個資法專欄/推給駭客入侵? 城邦恐已先觸個資法

圖、文/個資法專家

去年一位劉姓網頁工程師發現城邦原創公司旗下「POPO原創市集」網頁安全漏洞,並熱心發電子郵件告知,但發現城邦遲未改善,劉男在去年11月化身駭客,修改了一些未產生實質損害的資料,要讓POPO正視這問題的嚴重性。並於2小時後便向城邦自首並提供相對的解決方式,卻仍遭城邦依電腦入侵罪、變更電磁紀錄罪向檢警提出告訴。劉男在偵查中投降,寫悔過書、同意義務勞動,以換取緩起訴之處分。

城邦若不能證明自己無過失,依法應賠償

POPO原創市集的主機裡存有大量的個人資料,若沒有完善的安全措施,其個資對高資安專業工程師而言等於門戶洞開。若個資遭駭並全數賣掉,城邦原創是否能把責任全推在駭客身上,而避掉個資法的賠償責任?

法律專家表示:「個資法第29條第1項非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。個資法第27條第1項就明確要求非公務機關保有個人資料檔案者,應採行適當之安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏。因此,「城邦有法律上的義務」;若有「雖預見其能發生,但確信其不會發生」的情形,就應該負賠償。就POPO之個資安全,應去設計、執行個資法施行細則的規範精神「PDCA」這樣一套有效的措施,並持續管制並改善之。駭客之攻擊或對個資之竊取固然違法;但持有個資的單位不論是公家或民間,依法都負有重大之保管責任。」

發生事情,用「駭客入侵」解釋就夠了?


資安專家翁浩正表示:「依照不同公司的結構,根據經驗,找對回報的窗口很重要。之前曾經遇過,找到漏洞直接與客服聯絡但石沈大海。後來偶然有機會接觸到較高層主管,卻表示沒被告知這樣的事情。如果真的該公司完全不理會,再來看該做怎樣的處理。有的人覺得像此案陳工程師「舍身取義」的精神值得敬佩,但是就我看來,一來焦點容易遭到模糊、質疑動機,再者對整體資安的風氣是非常不好的。自己已經盡了回報的責任,若告知後該公司還是不進行修補,其暴露在外的安全風險當然就是由該公司自行承擔。用激進的手法,很可能讓自己造成非常不良的影響。

最近「駭客」這個詞非常熱門,似乎什麼事情用「駭客入侵」來解釋都通了。身為資安研究人員,看到網站的漏洞跟弱點不計其數,每間公司多少有些許無法注意的細節,而在國外使用者協助回報漏洞是非常正常的,公司應僅可能以正面的態度去回應來自使用者的回報。若是直接採取法律行動,往後誰找到漏洞還敢回報呢?要把所有的錯推到「駭客身上」,不如把公司地基打穩,重視個資保護來的重要。」

分享給朋友:

※本文版權所有,非經授權,不得轉載。[ ETtoday著作權聲明 ]

用嘴巴幫男友…女大生「摳喉嚨」卡硬塊崩潰:好像得癌症!醫笑了

名家熱門新聞

夢到貓咪代表什麼意思呢?

愛劈腿?圖解6大「感情線」手相

十年積蓄一日成灰燼

小生:3招判斷男人對妳超有意思

7道超下飯的絞肉料理

一次學會5款雞湯 作法超懶人!

嫁給外星人其實很恐怖

不要讓報Paper成為沈重的負擔

日本屠殺韓國人的真實故事?

超市火鍋肉片變出5道美味料理

奈奈:對付大男人主義的另一半

阿榮/按鍵精靈 - 電腦自動化

當過去和未來不再重要時珍惜當下

10道你非吃不可的蝦料理(上)

相關新聞

讀者迴響

熱門新聞

最夯影音

更多

熱門快報

回到最上面