林岡輝律師

原本想要建議公司客戶投保資料保護保險來轉移個人資料使用不當所產生之風險，但看了某家保險公司的保險契約，契約上記載：「除外不保事項…資料使用者或外包廠商就電腦系統安全之維護未達合理之業界水準。」，不禁好奇怎樣才叫合理呢？

打電話詢問了該公司，該公司表示：「主要還是要參考個資法所定的安全維護事項，但並不會在承保時來做審查。還是在案件發生後，看主管機關、及法院來認定是否有到達上開法令、或各目的事業主管機關針對各行業所定的個資、資安管理標準來認定，也就是當公司已經有做了相關安全維護，不過因為人為疏失所導致之損害，才來進行理賠」

依照個人資料保護法施行細則第12條所定：「
本法第六條第一項第二款所稱適當安全維護措施、第十八條所稱安全維護事項、第二十七條第一項所稱適當之安全措施，指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏，採取技術上及組織上之措施。
前項措施，得包括下列事項，並以與所欲達成之個人資料保護目的間，具有適當比例為原則：
第一、配置管理之人員及相當資源。二、界定個人資料之範圍。三、個人資料之風險評估及管理機制。四、事故之預防、通報及應變機制。五、個人資料蒐集、處理及利用之內部管理程序。六、資料安全管理及人員管理。七、認知宣導及教育訓練。八、設備安全管理。九、資料安全稽核機制。十、使用紀錄、軌跡資料及證據保存。十一、個人資料安全維護之整體持續改善。」

如果人為疏失的人員，剛好沒去上個資宣導的課程，保險公司要不要賠呢？

再加上，目前政府機關針對個人資料檔案安全維護計畫的標準部分，目前似乎僅有金融業、保險業、票據交換所、證券業暨期貨業等行業，所以，除外條款到底會如何操作？實在是值得觀察，並需再跟保險業妥予確認的。