以線上交易與交易普遍性來看
建議參考金融/電子商務類型的規定來看這件事
http://www.ithome.com.tw/itadm/article.php?c=84241
另外
以我以前在網上大概整理過的資料來看
依個資法第27條規定,非公務機關保有個資檔案者,應採行適當之安全措施,防止個資被竊取、竄改、毀損、滅失或洩漏。另依個資法第12條規定,個資被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。
第29條:非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。
依前項規定請求賠償者,適用前條第二項至第六項規定。
照法條字面來看遠通責任大概跑不掉 (passwd出來了root還有什麼不能做)
就是要怎麼凹, 凹得過凹不過的問題
就許多前例觀察
要賠恐怕不樂觀