從酷澎、五福到圓山的個人資料洩漏,最貴的不是罰款,是客戶信任危機!

2026-03-05

  近期多起企業發生重大個人資料洩漏事件,再次讓台灣社會正視一個長期被低估的風險「個人資料保護」,首先是電商平台酷澎發生未授權存取事件,導致約20萬筆用戶資料遭非法讀取;又傳出有五福旅行社客戶資料遭駭客竊取;緊接著,歷史悠久且具高度品牌象徵的圓山飯店,也傳出系統遭駭,顧客資料可能受到影響。

  三起事件發生在不同系統、不同經營模式,但卻呈現出驚人一致的共同點個資外洩,因此沒有任何產業能自外於客戶個人資料洩漏風險。從電商平台、大型旅行社到觀光飯店,涉及從線上交易到實體服務的客戶資料,凡是蒐集顧客資料的企業,都已站在個人資料保護風險的第一線。而真正值得社會關注的,不只是事件本身,而是背後反映的結構性問題。

客戶個人資料外洩,為什麼一再發生?

  多數企業仍習慣將客戶個人資料外洩,視為「駭客太厲害」、「技術太複雜」或「突發事故」。但從法律與治理角度來看,這些說法往往只是表象。企業個人資料外洩頻繁發生,通常源自以下三個深層原因。

第一,客戶個人資料高度集中,但個人資料保護治理機制薄弱

  現代企業普遍大量蒐集客戶個人資料,包括會員資訊、交易紀錄、消費偏好、聯絡方式甚至身分識別資料。而客戶個人資料越多,商業價值越高,但風險也同步放大。然而,許多企業的現實狀況是

1.知道客戶個人資料在哪裡,但沒有限制誰能存取?2.客戶個人資料有系統管理,但沒有規範不同層級的權限治理3.客戶個人資料有資安設備,但沒有客戶個人資料管理流程。因此,客戶個人資料蒐集與客戶個人資料治理之間,存在巨大落差。

第二,把個人資料保護當資訊安全設備問題,而不是制度問題

  企業往往投入防火牆、監控系統、雲端防護等資訊技術工具,卻忽略建立客戶個人資料管理機制,包括企業人員存取客戶個人資料權限是否合理?客戶個人資料是否定期盤點資料?客戶個人資料是否有異常存取警示?客戶個人資料處理外包廠商是否受管理?客戶個人資料若外洩是否建立應變流程?然而,多數企業發生客戶個人資料外洩事件,並非單純的駭客攻擊突破,而是企業客戶個人資料管理漏洞被駭客或不法份子發現。

第三,把客戶個人資料視為營運資產,而非法律責任

  許多企業高度重視客戶個人資料的「使用價值」,卻忽略資料的「法律責任」。筆者曾撰文指出客戶個人資料並非企業資產,而是企業受託保管的資料。這是一種法律上的信賴關係,一旦發生客戶個人資料外洩,受損的不只是資訊安全設備系統,而是客戶對企業的信任。

個人資料外洩通常不是意外,而是管理缺失

  依《個人資料保護法》規定蒐集與持有個人資料的組織或個人,負有明確法律義務。因此《個人資料保護法》的核心,不只是企業所持有的客戶個人資料「不能被駭」,而是企業對客戶個人資料是否已採取合理安全維護措施?所謂合理措施,通常包含企業的個人資料安全管理制度、存取權限控管、風險評估機制、人員教育訓練、外包監督管理、稽核與紀錄保存、事件通報與應變流程,如果企業對客戶個人資料缺乏制度、未建立客戶個人資料管理機制及未落實控管,當遭受駭客攻擊入侵資訊系統,也可能被認定為未盡個人資料安全保護義務。因此,在法律規範上,多數客戶個人資料外洩並非不可抗力,而是可預防風險。

客戶個人資料外洩真正的損失,不是行政罰款,而是客戶對企業的信任危機!

  當企業客戶個人資料外洩時,通常關注政府機關會有多少金額的行政罰鍰?但對企業而言,真正重大衝擊通常來自客戶對企業的信任。因此,企業客戶個人資料外洩可能造成會員信任度下降、客戶流失、品牌形象受損、商業合作受影響、客戶集體求償風險、政府機關行政檢查等實質問題,且品牌信任一旦受損,往往需要多年才能修復。對企業而言,信任就是核心資產,而企業客戶個人資料外洩,本質上就是信任危機。

企業必須面對的現實:客戶個人資料外洩不是會不會而是何時可能有外洩事故

  在高度數位化環境下,沒有任何系統能保證零風險。真正關鍵的問題不是如何避免所有攻擊,而是當客戶個人資料外洩事件發生時,企業是否已準備好?多數企業從未演練客戶個人資料外洩事件,也沒有客戶個人資料外洩標準應變流程。這代表客戶個人資料外洩一旦發生,將陷入混亂、延誤通報、錯失處理時機。在個人資料保護治理成熟的組織中,資安事件是「管理流程的一部分」,而不是「突發災難」。

企業應建立的客戶個人資料保護五項基礎制度

1.建立客戶個人資料盤點制度

企業應該清楚知道客戶個人資料蒐集了什麼?存放在哪?誰能存取?

2.客戶個人資料權限分級管理

企業應該依不同職務所需,設置對客戶個人資料的不同存取範圍。

3.客戶個人資料存取紀錄與監控

客戶個人資料存取,必須可追蹤到每一個資料存取人員。

4.客戶個人資料外包與供應鏈管理

客戶個人資料委外給廠商處理,必須有契約與專業人員監督。

5.客戶個人資料外洩應變與通報機制

客戶個人資料外洩應定期演練,不能是紙上制度,沒有演練過客戶個人資料外洩應變的企業,等同沒有準備。

個人資料保護,已成企業基本義務

  從酷澎電商、五福旅再到圓山飯店等企業,近期多起個人資料洩漏事件清楚顯示,企業客戶個人資料外洩不再是單一產業問題,而是全面性風險。未來企業競爭力,將不只取決於企業的服務品質或服務及商品價格,而是企業管理客戶個人資料是否值得被信任?客戶個人資料保護不再是加分項目,而是企業必須達到的基本門檻,不是企業危機處理,而是企業日常治理。當社會全面進入資料經濟時代,企業若沒有建立客戶個人資料保護治理制度,就等於在經營一項無法承擔的風險。客戶個人資料外洩不再是「會不會發生」,而是「何時發生」?而真正的關鍵,在於企業是否準備好面對。

個人資料保護研究發展委員會 主委 楊白全

Share