個資法專欄/推給駭客入侵? 城邦恐已先觸個資法

圖、文/個資法專家去年一位劉姓網頁工程師發現城邦原創公司旗下「POPO原創市集」網頁安全漏洞,並熱心電子郵件告知,但發現城邦遲未改善,劉男在去年11月化身駭客,修改了一些未產生實質損害的資料,要讓POPO正視這問題嚴重性。並於2小時後便向城邦自首並提供相對的解決方式,卻仍遭城邦依電腦入侵罪、變更電磁紀錄罪向檢警提出告訴。劉男在偵查中投降,寫悔過書、同意義務勞動,以換取緩起訴之處分

城邦若不能證明自己無過失,依法應賠償 POPO原創市集的主機裡存有大量個人資料,若沒有完善的安全措施,其個資對高資安專業工程師而言等於門戶洞開。若個資遭駭並全數賣掉,城邦原創是否能把責任全推在駭客身上,而避掉個資法的賠償責任?法律專家表示:「個資法第29條第1項非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。個資法第27條第1項就明確要求非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或泄漏。因此,「城邦有法律上的義務」;若有「雖預見其能發生,但確信其不會發生」的情形,就應該負賠償。就POPO之個資安全,應去設計、執行個資法施行細則規範精神「PDCA」這樣一套有效的措施,並持續管制並改善之。駭客之攻擊或對個資之竊取固然違法;但持有個資的單位不論是公家民間,依法都負有重大之保管責任。」發生事情,用「駭客入侵」解釋就夠了?資安專家翁浩正表示:「依照不同公司的結構,根據經驗,找對回報的窗口很重要。之前曾經遇過,找到漏洞直接與客服聯絡石沈大海。後來偶然有機會接觸到較高層主管,卻表示沒被告知這樣的事情。如果真的該公司完全不理會,再來看該做怎樣的處理。有的人覺得像此案陳工程師「捨身取義」的精神值得敬佩,但是就我看來,一來焦點容易遭到模糊、質疑動機,再者對整體資安的風氣是非常不好的。自己已經盡了回報的責任,若告知後該公司還是不進行修補,其暴露在外的安全風險當然就是由該公司自行承擔。用激進的手法,很可能讓自己造成非常不良的影響。最近「駭客」這個詞非常熱門,似乎什麼事情用「駭客入侵」來解釋都通了。身爲資安研究人員,看到網站的漏洞跟弱點不計其數,每間公司多少有些許無法注意的細節,而在國外使用者協助回報漏洞是非常正常的,公司應僅可能以正面的態度去迴應來自使用者的回報。若是直接採取法律行動,往後誰找到漏洞還敢回報呢?要把所有的錯推到「駭客身上」,不如把公司地基打穩,重視個資保護來的重要。」