自個資法於去年10月上路以來,至今仍有不少公、私立機構在心態、做法上無法自我調適。過去就曾經發生過,網站經營者對於接獲使用者協助回報有安全漏洞卻毫無回應或改善,等到因該資安漏洞引發個資外洩問題時,網站經營者反而將責任全部推給「駭客入侵」。
事實上,按個資法第二十七條第一項規定:「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」因此,持有個資的企業或網站經營者,依法都負有重大的保管責任。
其次,個資法第二十九條第一項也規定:「非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。」所以企業或網站經營者若經證明曾接獲資安漏洞通報,卻因故而沒有進行改善措施而導致所存之個資洩漏的話,就並非僅憑「駭客入侵」即能推卸未妥善保護個資的責任了。
資安專家翁浩正表示,從資訊安全專業的角度來看,大多數網站都有不少的漏洞與弱點,因為資安維護難免有些無法注意到的細節。他認為,持有個資的企業或網站若沒有具備完善的安全措施,其狀況在資安專業工程師或高級駭客眼中等於是門戶洞開;若個資因此遭駭並全數賣掉,企業或網站經營者是否能把責任全推在駭客身上,而避掉個資法的賠償責任?
翁浩正指出,在國外,使用者協助回報不僅是非常正常、普遍,企業或網站經營者也大多都重視、以正面的態度去回應使用者的回報。他同時也強調,企業或網站經營者的通報系統也應建立完善的機制;他並舉例,之前曾聯繫某公司客服單位通報資安漏洞,但卻石沈大海,後來偶然接觸到該公司較高層的主管時,該主管卻表示未曾接獲過任何通報。
翁浩正建議,企業或網站經營者與其等到因資安漏洞發生個資外洩,不如把自己的地基打穩,重視並做好個資保護,而不是光藉由「駭客入侵」來卸責。