個資法專欄／推給駭客入侵?　城邦恐已先觸個資法

圖、文／個資法專家去年一位劉姓網頁工程師發現城邦原創公司旗下「POPO原創市集」網頁安全漏洞，並熱心發電子郵件告知，但發現城邦遲未改善，劉男在去年11月化身駭客，修改了一些未產生實質損害的資料，要讓POPO正視這問題的嚴重性。並於2小時後便向城邦自首並提供相對的解決方式，卻仍遭城邦依電腦入侵罪、變更電磁紀錄罪向檢警提出告訴。劉男在偵查中投降，寫悔過書、同意義務勞動，以換取緩起訴之處分。

城邦若不能證明自己無過失，依法應賠償 POPO原創市集的主機裡存有大量的個人資料，若沒有完善的安全措施，其個資對高資安專業工程師而言等於門戶洞開。若個資遭駭並全數賣掉，城邦原創是否能把責任全推在駭客身上，而避掉個資法的賠償責任？法律專家表示:「個資法第29條第1項非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。個資法第27條第1項就明確要求非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或泄漏。因此，「城邦有法律上的義務」；若有「雖預見其能發生，但確信其不會發生」的情形，就應該負賠償。就POPO之個資安全，應去設計、執行個資法施行細則的規範精神「PDCA」這樣一套有效的措施，並持續管制並改善之。駭客之攻擊或對個資之竊取固然違法；但持有個資的單位不論是公家或民間，依法都負有重大之保管責任。」發生事情，用「駭客入侵」解釋就夠了?資安專家翁浩正表示:「依照不同公司的結構，根據經驗，找對回報的窗口很重要。之前曾經遇過，找到漏洞直接與客服聯絡但石沈大海。後來偶然有機會接觸到較高層主管，卻表示沒被告知這樣的事情。如果真的該公司完全不理會，再來看該做怎樣的處理。有的人覺得像此案陳工程師「捨身取義」的精神值得敬佩，但是就我看來，一來焦點容易遭到模糊、質疑動機，再者對整體資安的風氣是非常不好的。自己已經盡了回報的責任，若告知後該公司還是不進行修補，其暴露在外的安全風險當然就是由該公司自行承擔。用激進的手法，很可能讓自己造成非常不良的影響。最近「駭客」這個詞非常熱門，似乎什麼事情用「駭客入侵」來解釋都通了。身爲資安研究人員，看到網站的漏洞跟弱點不計其數，每間公司多少有些許無法注意的細節，而在國外使用者協助回報漏洞是非常正常的，公司應僅可能以正面的態度去迴應來自使用者的回報。若是直接採取法律行動，往後誰找到漏洞還敢回報呢？要把所有的錯推到「駭客身上」，不如把公司地基打穩，重視個資保護來的重要。」