臺灣網路治理論壇（TWIGF）——AI 時代的個資保護機關元年，台灣準備好了嗎？

本次論壇，周律師以「個資訴訟難題與過度蒐用」為主題，分享他近年對於個人資料保護爭議的實務觀察。在此，特別感謝台灣人權促進會，以及臺灣網路治理論壇（TWIGF）的邀請。

周律師以實際案例為引，分析兩大實務重點：

▌關於當事人於訴訟中的舉證責任

當個人資料（下稱「個資」）遭外洩時，受害當事人要在法律上證明業者有責任，其實並不容易。依據《個人資料保護法》（下稱《個資法》）相關規定，當事人必須先證明「業者確實有違反《個資法》的情形」，再證明「業者對於違反《個資法》確實有過失」，才能主張損害賠償。

周律師指出，雖然《個資法》在民事損害賠償部分，是採「推定過失」原則——只要出現違法情形，法律即先推定業者有過失，後再由業者自行舉證證明無過失，以減輕當事人之舉證困難。然而，當事人仍負有先證明「業者確實有違反《個資法》的情形」的責任，此往往成為造成當事人無法成功求償的阻礙。

以雄獅團體訴訟案為例，這是國內首件因公開發行公司個資外洩，而由消基會提起的團體訴訟。一審法院指出，若原告（當事人）無法舉證證明被告（業者）未採取適當安全措施，請求將難以成立。同樣地，在 iRent 用戶個資外洩案中，法院也採取相似見解。

然而在實務上，相關證據往往掌握於業者端，對一般人而言，舉證「業者確實有違反《個資法》的情形」，仍極為困難。周律師表示，若屬於「證據偏在」的情況，法院仍可於個案中，依《民事訴訟法》第 277 條但書的規定，酌予減輕或倒置當事人舉證責任，以避免資訊不對等造成權益失衡。 

▌關於個資蒐集過度的問題

根據《個資法》，個資的蒐集、處理與利用，必須在「特定目的的必要範圍內」進行。但實務上仍經常可見業者蒐集範圍過廣的情形。

例如：消基會曾指出， iRent 租車條款不但要求使用者提供姓名、電話、駕照之外，還要求提供使用者配偶的個人資料等非必要資訊；此外，資料分享的對象尚擴及於關係企業及未來合作夥伴，其範圍過廣，恐有違法之虞。

周律師提醒，企業除應確保蒐集目的明確、具法定事由外，更須符合「必要性原則」，以避免落入過度蒐集的法律風險。

▌活動花絮：

#個資法 #生成式AI

#台灣人權促進會 #臺灣網路治理論壇 #TWIGF #消基會

#周逸濱律師 #威律法律事務所