回顧去年華信航空疑似遭到入侵,導致一名女子購票後因個資外洩,遭到電話詐騙損失52萬元,提起訴訟法院華信航空敗訴並賠償,雖是企業被認定首起個資外洩過失賠償判例,然最後僅判賠2萬元罰緩(個資外洩行政罰則最低金額)。而這起新聞個資外洩判例,EZ訂因為善盡資安管理訴訟敗訴定讞,EZ訂需負擔7成(受害者損失25萬元,個資法29條單一事件上限2萬元)賠償金額約19萬餘元,對未來法院相關個資外洩案件判決將有重大影響。
這起案件發生於2017年4月,當事人張女於EZ訂購買2張電影票時隔兩週就接到詐騙電話導致損失25萬元,經過兩年纏訟終於定讞,雖然EZ訂舉證已善盡資安防護管理,經法院審理認定仍指出多項具體資安缺失:
1.業者所提出的3/9日經Trustwave合規證明(VISA線上金流的PCI-DSS合規驗證)僅針對1個IP所做,並未能提出其他IP的合規驗證漏洞掃描報告。
2.業者所提出的調查報告顯示多項資安Log紀錄不完整。
3.目標伺服器稽核紀錄(Audit Log)缺少106年度整年紀錄。
4.SSH登入權限未限縮及缺乏稽核紀錄。
5.內部機敏資料被上傳至雲端硬碟。
基於上述認定資安缺失存在之事實,法官判決此案件業者需承擔70%責任,因此判賠(事主損失25萬+個資法單一事件上限2萬)*70%共約19萬餘元定讞。此案件終於讓司法在個資外洩事件的判例跨出一大步,讓我們看到法官釐清了多數業者想要遊走個資法灰色地帶(善盡資安管理之責任的界線)解釋空間從證據當中直指事實,另一方面法官也對事主明白指出所承擔的30%責任乃基於這類詐騙手法已是成年老梗應要有所警覺。相信對未來類似的案件能提供重要的參考判例,對於業者在善盡資安管理責任應要有更具體之措施與作為,諸如完整資安紀錄保存、資安防禦架構部署、資安事件管理及主動告知等,真正落實善盡資安管理之責任。
詳文請見ithome 原文新聞稿