You are currently viewing 一般民間企業之資訊安全

一般民間企業之資訊安全

隨著網路的無遠弗屆,我們只要透過3C產品輸入個人資料,就可以預訂飯店、購買商品、訂定機票、餐廳、求職等,網路幾乎無所不能。但帶來便利的同時,網路也隱藏許多危機,許多人在登錄網路平台的同時,個人資訊也隨同外流,而詐騙集團利用這些外流之資訊,進而聯繫被害人並使之受騙。除了詐騙集團外,被害人可否向外洩個人資訊的網路平台請求損害賠償呢?

參考我國法院判決可以發現,曾有詐騙集團謊稱係A網站之員工,因會計人員疏失導致A網站連續扣款,要求被害人須依指示操作自動櫃員機解除錯誤設定,詐騙集團以此詐術使被害人陷入錯誤,進而匯款至該詐欺集團成員指示之金融帳戶。但詐騙集團為何能取得被害人在A網站上登錄之資訊呢?A網站是否需要負損害賠償責任?判決中先以交易內容、付款方式、個人資料判斷被害人洩漏之資訊確實係由A網站所外洩後,在藉由專家出具之IP位址之漏洞掃描報告、資安事件快篩分析報告之快篩分析等資料,判斷A網站存有內部及外部風險控制之缺陷,認定A網站未盡適當安全維護措施,最後依照個人資料保護法第29條規定,判A網站需負損害賠償責任。但判決中同時也提到,因現今社會詐騙案件層出不窮,電視新聞、報章媒體都有加強宣導,而被害人為具有相當智識之成年人,且詐騙行為人所用詐欺手法並非罕見,被害人卻疏未注意,仍多次聽從歹徒指示匯款,因此認為被害人應按民法第217條規定,負擔三成之過失責任。

從前開案例中可知,詐騙集團利用網站外洩之資訊,詐騙被害人時,若網站無適當之安全措施維護民眾之個人資料,被害人除詐騙集團外,也可以依法向網路平台請求損害賠償。我國於108年1月1日正式施行資通安全管理法(下稱資安法),然細譯其規範,僅將除軍事機關及情報機關以外之公務機關及提供關鍵基礎設施、公營事業及政府捐助之財團法人納入規範,對於一般民間企業並無特別予以規範、限制。但一般民間企業仍可配合公司內部運作流程及環節,參考資安法及施行細則的規定,將資通安全政策及目標、資通安全推動組織、專責人力及經費之配置、資通安全長之配置、資通安全風險評估等內容納入公司內部之資通安全維護計畫;或是可參考資通安全責任等級分級辦法,因應不同業務,採取不同等級之防護機制;又或是可以參考各機關對危害國家資通安全產品限制使用原則,限制員工在公司上班時間禁止使用某些廠商製造之3C產品。

資安法中有許多資安防護的基本精神與作法可供一般民間企業、網站參考,一般民間企業可隨時調整並於企業內部施行過程中,因應內部作業環節,不斷精進資訊安全之保護,此不僅是保護客戶之資訊,亦降低公司內部機密外流之風險,避免事故發生,在網路個資外洩、駭客攻擊等資安事件頻繁發生的時代裡,希望透過建構這些機制,可以形成強而有力的盾牌,保護你我不受損害!

撰文 ★ 王妤安 律師