匯流新聞網

魏國瑞／逢甲大學資工系兼任助理教授

日前看到貴媒體報導「資安不嚴消費者個資外洩遭詐騙 酒店及系統管理業者高院判賠」，以下就個人看法，敬請不吝參考。

近年來，重大個資外洩事件屢見不鮮，凸顯了一個深具擔憂的現實：個人資料的保護及合理運用面臨嚴重挑戰。

民眾對於自身的個人資料日益重視，恐懼因資料外洩而導致個人權益受損，實際案例中也有許多詐騙事件起因於網路消費過程中資料洩漏。然造成資料外洩的途徑多樣，例如系統漏洞未及時修補導致個資及消費行為全暴露、系統設定缺失而發生資料篡改，甚至內部員工意識不足或管理機制失效而受駭客入侵。不論是何種途徑導致消費者權益受損，若欲透過司法途徑尋求補償，都須由消費者搜集資料、自行舉證。但在資訊不對等的情況下，使用者根本無法從系統中獲得所需的管理資訊，導致求償過程窒礙難行又勞心勞力。因此，多數消費者只能默默承擔損失，自行承擔後果。

從消費者舉證到資訊管理者必須充分展現保護個資作為

近期臺灣高等法院在民事判決中，一名趙姓消費者透過溫泉酒店官網訂購溫泉券，於訂購時提供個人資訊及刷卡等敏感資料。事後卻因溫泉酒店個資外洩而遭訛詐受害，為此趙氏一路訴諸法院。歷經漫長訴訟，高院認定溫泉酒店於所保有之消費者個資應採行適當安全防護措施，應對委由管理維護的系統公司負有適當監督的責任。這也代表著業者及其合作夥伴都必須負起保護消費者資料的權責。

整個訴訟過程凸顯了個資保護觀點的轉變，從消費者自行舉證的弱勢地位轉向要求業者證實個資外洩事件前，業者有依循個資法及施行細則針對消費者資料進行妥善保護。由此可知，未來業者都必須有能力證明組織已近到完善保護消費者資料的責任，這可說是為個資保護開啟了新的里程碑。

業者隨趨勢應當認知事前善盡防護的重要性

過去許多業者在規劃經費時，常將資訊安全放置最後考量，甚至直接忽略，認為這是一項非必要的投資。在委外規劃時也是為了降低專案成本，過度轉包導致資訊安全檢測「有就好」的窘境，而忽略了檢測品質和真正安全維護的重要性。萬一不幸發生資料外洩時，才開始互相推託責任，但最終受害者往往是無辜的消費者。

在眾多重大資料外洩事件下，業者紛紛感受到，事後的補救與聲譽重建成本遠高於事前良好管理與防護所需。不敢再抱持僥倖心態，以為未必成為駭客攻擊目標而忽略資安的推動。反而應該以盡善保護消費者個資為原則，包括定期進行弱點掃描和滲透測試，透過第三方專業檢測來了解系統的安全性，以展現對保護消費者資料的責任。同時，加強企業內部管理機制、透過社交工程演練提高員工對於資訊安全的意識和重視程度。這些儼然已不再是非必要投資，而是同時保護業者和消費者的一種方式，在法庭上也能展現完善盡到保護之權責。

照片來源：Unsplash示意圖

《更多CNEWS匯流新聞網報導》

【投書】「人丁絲絹稅」與貓狗屁關係？

【投書】都蘭國小書包的省思

【文章轉載請註明出處】

【以上言論非本網立埸 文責由專欄作者自負】