新版個資法上路以後,在個資保護責任方面有了更明確的定義,蒐集個資的一方有義務善盡保管之責,因此企業更應該小心謹慎的處理與個人相關的資料。
日前城邦出版集團旗下的「POPO 原創市集」就發生了一件由於系統漏洞,而極可能導致個資外流的事件,我們就用這個案例來說明企業、駭客和一般消費者(使用者) 在這整個事件中所必須擔負的責任。
POPO 原創市集 遭駭事件發生紀錄
以下依照時間先後順序簡單列出整個事件發生的順序:
- 某工程師發現「POPO 原創市集」網頁系統有安全漏洞,主動發信通知城邦,但城邦沒有任何回應
- 工程師以 XSS (Cross Site Scriptiing) 攻擊該站,導致所有留言網友的暱稱都變成「囧」,逼迫官方正視問題
- 工程師主動向城邦自首,並且願意提供解決方式
- 城邦集團執意提告該名工程師
- 地檢署判定因為該工程師動機出於善意,無意造成嚴重損害,將工程師緩起訴
駭客入侵導致個資外洩,城邦可卸責?
在工程師向城邦自首後,城邦集團法務堅持以刑法第358條【電腦入侵罪】和第359條【變更電磁紀錄罪】向檢警提出告訴。雖然該名工程師入侵城邦系統並竄改部分資料確實已經觸法,但是城邦集團難道就可以從這個事件完美逃脫嗎?我們先來試想幾件事,假設入侵者是個駭客,入侵系統後:
- 下載 (DUMP) 整個系統資料庫,並且取得所有「POPO 原創市集」會員的個人資料及交易紀錄
- 竄改系統程式,導致消費者交易資訊 (如信用卡號、CVC 碼)洩漏,信用卡遭盜刷
先看第一點,如果資料庫內的個資遭到竊取,根據新版個資法的規定:
非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。
如果是發生第二點,那麼整體的影響面將會更加龐大,城邦集團也勢必會被要求擔負起信用卡被盜刷的責任。以這個事件看來,工程師在事前已經告知城邦系統漏洞,但城邦並沒有理會及修正這個問題,依照個資法的規定,除非城邦集團仍有辦法證明自己並「無過失」,否則每個受害者(會員)可以依法向城邦集團提出新台幣 500 ~ 20,000 圓的賠償。但慶幸的是入侵系統的工程師並沒有這個意圖,否則城邦集團很可能成為個資法施行以來第一家因個資法而倒閉的公司。
白帽駭客與黑帽駭客的關係
資訊安全是一個非常特別的產業,資安公司要提供防禦措施,就必須了解攻擊如何發動。換句話說,提供解決方案的公司,另一面可能就在試著破解某家公司的防禦系統。在這個產業,白帽駭客與黑帽駭客只有一線之隔,轉個念頭,白帽駭客也可以毀了你的系統。
而在這次的事件中,雖然入侵系統的行為並不可取,但如果該名工程師狠下心來,透過特殊網路技術隱藏其真實位置入侵並竊取所有資料,或者把漏洞公開到駭客組織,後果將不堪設想!除了會員個資完全洩漏外,城邦甚至可能面臨”找不到漏洞”而被持續入侵的可能,讓整個網站甚至公司營運受到嚴重影響。
不過城邦的法務人員似乎不曉得這個不能說的秘密,雖然以法律上來說城邦站得住腳,但是若以實務上來說,城邦拿著會員資料與駭客對賭,消費者也間接變成了無辜的犧牲者。
系統難免有洞,落實防護才是上策
要求一個系統做到完全沒有漏洞是不切實際的,就算開發人員費盡心思防堵各種可能的入侵方式,有心人士還是有可能從其他地方入侵,甚至許多時候,漏洞甚至發生在開發人員無法控制的產品 (例如 IIS、Apache) 上。因此除了在系統開發時需要注意安全性議題以外,也應該落實規劃防護的 PDCA 機制,進一步提高個資外洩的防護能力。
此外,針對資料外洩防漏的部分,目前市面上已經有許多 DLP (Data Lost Prevention) 以及 DRM (Digital Right Management) 機制,確保資料在外流的第一時間就能被偵測並攔截,也確保文件檔案不會在未被授權的環境下被打開而造成訊息外洩。
