以線上交易與交易普遍性來看
建議參考金融/電子商務類型的規定來看這件事
http://www.ithome.com.tw/itadm/article.php?c=84241

另外
以我以前在網上大概整理過的資料來看
依個資法第27條規定，非公務機關保有個資檔案者，應採行適當之安全措施，防止個資被竊取、竄改、毀損、滅失或洩漏。另依個資法第12條規定，個資被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人。

第29條：非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。
依前項規定請求賠償者，適用前條第二項至第六項規定。

照法條字面來看遠通責任大概跑不掉 (passwd出來了root還有什麼不能做)
就是要怎麼凹, 凹得過凹不過的問題
就許多前例觀察
要賠恐怕不樂觀