自個資法於去年10月上路以來,至今仍有不少公、私立機構在心態、做法上無法自我調適。過去就曾經發生過,網站經營者對於接獲使用者協助回報有安全漏洞卻毫無回應或改善,等到因該資安漏洞引發個資外洩問題時,網站經營者反而將責任全部推給「駭客入侵」。
事實上,按個資法第二十七條第一項規定:「非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。」因此,持有個資的企業或網站經營者,依法都負有重大的保管責任。
其次,個資法第二十九條第一項也規定:「非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。」所以企業或網站經營者若經證明曾接獲資安漏洞通報,卻因故而沒有進行改善措施而導致所存之個資洩漏的話,就並非僅憑「駭客入侵」即能推卸未妥善保護個資的責任了。
發表文章
沒有留言:
張貼留言