臺灣Nokia行銷活動網站遭駭,Nokia承認可能遭竊了近150萬筆個資記錄。駭客也在今年2月5日時上網公布了其中的17萬筆記錄,包括姓名、電話和電子郵件等個資。臺灣Nokia於2月23日也在官網公告坦言受駭,並表示已通知可能遭外洩帳號密碼的7,000位民眾。

達文西個資暨高科技法律事務所主持律師葉奇鑫表示,這次事件是個人資料保護法上路後,最大宗的個資外洩事故,因這類事件難以評估財產損失,只要資料外洩屬實,就達到可以訴訟的條件。這次事件的個資當事人已經可以向臺灣Nokia提告求償,甚至這可能成為首宗個資法團體訴訟的案件。

依據個資法28條規定,單一事件中每人可求償金額從500~20,000元不等,以Nokia這次外洩150萬筆個資來估算,若每筆資料的受害民眾沒有重複,求償金額將達到法定單一事件最高總額2億元的上限。

雖然Nokia將遭駭行銷網站委託給網路行銷公司Agenda負責建置和維運,但依個資法規定,受委託機構視同委託機構,發生個資外洩時,仍是由Nokia負責,民眾仍是向Nokia求償。而Nokia則可另外向Agenda求償。

不能只在網站發表聲明,企業需主動通知受害當事人

臺灣Nokia官網聲明稿表示,此次遭竊的顧客個人資料多為1年以前的舊資料,但是包括了姓名、電話、電子郵件,以及相關活動所需資料,其中約有7千筆外洩個資含有密碼,為避免釀成更大災害,Nokia已用簡訊或電子郵件先通知這些個資的當事人。但葉奇鑫表示,不只這7千人,臺灣Nokia依法也需通知其餘恐遭外洩的當事人,不能只在網站上發表聲明稿。

根據個資法施行細則第22條規定,Nokia必須採取當事人能夠知道的方式來通知民眾,雖然細則也規定,若通知成本過高時可斟酌技術可行性和保護當事人隱私的原因,以網際網路、新聞媒體或其他適當公開方式為之。但是,葉奇鑫認為,除了已接到個別通知的7千人以外,其於受駭民眾無法得知,自己的個資是否屬於這次外洩事件的影響範圍內,也因次就不會主動到Nokia官網瀏覽聲明,所以,他認為,Nokia後續還須主動通知其他受駭民眾,才能符合法律要求的告知義務。

另外,駭客論壇上揭露了這次入侵Nokia是透過SQL Injection(資料隱碼)攻擊手法,曾任職資安軟體公司總經理的葉奇鑫表示,這類攻擊多因工程師所設計的程式碼安全性不足,才會產生漏洞。

這也意味著,臺灣Nokia並沒有善盡個資保管的責任,沒有採取適當的安全維護措施來確保網站安全,另外,臺灣Nokia也並未適當監督委外公司Agenda,才會發生如此嚴重的事件。因此,臺灣Nokia的中央事業目的主管機關或是臺北市政府,也應盡快派員進行行政檢查,查核臺灣Nokia個資保護制度落實的程度。

不過,負責管理這些遭駭行銷網站的Agenda公司,至截稿前仍以負責人不在為由,拒絕說明為其他企業客戶維運的網站是否也有類似遭駭風險。文⊙張景皓

熱門新聞

Advertisement