前一篇介紹如何辨別個資外洩與電商平台有關,本篇接續介紹個資外洩的責任歸屬、如何證明電商平台未採取適當安全措施問題。
-
▍防止個人資料外洩是誰的責任?
造成網路個資外洩的原因相當複雜,民眾自己當然要小心不要隨意安裝來源不明的程式、不要隨意點選網路連結,並在裝置上安裝好防毒軟體,加上隨時提高警覺,才能避免個資外洩發生。但電商平台業者就沒有責任嗎?
依照個人資料保護法第27條:「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏;中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法;前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之」。
因此,電商平台依法應採取適當的安全措施,甚至有義務制定資料檔案安全維護計畫或業務終止後個人資料處理方法,以防止消費者的個人資料被竊取、竄改、毀損、滅失或洩漏。
-
▍如何證明平台業者未採取適當安全措施,以防止客戶個資被竊取或外洩?
平台業者資本這麼大、員工人數這麼多,消費者又沒在裡面工作,怎麼證明業者未採取適當安全措施?這不是小蝦米對抗大鯨魚嗎?
法院也了解要原告舉證證明被告採取哪些適當安全措施,幾乎不可能,所以會透過舉證責任適當分配方式,請平台業者提供資料,證明其內部已就資安防護工作建置了什麼保護措施,包括:是否建置防火牆、防毒軟體等保護措施?是否建置並落實完善、嚴格之管理制度?是否定期委託第三方專業資安防護公司進行網站弱點掃描?等等。
以臺灣士林地方法院107年度湖小字第401號判決為例,被告「OB嚴選」就未能提出資安防護工作之建置資料、建置日期、曾委託第三方專業資安防護公司定期對被告所營網站進行弱點掃描或防護措施之相關工作資料,也提不出本事件發生前已於內部就經手客戶資訊之員工建置完善、嚴格之管理制度,因而被法院認定未採取適當安全措施。
就算平台業者提供資料來證明已採取適當安全措施,只要詳細研究,仍可以挑出裡面的問題。以臺灣士林地方法院107年度簡上字第225號判決為例,被告「EZ訂」雖提出Trustwave 合規性證明、雲端測試平台主機安全評估測驗報告、網站安全、評估測驗報告、電腦網路使用規範、個人資料保護之管理作業、資安維護與升級作業資料、教育訓練簡報、員工簽到表等。但部分防護工作是外洩事件發生後才補強的,或僅針對部分IP位址實施漏洞掃描,或無法證明有落實其所制訂的管理作業規範等問題(國內業者大多喜歡紙上作業而已,真正落實的不多)。因而被法院認為未採取適當安全措施。
-
-
▍李明勳律師
FB粉專:你的法律好幫手
電話預約諮詢:(02)2502–5220
