賊來了,個資被偷別怪我?
2012.9.16
即將在今年10月1日上路施行的個資法,雖然在二年多之前就已經公布,但由於相關配套措施及子法均付之闕如,還是讓許多企業有進退失據的感覺。搞B2C的公司裡,客戶/會員的個資,少則幾萬筆,多則幾百萬筆;一般公司的員工人事資料(完整一點的,還可能包括警察局所核發的良民證、聯合徵信中心的信用報告、以及健檢紀錄)如果還算進加上古往今來的過客,經常也在數百筆以上。假如這些個資不幸外流,但一不是被公司賣出去、二不是被員工洩露出去…而是,遇到了高手駭客,從Internet突破,直接衝進server偷走的話,公司是不是仍然必須依據個資法第29條、第28條之規定,對每一筆洩露的個資,賠$500 – $20,000,甚至還賠到法定上限的二億元為止呢?在如下文報載的本案中,SONY被駭客入侵,數百筆包括台灣客戶在內的個資被竊,假設新個資法適用在這個案子上,SONY又該負什麼責任?
個資法第29條第1項要求,倘若公司「違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任」(賠償的標準如前所述,訂明在第28條第3、4兩項);而第29條但書,則對公司提供了唯一的責任切割途徑「能證明其無故意或過失者,不在此限」。既然這個條文是賠償責任之主要來源,就讓我們在此以SONY的例子作分析,看它應不應該賠:
1. 條件A:「個人資料遭不法蒐集」,這點符合。個資遭駭而流出既然是事實,那就沒什麼好再進一步硬拗的了。
2. 條件B:「違反本法規定」,這點看來就有得爭了。首先,個資法全文56條,難道每一條都要去看有沒有違反嗎?其實,對民間企業而言,個資法固然規範了許多義務,比方說特種個資原則上禁止蒐集處理、對個資當事人之各種告知義務、正確性保持義務、掣給複本及刪除義務…等。但就駭客入侵這種案例而言,主要須檢討的,則是第27條第1項的「採行適當之安全措施、防止個人資料被竊取、竄改、毀損、滅失或洩漏」之義務。至於同條第2項,由於還有待於政府進一步之行政命令,在此暫且按下不表。也就是說,倘若SONY這次個資被駭事件,是因為「沒有採行適當之安全措施」所導致,那大致上也同步將被認定在保護個資上有過失(參下述)。然而,公司究竟有沒有採行適當之安全措施,這件事情到底該由誰去舉證?從條文表面上看,似乎是求償的受害者;但論其實際,由於證據偏在公司內部,再併同第29條但書觀察,可以看得出來法律的方向,等於要強迫企業說明並舉證,何以其一方面確實採行了適當之安全措施、二方面也沒有任何的故意或過失!
3. 條件C:「能否證明公司對於個資遭駭無故意過失」,這部分是在訴訟答辯上最抽象、又與上述的條件B在說理上具有高度重疊性的地方。比方說,SONY倘若主張自己已經盡了一切必要之努力,應該注意到的和能注意到的,一樣都沒有遺漏,那麼可能即必須舉證證明以下二點(其實換個角度看,不也就是適當的安全措施嗎):(1) 公司的server與外部連線的gateway,都已經用防火牆(至於是花大錢或花小錢買的,是另一回事,我們將在以後的文章中就此再作更詳盡之分析)作好保護;(2) 個資都以DRM(即「數位權利管理」技術。簡單講,是去對文件的內容加密,任何人只要沒取得解密的金鑰,即使拿到了一份含有個人資料的文件,也無法讀到內容)上鎖。這二點如果都具備、而駭客卻仍舊侵門踏戶不但把個資拿走還破解出金鑰打開文件而違法利用個資,SONY的確有很大的機會能在答辯上被法院接受、認定其已經採用了適當的安全措施,並且在本件個資外流的事件上沒有故意或過失。
換句話講,在個資遭駭的案型中,我們認為,從現行科技水準看,由於防火牆及DRM這兩種東西都已經是相當成熟的技術,並且在取得成本上也都種可選擇的方案(不像十幾年前,企業如果要買這種solutions,可能得準備花到數百萬台幣之預算)可以斟酌,不致於讓企業陷入負擔不起的窘境(預算是否符合比例原則的考慮是可以被政府接受的,這部分參考目前的個資法施行細則草案第9條第3項即可得知),所以倘若企業連如此基本的防護都怠於採用,在個資被駭的不幸發生時,從客觀上顯然將無法證明已經採取了適當之安全措施,在主觀上更難以用自己對於個資的外洩沒有過失來自辯。依法定標準負賠償責任,恐怕就會成為當然之結果了。
索尼又被駭 台灣用戶遭殃
【中央社╱東京6日綜合外電報導】
日本索尼公司(Sony)又被駭客入侵,索尼今天表示,數百名行動部門客戶資料遭竊,受害者包括台灣用戶。
自稱NullCrew的組織宣稱駭進索尼行動通訊伺服器。索尼發言人證實駭客竊取台灣與中國大陸共400名使用者的資料。
NullCrew據稱與國際駭客組織匿名(Anonymous)有關。他們在網路上張貼竊取的使用者名稱、電子郵件和一些密碼,還發表聲明批評索尼。
NullCrew說:「索尼,我們對你們的安全真的很失望。」並指出他們另外控制8個索尼伺服器。目前無法立即證實這項說法。
索尼發言人表示,消費者姓名與電子郵件外洩,不過信用卡與銀行帳戶資料沒有遭竊。
索尼發言人表示,公司正在調查這起事件,存有顧客資料的伺服器屬於不知名的「第3方」,非索尼本身所有。