外包供应商的数据泄露责任：民事赔偿与刑事风险的边界

前言

近年来，澳洲相继爆发多起重大资安事故，其中包括 Optus 数据泄露事件（2022） 和 Medibank 客户数据泄露事件（2022），使数百万名客户的个人资料遭到公开或贩售。这些事件不仅动摇了社会大众对大型企业的信任，也让外包 IT 供应商的角色受到广泛检视。由于许多企业将服务器维护、云端储存、网络防护等任务委托外包，当资安漏洞发生时，法律责任应如何分配，成为日益重要的议题。本文将探讨在澳大利亚法制下，外包 IT 供应商若因疏忽导致数据泄露，是否仅承担民事赔偿，还可能涉及刑事责任，特别是妨碍司法、误导调查等罪名。

一、外包供应商在资安结构中的关键角色

在现代企业的营运模式中，信息科技基础设施往往仰赖外包供应商，原因包括：

• 专业性：供应商拥有更高阶的网络安全技术与经验。
• 成本考量：外包往往比建立自有团队更具成本效益。
• 弹性需求：企业可依专案需求调整外包服务规模。

然而，这也带来风险：当资料外泄发生时，消费者的直觉是将矛头指向品牌公司（如 Optus、Medibank），但实际上，背后的供应商才可能是漏洞源头。这就引出一个问题：法律责任是否能延伸至外包方？

二、民事责任：契约与侵权并行

1. 契约责任

通常，企业与 IT 供应商之间会签订服务契约，其中包括：

• 资料保护条款（Data Protection Clauses）
• 遵守《Privacy Act 1988 (Cth)》的义务
• 保密协定与违约责任

若供应商因未尽合理注意义务而导致资料外泄，企业可依契约要求损害赔偿。

2. 侵权责任

若资料外泄造成第三人（如消费者）损害，消费者也可能对供应商提出侵权诉讼，依据的基础是 过失（negligence）。

举例来说，若供应商在服务器更新时未安装必要的安全修补程式，导致黑客入侵，则可能被认为违反合理谨慎义务。

3. 赔偿范围

• 直接损失：如金钱盗刷、身份被盗用。
• 间接损失：如信用受损、心理压力。
  然而，澳洲法院在此类案件中，对「纯粹经济损失」的赔偿仍持谨慎态度

三、刑事风险：妨碍司法与误导调查

虽然资料外泄主要看似是民事与行政监管问题，但在特定情况下，外包供应商的行为可能触及刑事责任。

1. 妨碍司法（Obstruction of Justice）

根据《Crimes Act 1914 (Cth)》及各州刑法，任何人若在调查中：

• 删除服务器日志（log files）
• 加密或销毁关键资料
• 拒绝交出解锁密码（当搜查令已授权）
  均可能构成妨碍司法罪。

2. 误导或伪造证据（Perverting the Course of Justice）

若供应商在调查单位（AFP、ASIC 或 OAIC）询问时，提供虚假资料或隐瞒事实，则可能触犯「perverting the course of justice」或「false or misleading information」的罪名。

3. 公司刑责延伸

在澳大利亚，公司本身也可能因「corporate criminal responsibility」被追诉。这意味着，即便行为人是供应商的基层工程师，只要其行为与公司政策或默许有关，整个公司亦可能被检控。

四、监管机关的角色与趋势

1. 澳大利亚通讯与媒体管理局（ACMA）

对电信产业中的资安要求具有监督角色。

2. 澳大利亚信息专员办公室（OAIC）

根据 Notifiable Data Breaches (NDB) Scheme，企业与供应商皆有通报重大资料外泄的义务。若故意隐瞒，除民事罚款外，亦可能引发刑责调查。

3. ASIC 与 AFP

在涉及金融市场、公司治理与跨境诈欺的资料外泄事件中，ASIC 与 AFP 通常会联手调查。若供应商行为涉及隐匿资料或阻碍调查，更可能触发刑事程序。

五、理论争点：供应商是否应承担「双重责任」？

法律实务中，存在两种观点：

• 限制责任派：认为供应商只是外部协力方，责任应主要由委托公司承担，否则会造成「过度威吓 chilling effect」。
• 扩张责任派：认为供应商既掌握技术控制权，若不对其课以严格责任，将导致企业规避监管（outsourcing liability loophole）。

此争论在 Optus 与 Medibank 事件后持续发酵。许多人认为漏洞其实来自供应商未能及时修补处理。

六、未来改革与建议

1. 强化外包契约审查：法律应要求公司在外包合约中纳入更严格的资安义务条款。
2. 建立刑事责任明确化机制：对于供应商故意删除资料或误导调查的行为，应明文纳入《Crimes Act》。
3. 提高通报透明度：强制供应商直接向 OAIC 通报资料外泄，而非仅透过委托公司。
4. 跨境合作：由于许多供应商服务器设在海外，需加强澳洲与他国之间的司法互助。

结语

在资料外泄成为「新常态」的时代，外包 IT 供应商的法律地位不再是单纯的契约承包者，而是咨询安全链条中的关键一环。民事赔偿固然能弥补部分损害，但若供应商在调查过程中存在隐匿、删除或误导行为，其行为已超越过失范畴，可能引发刑事责任。未来，澳洲法律如何在 保护消费者 与 维持外包产业活力 之间取得平衡，将是立法与司法的重要挑战。

面临相关指控？立即寻求法律协助

若面临相关调查或指控，应及早寻求专业律师协助，才能保障自身权益并妥善应对法律程序。Jenny Xu律师团队可为您提供专业的法律建议，并为您拟定最适合的辩护策略。

免责声明：本文内容仅供一般信息参考，并非法律意见。由于法律可能随时变动，建议您在采取任何行动之前，先咨询合格法律专业人士。