真是嚇死,我們社區也是用智生活。
資安漏洞最常面臨的風險,就是使用者/消費者的個資外洩。
然後造成個資當事人收到詐騙資訊,進而遭受詐騙。
甚至因此損失慘重。
前陣子準備個資法講座時,單以個資外洩當關鍵字,隨便找就有很多這樣的新聞!
接到電話,他能具體指出曾經在哪間店消費過。
企圖讓你以為一切是真的,聽從他的指示完成一些行為,取得你的財產。
你一定也碰過這種經驗,只是最終沒有被騙。
我看到因為個資外洩後被詐騙提告的法院判決。
發現,個資法的設計及法院認定上,都賦予外洩個資的企業更高的義務。
❶|有適當的安全措施由企業舉證
個資法規定,擁有個資的企業,應該採取適當的措施來保護取得的個資,避免個資被竊取、竄改、毀損、滅失或洩漏。
就算委外處理資安的企業,也一樣要負責!
但根據法院實務,企業必須自行舉證「已完成」且「適當」足以保護個資的安全措施。
而且蠻嚴格的。
看到有判決認為:
· 所提資安維護數據在個資本人被詐騙後+資安分析報告顯示有缺漏➜
未盡適當安全維護措施· 直接援引企業向數發部說明資安遭竊的內容➜
縱使有資安維護,但確實有資安疏漏可以看出,資安要做完全,且要有明確的紀錄有多重要。
❷|個資外洩查明後,以適當方式告知當事人
個資法也有規定,違反個資法導致個資被竊取,企業也要在查明後通知個資當事人。
通知要達什麼程度,依狀況而異。
舉個法院的例子:
泛稱「近日詐騙案件增多」及防詐宣導內容➜
未提及個資已遭外洩,未盡個資法上通知義務❸|不易或不能證明其實際損害額時仍能請求
一般情形,請求賠償的一方,要對請求金額負舉證責任。
但個資受侵害的損害未必能被證明。
因此,個資法規定,受害者可以就不易或不能證實的損害,每人每件事請求五百元到二萬元的賠償。
同一原因造成損害額超過兩億元時,也不受以上賠償範圍限制。
也就是說,可以不待個資當事人有足夠的舉證,企業還是需要賠償。
而且不再是不痛不癢的賠償上限。
反映企業對資安維護必須重視。
當然,如果以上個資外洩是出於故意,責任範圍又是另外一回事了。