回顧去年華信航空疑似遭到入侵，導致一名女子購票後因個資外洩，遭到電話詐騙損失52萬元，提起訴訟法院華信航空敗訴並賠償，雖是企業被認定首起個資外洩過失賠償判例，然最後僅判賠2萬元罰緩(個資外洩行政罰則最低金額)。而這起新聞個資外洩判例，EZ訂因為善盡資安管理訴訟敗訴定讞，EZ訂需負擔7成(受害者損失25萬元，個資法29條單一事件上限2萬元)賠償金額約19萬餘元，對未來法院相關個資外洩案件判決將有重大影響。

這起案件發生於2017年4月，當事人張女於EZ訂購買2張電影票時隔兩週就接到詐騙電話導致損失25萬元，經過兩年纏訟終於定讞，雖然EZ訂舉證已善盡資安防護管理，經法院審理認定仍指出多項具體資安缺失：

1.業者所提出的3/9日經Trustwave合規證明(VISA線上金流的PCI-DSS合規驗證)僅針對1個IP所做，並未能提出其他IP的合規驗證漏洞掃描報告。

2.業者所提出的調查報告顯示多項資安Log紀錄不完整。

3.目標伺服器稽核紀錄(Audit Log)缺少106年度整年紀錄。

4.SSH登入權限未限縮及缺乏稽核紀錄。

5.內部機敏資料被上傳至雲端硬碟。

基於上述認定資安缺失存在之事實，法官判決此案件業者需承擔70%責任，因此判賠(事主損失25萬+個資法單一事件上限2萬)*70%共約19萬餘元定讞。此案件終於讓司法在個資外洩事件的判例跨出一大步，讓我們看到法官釐清了多數業者想要遊走個資法灰色地帶(善盡資安管理之責任的界線)解釋空間從證據當中直指事實，另一方面法官也對事主明白指出所承擔的30%責任乃基於這類詐騙手法已是成年老梗應要有所警覺。相信對未來類似的案件能提供重要的參考判例，對於業者在善盡資安管理責任應要有更具體之措施與作為，諸如完整資安紀錄保存、資安防禦架構部署、資安事件管理及主動告知等，真正落實善盡資安管理之責任。

 

詳文請見ithome 原文新聞稿