使用者、駭客、網站經營者其實是相當難分難解的三角關係,在一個資安事件之中,三者都面臨了不同的風險。
就使用者來說,各項個資的外流輕則成為垃圾郵件的騷擾目標,重則面臨身分、金融系統遭到用的風險(如果是特殊影像外流就更……);對駭客而言,也須面對刑法妨害電腦使用罪的追訴與可能造成損害所帶來的民事賠償責任。
最後身負蒐集、保存、運用使用者個資的網站經營者,發生個資外流事件除了對自身品牌形象的重大折損與消費者信心損失之外,在去年個資法正式施行之後,更被要求極高的賠償責任 (單一個資外洩事件最高可達 2 億元!)。
- Nokia 個資外洩
就在今年 2 月 22 日,Nokia 發出聲明表示,過去委託 WPP 集團旗下的 AGENDA(安捷達顧問股份有限公司)因辦理抽獎、贈品活動而取得的相關消費者資料遭駭客入侵盜取,並表示除了駭客公布的 17 萬筆資料外,波及範圍可能包括 Nokia 五個活動行銷網站,共 150 萬筆消費者資料。
據報導,這些外洩的資料包含消費者的姓名、性別、電子郵件信箱、電話號碼、臉書帳號等資料。(詳細新聞內容可參考數位時代、蘋果日報)
在聲明中,Nokia 也向大眾說明外洩資訊的性質:
1. 外洩資料中,不到 7000 筆的資料可能含有密碼
2. 外洩資料並不包括身分證號碼、銀行帳號、信用卡卡號、醫療相關資料
3. 多數外洩資料有 1 年以上的歷史,還有不少是 7 年前的舊資料。(Nokia 聲明)
看到這裡,曾經參與 Nokia 相關活動的大家,可能可以先鬆一口氣了!因為那次外洩的資料不包括相關金融資訊,不至於發生信用卡被盜刷的問題。
而且多數外洩的資料中並不含有個人密碼,也減輕帳戶可能被盜用的疑慮。這次事件就 Nokia 自己的評估,資料遭到外洩的消費者主要風險可能是討人厭的垃圾郵件、垃圾簡訊的騷擾!
- Nokia 最高賠償金額有可能超過兩億
不過事件發展至此,對於負責建立、維運網站與活動的 AGENDA 來說,其實才是剛剛開始要面對後續問題,姓名、電子郵件信箱、電話號碼都屬於直接或間接可識別個人的資料,受到個人資料保護法(個資法)的保護。
而且不論這些資料屬於消費者近期的資訊,或是多年前填寫,如今早已更換的電子郵件信箱、電話號碼等資訊,資料保有者都有採取適當安全措施,防止個人資料被竊取、竄改、毀損、滅失或洩漏的義務!
若資料保有者沒有採取適當之安全措施,導致資料外洩,不僅會受到主管機關罰鍰處分,也必須面對民事賠償的問題,而且最高賠償額還有可能超過 2 億元!
就本次事件來分析(律師:Nokia 百萬個資外洩案已可提告求償,恐成個資團訟首例),葉奇鑫律師表示,這次事件的個資當事人已經可以向臺灣 Nokia 提告求償,甚至這可能成為首宗個資法團體訴訟的案件,而依個資法 28 條規定,單一事件中每人可求償金額從 500~20,000 元不等,以 Nokia 這次外洩 150 萬筆個資來估算,若每筆資料的受害民眾沒有重複,求償金額將達到法定單一事件最高總額 2 億元的上限!
此外,也要告訴個資外洩的受害者們,個資法修法後,引進團體訴訟的概念,20 位以上因同一資料外洩事件而受損害的當事人,可委由財團法人或公益社團法人代為提起損害賠償訴訟,結合眾人的力量,讓小蝦米撼動大鯨魚,確實保護自己的權利呦!
知識就是力量,在尋找律師時,資訊是否充分、透明,往往就決定了結果。評律網透過各項數據分析,在您需要法律服務時,提供一個客觀且科學的指標;同時還給您許多有趣、有用的法律知識與新知,讓您學習如何保護自己的權益唷!