呃,國外嚴格的個資法是指GDPR嗎? 那個就是很好的理論脫離實務導致成效好笑的案例。你可以不切實際地規範所有企業通過GDPR或者 ISO 27701,而政府實際上也只能用這種「要求作了哪些資安作為」方式來監督企業,但這些規範其實讓業者用以避責的功效,遠遠大於實際防範到的成效。這就是行政和立法無力的地方。司法無力的點更是無奈,舉例來說,你即使證明了對方系統漏洞百出,但是你仍然無法證明個資外洩與對方系統漏洞百出,你只能靠和稀泥,輿論或各種非技術的方式來賭法官最後偏向誰,這就是我說只有找想當包青天的政府才能夠去強制企業作任何事,否則實務上不論是法治精神或者堅督能量都很難作到。這跟長久以來勞動檢查的問題一樣:(1)具體來說你倒底想要政府管多深?(2)政府有沒有權力管那麼深?(3)政府有沒有能量管那麼深?
我上星期四在何志偉立委與戴瑋姍議員的安排下,找來了中央消保官、國發會(他們有一間個資保護專案辦公室)、衛福部三方行政部門代表,再邀我去立委辦公室進行協調會,想討論目前政府對於民間企業大量個資外洩給詐騙集團的情況,可以監管到什麼地步?
非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者,按次處新臺幣二萬元以上二十萬元以下罰鍰:
一、違反第八條或第九條規定。
二、違反第十條、第十一條、第十二條或第十三條規定。
三、違反第二十條第二項或第三項規定。
四、違反第二十七條第一項或未依第二項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
「面對這些廠商無法改善的狀況,政府是否該採取更積極的行動?經濟部商業司專委蕭旭東表示,他們將依照個人資料保護法第22條規定,先啟動行政檢查,若該公司仍無法達到個資法或主管機關的要求,再依個資法第48條規定,令業者限期改善,若無法達成保護消費者個資的要求,將可執行行政裁罰。」
交給監委彈劾衛福部我學公務員回去研究看看話說我很沒良心的想跟你說...我姊被騙兩三百萬...XD但她除了報案以外沒有想要繼續追究的樣子,不知道是不是臉皮太薄覺得被騙很丟臉所以啥都不願意做,我覺得要鼓勵你不屈不撓的繼續追究很棒進法院部分....這樣說好了,有類似情況的電商業者,用「可能是貨運業者或超商店員,從收貨地址上外流個資」,而成功被法官判定為完全無罪。
也有業者律師當庭跟法官說「為什麼一定是我們資安有問題?為什麼不可能是原告自己的信用卡公司外洩?」然後法官會跟著被告律師問「對啊原告你怎麼確定?」
你覺得需不需要律師?需要律師打多久?
然後即使花個半年以上的時間、金錢成本下去,讓法官認定業者確實資安有漏洞了,到這個階段也只保證被害者可以求償「非財務損害」兩萬元
那被詐騙的損害求償呢?即使到這階段也很吃法官的自由心證,有的法官會認為「接到詐騙電話就成功被騙的比例沒有超過八成,那麼就證明業者個資外洩跟成功詐騙之間,是沒有因果關係,過失責任不成立」
不過我好常吐槽
不,個人資訊這種事情,本來就應該要能夠被遺忘,是你的策略出問題,而不是你大喊受害,責任就到此終了
還有證券商是否也有洩露資料的疑慮,這很久以前我就想問了
實聯制是店家代碼傳簡訊給1922;實名則是實際留下姓名電話,要分清楚喔
您好,我是王品個資詐騙案受害民眾謝先生,王品在去年(110年)三月公告過駭客入侵,而我在去年(110年)...