POPO破洞、個資外流，責任全歸駭客？

2013.2.22

表面上看來好像是這樣。

POPO原創市集，是城邦原創股份有限公司所有的數位出版平台，同樣由何飛鵬先生擔任負責人。有一位劉姓工程師（在網路上自稱JokerCatz），因為發現了POPO網站有漏洞，因此就通知其網管；網管大概沒把這個問題真當一回事，於是JokerCatz就直接進入POPO主機，又用惡作劇的方式修改了一些未產生實質損害的資料，要讓POPO正視這問題的嚴重性。JokerCatz沒有隱藏自己真實的IP，也在事後主動寄信承認，但城邦仍舊決定對他公事公辦，依刑法第358條的電腦入侵罪、第359條的變更電磁紀錄罪向檢警提出告訴。JokerCatz在偵查中投降，寫悔過書、同意義務勞動，以換取緩起訴之處分。

這件事情在網路圈引發了激烈的討論。就如同稍早在2013年1月間RSS的發明人Aaron Swartz在紐約自殺的事件一樣，大家關注的焦點，都放在「網路vs.法律、創新vs.管制」上，並對於他在美國聯邦檢察官的鉅大刑事訴訟壓力下選擇結束自己生命的悲劇，投予悼念。

然而，我們想探討的，既不是JokerCatz駭入POPO的行為合不合法，也不是城邦的作法近不近人情。全案到目前為止鐵證如山的事實，至少有(1) POPO的主機裡存有大量的個人資料，及(2) POPO的主機防護措施對具備較高資安專業的工程師而言等於門戶洞開這兩項；那麼，假設JokerCatz是一位存有惡意的駭客，進入POPO主機之後，把裡面的個資全部dump出來賣掉，駭客該負的責任我們暫且不談，但重點是，城邦原創是否能把責任全推在駭客身上，而避掉個資法的賠償責任？（為強化對個人資料之保護，個資法對政府機關及民間組織祭出明確的損害賠償標準。個資外洩的受害者，每人可申請法官在$500到$20,000的範圍內核定賠償額。單一個案，最高還能判賠到兩億）

這個答案很單純。個資法第29條第1項「非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限」。POPO主機只要遭到入侵，裡面的個資又被駭客「不法蒐集」，除非城邦能證明自己「無過失」，否則依法就賠定了。

有無過失，語意抽象，它的標準必須加以具體化，否則法官無從判斷；在法律上，一般而言，只要符合刑法第14條所提出的「應注意、能注意、未注意」，或是「雖預見其能發生，但確信其不會發生」這二個要件之一，就能認定過失責任之存在。

POPO為了做數位出版的生意，保管了很多個資，對於其安全依法「應注意」也「能注意」，這點城邦無權爭執。個資法第27條第1項就明確要求非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。因此，城邦有法律上的義務，就POPO之個資安全，去設計、執行一套有效的措施，並持續管制並改善之（從個資法施行細則的規範精神而言，這就是P-D-C-A的觀念）。那麼，在個資外洩的時點上看，城邦是否有「不注意」、或「雖預見其能發生，但確信其不會發生」的情形，就是應不應該負賠償責任的重點。

對於專業的工程師而言，POPO等於門戶洞開，這點城邦沒辦法否認。駭客進門、門內又欠缺對個資之安全防護（這點，一般在IT業界會採用DLP/DRM的機制，在”門鎖”之後再提供更深一層的保護），實在太過大意。駭客之攻擊或對個資之竊取，其違法固然不在話下；但持有個資的單位不論是公家或民間，依法都負有重大之保管責任，輕忽了前面所提到的這些該做的事情以致產生個資外洩，不論原因是來自內神或外鬼，城邦只要被拉上了法院，就非得掏荷包消災不可！