事故所生的全部損失,包括對客戶的賠償金、律師費、行政罰鍰等。
但須注意,即使合約如此約定,仍無法完全免除企業對客戶的責任,企業仍可能因「監督不周」而須對客戶先行賠償,再向廠商追償。
肆、實務判斷重點
法院或主管機關在判斷責任歸屬時,通常會綜合考量以下因素:
委外合約內容:合約是否明確要求廠商採取特定安全措施?是否有定期稽核機制?
企業的實際監督行為:企業是否曾定期要求廠商提供資安報告?是否曾進行實地查核?若企業從未關心廠商的資安狀況,法院很可能認定企業未盡監督義務。
事故原因:外洩是肇因於廠商的系統漏洞,還是企業本身的管理疏失(如未妥善設定權限)?
通知時效:事故發生後,企業是否即時通知客戶?若拖延通報,可能被認定情節重大。
損害規模:涉及多少筆資料?是否包含敏感性資料(如信用卡號、醫療紀錄)?
參照判決,法院認為緩慢公司僅發布一般防詐訊息,未以明確方式告知客戶個資外洩,不符合個資法第12條的通知要件,構成違法。這顯示「通知方式」是實務判斷的重點之一。
伍、證據保存與處理流程
立即步驟(事故發生後24小時內)
封存證據:立即保存所有系統日誌、廠商往來郵件、事故報告、錯誤訊息截圖等。
保全廠商系統:要求廠商不得刪除或修改任何相關紀錄。
啟動內部調查:確認外洩範圍(日期、資料類型、受影響人數)。
切勿對外發布:在未取得法律意見前,不要對媒體或客戶發布任何聲明。
短期步驟(事故後1週內)
諮詢專業律師:評估法律責任、通知義務與通報對象。
通知主管機關:依個人資料保護法第12條,非公務機關應向主管機關通報。各產業的通報對象不同,例如金融業向金管會、電商向經濟部、醫療業向衛福部。
通知受影響客戶:以「明確、適當的方式」通知客戶外洩事實、類別及已採取的措施。
向廠商發出正式函文:要求廠商限期提供完整事故報告,否則將終止合約並請求賠償。
後續處置
委請數位鑑識:若有爭議,可委託第三方進行數位鑑識,確認外洩原因。
評估訴訟或仲裁:若廠商不配合,可依合約約定提起訴訟或仲裁。
檢討資安政策:全面檢視委外合約、監督機制與資料保護措施,避免再犯。
陸、不同立場的風險與策略
一、企業立場
風險:對客戶負賠償責任,同時對廠商追償可能面臨訴訟曠日費時、證據不足等困難。
策略:主動即時通報、展現誠意;保留完整證據;積極向廠商求償;同時與客戶協商和解。
二、消費者/受害客戶立場
風險:企業可能以「已委託廠商,不關我們的事」推卸責任。
策略:不要只對廠商提告,應同時以企業為被告,主因是企業較有償付能力。可依個資法第29條及民法第184條第2項請求財產及非財產上損害賠償。
參照判決,法院雖然未認可非財產損害的94萬3,000元請求,但仍認定精神慰撫金10萬元為合理。判決亦判決迪卡儂公司應賠償客戶非財產上損害2萬元。顯示消費者仍有機會獲得一定程度的賠償,但切勿期待過高。
柒、律師建議
優先協商:若損害規模不大,可先與客戶協商和解,避免訴訟成本。
報警處理:若涉及詐騙集團或惡意攻擊,應立即報案,取得報案三聯單。
向主管機關申訴:若企業拒絕賠償,消費者得向主管機關(如國家通訊傳播委員會、經濟部)申訴。
保全證據:若對廠商提起訴訟,應先聲請證據保全,避免廠商銷毀資料。
認清訴訟風險:企業向廠商求償,必須先證明「損害與廠商行為有因果關係」,且「損害範圍明確」,否則法院可能駁回或僅判給部分賠償。
捌、謹律律師專業解析
第一步:封存證據、查閱合約。 這是所有後續行動的基礎,切勿先對外發言。
常見誤區:以為合約寫「廠商全責」就能完全免責。 實務上,企業仍須負監督責任,法院通常會判決企業與廠商連帶賠償。
證據策略:聚焦合約中的資安條款、稽核紀錄與通知往來。 若合約未明確規定,法院可能傾向認定企業監督不周。
通報時效:拖延通報可能被認定情節重大,反而加重賠償責任。
追償範圍:企業得向廠商請求賠償的項目包括客戶賠償金、律師費、鑑識費用、商譽損失等,但須有明確單據佐證。
次承包商的責任:企業應要求主承包商在合約中明定次承包商的責任,並保留對次承包的直接追償權。
防範勝於治療:定期稽核廠商、要求提供資安報告,是降低風險最有效的方法。
玖、FAQ
1. 合約寫廠商全責,公司就不用負責嗎?
答案:不能。 實務上,法院認為企業作為原始資料蒐集者,仍負有監督義務,不能以合約約定完全免除對客戶的責任。參照判決,即使廠商被認定違反個資法,企業仍須與廠商連帶賠償。合約中的「全責條款」只能作為企業向廠商追償的依據,無法對抗客戶的直接求償。
2. 廠商不提供日誌怎麼辦?
答案:企業應以書面正式要求廠商提供,並限期回覆。 若廠商拒絕,企業得依合約約定終止契約並請求損害賠償。必要時,得向法院聲請證據保全,請求法院命廠商提出。參照判決,法院曾在類似案件中命廠商提供相關紀錄。
3. 一定要通知所有客戶嗎?
答案:是的。 依**個人資料保護法第12條**,非公務機關知悉個人資料被竊取、洩漏時,應「即時以適當方式通知當事人」。若未通知,可能被認定違反保護他人之法律,加重賠償責任。通知內容應包括事實、影響範圍、已採取措施及建議客戶採取的行動。
4. 可否先對外說是廠商疏失?
答案:強烈建議不要。 在證據未經確認前,對外指責廠商可能構成誹謗或商譽損害,反而使企業陷入反訴風險。正確做法是:「承認事故發生,說明已採取緊急措施,並表示將追究相關責任」,不應直接點名廠商。
5. 企業能向廠商求償哪些費用?
答案:可求償的費用包含對客戶的賠償金、律師費、數位鑑識費用、系統修復費用、商譽損失(須有客觀佐證)等。 但須注意,企業必須證明這些損害與廠商的行為有直接因果關係,且相關支出須有單據佐證。參照判決,法院支持企業向系統商請求賠償其已賠付消費者的和解金69萬1,976元。
拾、大桃園與雙北服務段落
本所專業團隊深耕桃園地區,提供企業法律顧問及民事訴訟服務,服務範圍涵蓋桃園、中壢、八德、平鎮、龜山、蘆竹、楊梅、龍潭、大溪等地。不論您的企業總部設於桃園市區,或工廠、倉儲位於周邊衛星城鎮,我們都能就近提供即時且貼近在地實務的法律諮詢。此外,雙北地區(臺北市、新北市)亦設有服務窗口,方便客戶就近諮詢。我們深知資訊委外與個資保護對企業營運的重要性,並已協助多家桃園在地企業處理委外合約審閱、資安事件應變及廠商追償等法律事務。
拾壹、相關文章延伸閱讀與諮詢引導
謹律法律事務所諮詢引導
如果您正面臨委外廠商造成個資外洩的困擾,或想了解如何透過契約預防風險,歡迎隨時聯繫我們。您可以先提供委外合約、事故報告等相關資料,由律師依個案為您評估法律責任與最佳策略。
諮詢專線:0907-010257
官方 LINE:@best1177


