數位轉型浪潮下,客戶資料已成為企業最核心的商業資產,然而伴隨而來的資安威脅卻也日益嚴峻。近期知名旅遊業者五福旅行社因遭駭客攻擊,導致高達 23 GB、約 20 萬筆旅客護照影像與行程紀錄外洩,甚至遭放上地下論壇供人下載。主管機關交通部觀光署於行政調查後,認定業者未採取適當之安全措施,違反法規情節重大,於 2026 年 4 月正式裁處新台幣 100 萬元罰鍰。
本所將從法律實務與商業風險管理的雙重視角,深入剖析此案對企業營運帶來的啟示,並提供建構資安合規體系之具體建議,協助企業避免重蹈覆轍。
一、 剖析個資外洩事件之企業法律責任
在商業運作中,企業往往將資安視為純粹的 IT(資訊科技)問題,卻忽略了其背後龐大的法律與財務風險。當資料外洩事件發生時,企業將面臨來自主管機關與消費者的雙重究責。
(一) 違反《個人資料保護法》之行政裁罰代價
依據《個人資料保護法》(下稱個資法)第 27 條第 1 項規定,非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。
在五福旅行社案件中,觀光署的調查重點在於業者是否已善盡法定的「安全維護義務」。即便企業本身也是駭客攻擊的受害者,但若系統防護機制(如防火牆、資料加密、存取權限控管)未達業界合理標準,主管機關即可認定企業存在過失。此次 100 萬元的重罰,清楚宣示了主管機關對於個資保護的重視立場。
(二) 企業不可忽視的民事損害賠償風險
除了行政罰鍰,企業更可能面臨龐大的民事求償。雖然在部分過往案例(如 2017 年雄獅旅行社外洩案)中,消費者因難以證明「資料外洩」與「遭詐騙受損」間的直接因果關係,導致團體訴訟一審敗訴(本案於二審成立調解)。
然而,在個別當事人的訴訟中,亦不乏成功維權的案件(請參考本所於法律百科撰文中的註腳舉例)。尤其現今法院實務對於「隱私權受侵害」的精神慰撫金請求較為寬鬆。即便當事人尚未發生實質的金錢損失,又或是尚難證明是因為個資外洩導致被詐欺,單單是因護照影本、身分證字號等高度敏感資料外流所造成的恐慌與風險,亦可能成功主張損害。
若 20 萬名受害旅客發起團體訴訟,即使每人僅獲賠 500 元,總賠償金仍將高達 1 億元,再加上衍生的訴訟成本,足以動搖一般企業的正常經營。
除了直接的法律賠償,企業還需承擔商譽嚴重受損的後果。客戶信任感一旦破裂,將直接反映在營收下滑與客戶流失上。此外,事發後的系統修復、第三方資安鑑識費用以及公關危機處理,皆是極為沉重的隱性成本。
二、 企業應如何建構防禦機制與法律合規體系
面對無孔不入的網路攻擊,企業必須從「被動應對」轉向「主動合規」,將資安政策融入公司治理的核心層次。
(一) 建立符合法規之安全維護計畫
企業應依據所屬產業之中央目的事業主管機關訂定之辦法,制定完善的「個人資料檔案安全維護計畫」。具體措施至少應包含:
- 核心資料去識別化與加密:針對護照影像、信用卡號等機敏資料,應採取嚴格的加密存儲與去識別化技術。此次案件中,業者的金流資料因採第三方支付或國際標準加密而未受波及,正是風險隔離的最佳體現。
- 導入國際資安標準:如 ISO 27001 資訊安全管理系統,不僅能實質提升防禦力,更能作為日後若不幸發生外洩時,向主管機關與法院舉證「已盡善良管理人注意義務」的重要法律抗辯基礎(雄獅旅行社團體訴訟案一審判決即因法院肯認被告已落實安全維護義務)。
- 持續性的監控與權限管理:落實最小權限原則(Principle of Least Privilege),並建置 24 小時入侵偵測與預警系統,實現即時發現與阻斷。
※關於各產業的安全維護計畫說明,歡迎參考本所的個別介紹:製造業、零售業、數位產業,以及新法下的安維辦法草案。
(二) 危機發生時的標準作業流程(SOP)
當資安事件爆發時,企業最初的即時處置至為關鍵。
- 立即通報與防堵:依據各產業的安全維護計畫要求,企業發現個資外洩後,必須在法定期限內通報主管機關,並應立即採取必要應變措施,例如隔離受感染系統,進行數位證據保全及查證。
- 妥善通知當事人:個資法明確規定,企業應以適當方式(如簡訊、電子郵件)通知受影響之當事人。透明且負責的溝通,是降低集體訴訟風險的關鍵。例如可說明外洩的事實、已採取的因應措施以及當事人可提供的協助(例如提醒防範詐騙)。
※關於個資法新法下的事件應對程序,歡迎參考本所對於事故通報辦法草案的介紹。
結論
五福旅行社遭裁罰百萬的案件,再次證明了「資安即國安,合規即生存」的商業鐵律。防範個資外洩不僅是資訊部門的責任,更是企業經營層無可迴避的法律義務。本所建議,企業應定期委由專業法律顧問進行《個人資料保護法》遵循查核,審視內部安全維護計畫與商業合約中的資安條款,方能在數位時代中穩健前行,有效守護企業價值與客戶信任。