不論是政府單位或民間企業，遇到駭客入侵竊取個資的情況總是屢見不鮮。誰都不樂見個資侵害事故的發生，但遭入侵的機關除了「深表遺憾」之外，是否無須負擔任何責任呢？南韓於2013年底爆發大規模金融機關個資遭竊事件後，報載(http://news.cnyes.com/Content/20140217/KITNIA4LGTXHZ.shtml?c=industry)南韓金融監督院以「客戶個資保護不周」為由對遭入侵的金融機關予以處罰。澳洲的隱私保護主管機關Office of the Australian Information Commissioner (OAIC)在2014年3月6日發布新聞稿(http://www.oaic.gov.au/news-and-events/statements/privacy-statements/cyber-attacks-do-not-mean-businesses-are-off-the-hook)表示遭駭客入侵的機關如果本身沒有採行合理措施(take reasonable steps)保護客戶個資的話，將因違反澳洲隱私權法的規定而須負擔法律責任。
上述兩例說明，在國際實務上，機關並無法僅因個資事故是由駭客引起而免除責任。

【達文西個資暨高科技法律事務所簡評】
在我國也是同樣情況，個人資料保護法第18條及第27條分別要求公務機關及非公務機關「應」針對所保有的個人資料檔案採行「安全維護措施」或「適當之安全維護」，並在施行細則第12條列出機關得參考的11款安全維護事項。
也就是說，即便機關遭遇駭客入侵而被竊取個資，也不見得能完全免除對於民眾或客戶的賠償責任，例如機關沒有對個資檔案設定存取權限、沒有架設防火牆、沒有對員工進行教育訓練提醒勿點選不明電子郵件附件等，都有可能是「助長」駭客成功竊取個資的原因，因此個人資料保護法對於這樣疏於保護民眾或客戶個資的機關仍課予一定的法律義務，不得不察。