个资法专栏／推给骇客入侵?　城邦恐已先触个资法

图、文／个资法专家去年一位刘姓网页工程师发现城邦原创公司旗下「POPO原创市集」网页安全漏洞，并热心发电子邮件告知，但发现城邦迟未改善，刘男在去年11月化身骇客，修改了一些未产生实质损害的资料，要让POPO正视这问题的严重性。并于2小时后便向城邦自首并提供相对的解决方式，却仍遭城邦依电脑入侵罪、变更电磁纪录罪向检警提出告诉。刘男在侦查中投降，写悔过书、同意义务劳动，以换取缓起诉之处分。

城邦若不能证明自己无过失，依法应赔偿 POPO原创市集的主机里存有大量的个人资料，若没有完善的安全措施，其个资对高资安专业工程师而言等于门户洞开。若个资遭骇并全数卖掉，城邦原创是否能把责任全推在骇客身上，而避掉个资法的赔偿责任？法律专家表示:「个资法第29条第1项非公务机关违反本法规定，致个人资料遭不法搜集、处理、利用或其他侵害当事人权利者，负损害赔偿责任。但能证明其无故意或过失者，不在此限。个资法第27条第1项就明确要求非公务机关保有个人资料档案者，应采行适当之安全措施，防止个人资料被窃取、窜改、毁损、灭失或泄漏。因此，「城邦有法律上的义务」；若有「虽预见其能发生，但确信其不会发生」的情形，就应该负赔偿。就POPO之个资安全，应去设计、执行个资法施行细则的规范精神「PDCA」这样一套有效的措施，并持续管制并改善之。骇客之攻击或对个资之窃取固然违法；但持有个资的单位不论是公家或民间，依法都负有重大之保管责任。」发生事情，用「骇客入侵」解释就够了?资安专家翁浩正表示:「依照不同公司的结构，根据经验，找对回报的窗口很重要。之前曾经遇过，找到漏洞直接与客服联络但石沈大海。后来偶然有机会接触到较高层主管，却表示没被告知这样的事情。如果真的该公司完全不理会，再来看该做怎样的处理。有的人觉得像此案陈工程师「舍身取义」的精神值得敬佩，但是就我看来，一来焦点容易遭到模糊、质疑动机，再者对整体资安的风气是非常不好的。自己已经尽了回报的责任，若告知后该公司还是不进行修补，其暴露在外的安全风险当然就是由该公司自行承担。用激进的手法，很可能让自己造成非常不良的影响。最近「骇客」这个词非常热门，似乎什么事情用「骇客入侵」来解释都通了。身为资安研究人员，看到网站的漏洞跟弱点不计其数，每间公司多少有些许无法注意的细节，而在国外使用者协助回报漏洞是非常正常的，公司应仅可能以正面的态度去回应来自使用者的回报。若是直接采取法律行动，往后谁找到漏洞还敢回报呢？要把所有的错推到「骇客身上」，不如把公司地基打稳，重视个资保护来的重要。」