【投書】高院開啟個資保護新里程碑 業者應當盡善防護的重要性

  •  2024-02-19

【投書】高院開啟個資保護新里程碑 業者應當盡善防護的重要性 3

魏國瑞/逢甲大學資工系兼任助理教授

日前看到貴媒體報導「資安不嚴消費者個資外洩遭詐騙 酒店及系統管理業者高院判賠」,以下就個人看法,敬請不吝參考。

近年來,重大個資外洩事件屢見不鮮,凸顯了一個深具擔憂的現實:個人資料的保護及合理運用面臨嚴重挑戰。

民眾對於自身的個人資料日益重視,恐懼因資料外洩而導致個人權益受損,實際案例中也有許多詐騙事件起因於網路消費過程中資料洩漏。然造成資料外洩的途徑多樣,例如系統漏洞未及時修補導致個資及消費行為全暴露、系統設定缺失而發生資料篡改,甚至內部員工意識不足或管理機制失效而受駭客入侵。不論是何種途徑導致消費者權益受損,若欲透過司法途徑尋求補償,都須由消費者搜集資料、自行舉證。但在資訊不對等的情況下,使用者根本無法從系統中獲得所需的管理資訊,導致求償過程窒礙難行又勞心勞力。因此,多數消費者只能默默承擔損失,自行承擔後果。

從消費者舉證到資訊管理者必須充分展現保護個資作為

近期臺灣高等法院在民事判決中,一名趙姓消費者透過溫泉酒店官網訂購溫泉券,於訂購時提供個人資訊及刷卡等敏感資料。事後卻因溫泉酒店個資外洩而遭訛詐受害,為此趙氏一路訴諸法院。歷經漫長訴訟,高院認定溫泉酒店於所保有之消費者個資應採行適當安全防護措施,應對委由管理維護的系統公司負有適當監督的責任。這也代表著業者及其合作夥伴都必須負起保護消費者資料的權責。

整個訴訟過程凸顯了個資保護觀點的轉變,從消費者自行舉證的弱勢地位轉向要求業者證實個資外洩事件前,業者有依循個資法及施行細則針對消費者資料進行妥善保護。由此可知,未來業者都必須有能力證明組織已近到完善保護消費者資料的責任,這可說是為個資保護開啟了新的里程碑。

業者隨趨勢應當認知事前善盡防護的重要性

過去許多業者在規劃經費時,常將資訊安全放置最後考量,甚至直接忽略,認為這是一項非必要的投資。在委外規劃時也是為了降低專案成本,過度轉包導致資訊安全檢測「有就好」的窘境,而忽略了檢測品質和真正安全維護的重要性。萬一不幸發生資料外洩時,才開始互相推託責任,但最終受害者往往是無辜的消費者。

在眾多重大資料外洩事件下,業者紛紛感受到,事後的補救與聲譽重建成本遠高於事前良好管理與防護所需。不敢再抱持僥倖心態,以為未必成為駭客攻擊目標而忽略資安的推動。反而應該以盡善保護消費者個資為原則,包括定期進行弱點掃描和滲透測試,透過第三方專業檢測來了解系統的安全性,以展現對保護消費者資料的責任。同時,加強企業內部管理機制、透過社交工程演練提高員工對於資訊安全的意識和重視程度。這些儼然已不再是非必要投資,而是同時保護業者和消費者的一種方式,在法庭上也能展現完善盡到保護之權責。

照片來源:Unsplash示意圖

《更多CNEWS匯流新聞網報導》

【投書】「人丁絲絹稅」與貓狗屁關係?

【投書】都蘭國小書包的省思

【文章轉載請註明出處】

【以上言論非本網立埸 文責由專欄作者自負】