資安囧很大：不可不知的資料外洩責任

Posted on 2013/02/26

使用者、駭客、網站經營者其實是相當難分難解的三角關係，在一個資安事件之中，三者都面臨了不同的風險，就使用者來說，各項個資的外流輕則成為垃圾郵件的騷擾目標，重則面臨身分、金融系統遭到用的風險(如果是特殊影像外流就更…)；對駭客而言，也須面對刑法妨害電腦使用罪的追訴與可能造成損害所帶來的民事賠償責任；最後身負蒐集、保存、運用使用者個資的網站經營者，發生個資外流事件除了對自身品牌形象的重大折損與消費者信心損失之外，在去年個資法正式施行之後，更被要求極高的賠償責任(單一個資外洩事件最高可達2億元!)。

就在上週2月22日，Nokia發出聲明表示，過去委託WPP集團旗下的AGENDA(安捷達顧問股份有限公司)因辦理抽獎、贈品活動而取得的相關消費者資料遭駭客入侵盜取，並表示除了駭客公布的17萬筆資料外，波及範圍可能包括Nokia五個活動行銷網站，共150萬筆消費者資料。據報導，這些外洩的資料包含消費者的姓名、性別、電子郵件信箱、電話號碼、臉書帳號等資料。（詳細新聞內容可參考數位時代、蘋果日報）

在聲明中，Nokia也向大眾說明外洩資訊的性質：(1)外洩資料中，不到7000筆的資料可能含有密碼；(2)外洩資料並不包括身分證號碼、銀行帳號、信用卡卡號、醫療相關資料；(3)多數外洩資料有1年以上的歷史，還有不少是7年前的舊資料。（Nokia聲明）

看到這裡，曾經參與Nokia相關活動的評律讀者們，可能可以先鬆一口氣了！因為這次外洩的資料不包括相關金融資訊，不至於發生信用卡被盜刷的問題；而且多數外洩的資料中並不含有個人密碼，也減輕帳戶可能被盜用的疑慮。這次事件就Nokia自己的評估，資料遭到外洩的消費者主要風險可能是討人厭的垃圾郵件、垃圾簡訊的騷擾！

不過事件發展至此，對於負責建立、維運網站與活動的AGENDA來說，其實才是剛剛開始要面對後續問題，姓名、電子郵件信箱、電話號碼都屬於直接或間接可識別個人的資料，受到個人資料保護法（個資法）的保護。而且不論這些資料屬於消費者近期的資訊，或是多年前填寫，如今早已更換的電子郵件信箱、電話號碼等資訊，資料保有者都有採取適當安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏的義務！若資料保有者沒有採取適當之安全措施，導致資料外洩，不僅會受到主管機關罰鍰處分，也必須面對民事賠償的問題，而且最高賠償額還有可能超過2億元！

就本次事件來分析(律師：Nokia百萬個資外洩案已可提告求償，恐成個資團訟首例)，葉奇鑫律師表示，這次事件的個資當事人已經可以向臺灣Nokia提告求償，甚至這可能成為首宗個資法團體訴訟的案件，而依個資法28條規定，單一事件中每人可求償金額從500～20,000元不等，以Nokia這次外洩150萬筆個資來估算，若每筆資料的受害民眾沒有重複，求償金額將達到法定單一事件最高總額2億元的上限！

此外，小編也要告訴個資外洩的受害者們，個資法修法後，引進團體訴訟的概念，20位以上因同一資料外洩事件而受損害的當事人，可委由財團法人或公益社團法人代為提起損害賠償訴訟，結合眾人的力量，讓小蝦米撼動大鯨魚，確實保護自己的權利呦！

資料保存不當，導致資料外洩的法律責任

類型	賠償義務人/ 受處罰對象	內容
民事責任	公務機關	除非損害為天災、事變或其他不可抗力所造成，否則都必須負責。	1. 若被害人不易或不能證明損害額時，得請求法院依侵害情節，以每人每一事件500元以上2萬元以下計算賠償金額。 2. 若因同一原因事實造成多數當事人權利受侵害，賠償總額最高以2億元為限。但若該原因事實所涉利益超過2億元，以該所涉利益為限。 3. 若因同一原因事實造成之損害總額超過2億元，則被害人每人的賠償金額，不受最低不得低於500元的限制。
	非公務機關	有故意、過失，才需負責。
行政責任	非公務機關	主管機關限期改正，屆期未改正者，按次處2萬元以上20萬元以下罰鍰。
	非公務機關之代表人、管理人或其他有代表權人	若該非公務機關的有代表權人無法證明已盡防止義務，需與該機關受同一額度罰鍰的處罰。

==================================

本著作由評律網製作，以創用CC 姓名標示-非商業性-禁止改作 3.0 台灣 授權條款釋出。