最新消息
請電商業者切勿違反個人資料保護法,以免觸法
2019.10.23

因有電商業者未落實個人資料保護,致客戶個資外洩並遭詐騙集團行騙匯款,被害者遂向電商業者提告,並遭法院判決賠償。請會員們善盡社會企業責任,落實資安防護,以避免違反個人資料保護法 。

以下為「電商業者違反個人資料保護法遭判決賠償案例」

 

案例故事:

當事人A女手機登入B電商之網站,於網站內購買物品,不久後A女接到詐騙集團假冒B電商業者之客服人員的電話,客服人員先核對A女所購買之物品,以降低被害人之戒心,表示工作人員操作錯誤設成每月扣款,因而誆稱需要A女前往ATM操作,來解除協助授權,A女不疑有詐前往ATM操作後遭騙,事後A女到法院提告該電商業者,要求該業者個資外洩而遭詐騙集團利用個人資料,近日法院判決出爐,A女依個人資料保護法第29條規定,請求B電商負損害賠償責任,係電商未落實以下建議:

1、伺服器端log預設保存期限應予加長,且應準備異地備份,避免遭刪除。

2、針對SQL直接語法QUERY資料庫部份應避免使用及做好防護機制。

3、SSH登入權限應限縮並稽核,且避免使用單一組萬用帳號及密碼且可取得最高權限。

4、公司內部應做好避免讓內部人員有機會將機敏資料上傳至雲端防制措施,以降低資料外洩之風險。

5、定期資安偵測及防護建議加強施作,以即時發現任何異常之目標電腦及惡意程式檔案。

6、應避免讓員工攜帶含有公司機密之個人電腦回家,徒增資安風險。

惟電商未落實防制作為即屬有據,爰判決電商業者敗訴。

 

賠償案例流程圖

資料來源:內政部警政署刑事警察局