林岡輝律師

原本想要建議公司客戶投保資料保護保險來轉移個人資料使用不當所產生之風險，但看了某家保險公司的保險契約，契約上記載：「除外不保事項…資料使用者或外包廠商就電腦系統安全之維護未達合理之業界水準。」，不禁好奇怎樣才叫合理呢？

打電話詢問了該公司，該公司表示：「主要還是要參考個資法所定的安全維護事項，但並不會在承保時來做審查。還是在案件發生後，看主管機關、及法院來認定是否有到達上開法令、或各目的事業主管機關針對各行業所定的個資、資安管理標準來認定，也就是當公司已經有做了相關安全維護，不過因為人為疏失所導致之損害，才來進行理賠」

依照個人資料保護法施行細則第12條所定：「
本法第六條第一項第二款所稱適當安全維護措施、第十八條所稱安全維護事項、第二十七條第一項所稱適當之安全措施，指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏，採取技術上及組織上之措施。
前項措施，得包括下列事項，並以與所欲達成之個人資料保護目的間，具有適當比例為原則：
第一、配置管理之人員及相當資源。二、界定個人資料之範圍。三、個人資料之風險評估及管理機制。四、事故之預防、通報及應變機制。五、個人資料蒐集、處理及利用之內部管理程序。六、資料安全管理及人員管理。七、認知宣導及教育訓練。八、設備安全管理。九、資料安全稽核機制。十、使用紀錄、軌跡資料及證據保存。十一、個人資料安全維護之整體持續改善。」

如果人為疏失的人員，剛好沒去上個資宣導的課程，保險公司要不要賠呢？

A以個人身分自某學校網站上所公開之老師聯絡方式，取得各老師之電子郵件信箱，並將其認為學校管理不當之處等訴求寄送予各老師，請問A是否違反個人資料保護法？？

首先，要釐清者電子郵件信箱是否為個人資料？？如非個人資料者，自非個人資料保護法所欲處理及規範之對象。依個人資料保護法(下稱本法)第2條規定：「個人資料：…聯絡方式…」，電子郵件信箱為各老師之聯絡方式，且該電子郵件與老師之姓名亦均置放於同一網頁，則電子郵件信箱似屬本法所欲保護之對象。

再者，本法針對告知義務、個人資料之蒐集、處理、利用等行為規範，依行為者之身分為公務機關或非公務機關而有不同。所以，須判斷A之身分為公務機關或非公務機關。鑑於A係以個人身分取得電子郵件部分，參酌本法第2條第7、8款規定：「七、公務機關：指依法行使公權力之中央或地方機關或行政法人。八、非公務機關：指前款以外之自然人、法人或其他團體。」，A非中央或地方機關或行政法人，為自然人，其身份應屬非公務機關。則其取得及利用電子郵件信箱行為是否適法？應以本法關於非公務機關之規範為準，諸如：第19條及第20條等規定為準。

就A取得各老師電子郵件信箱部分：

本法第2條第3款規定：「蒐集：指以任何方法取得個人資料」，A自網站上取得電子郵件信箱部分，自屬蒐集個人資料之行為。