知名手機業者個資外洩,良善因應程序可避免二次違法
近期知名手機業者委託的行銷公司發生其代為營運的5個行銷網站遭駭客入侵,造成嚴重客戶個資外洩事件,行銷網站雖由委託的網路行銷公司建置維護,但作為個資法定義的委託機關,依新版個人資料保護法第4條,必須直接面對客戶個資外洩的法律責任。
益思科技法律事務所蕭家捷律師表示,本次事件雖是該手機業者委外經營的行銷網站為駭客入侵所致,但依個資法規定,受委託蒐集、處理或利用個人資料者,視同委託機關,因此受害的民眾仍可向該手機業者請求賠償。由於本次受害人數眾多,符合個資法開啟團體訴訟的要件,各被害人得將訴訟實施權授予具有特定資格的團體後,由該團體擔當原告對手機業者起訴,當事人只要等待最後判決結果即可。
蕭家捷律師並表示,對該手機業者而言,雖然能證明自己無過失、已盡合理監督,但如要免除損害賠償責任難度相當高,由新聞所載內容觀之,恐怕只能說服法官對個資的尊重及保護的嚴密,設法降低賠償數額。而這項工作須要長期的資料蒐集才能於法庭上作有效的舉證並搏取法官有利心證。建議各大企業除了作好各項個資法規遵循工作,也應留存相關跡證,以於面臨訴訟時作為證物之用。
中華數位個資顧問陳亮宏建議,發生此類事件,委託機構(企業)應於第一時間啟動應變機制,先請被委託機構(委外供應商)儘可能保留數位證據,並共組緊急應變小組,納入資安、法律及公關專家,在相關專家協助下,儘可能在最短時間內整備已善盡善良管理之證據。切忌在慌亂之中急於恢復網站正常運作,將受入侵系統重置,不但弱點依然存在,且喪失可以透過數位鑑識還原入侵過程,證明駭客惡意入侵的機會。
若不幸發生個資外洩事件,中華數位科技企業資料保護研究小組建議適當作法如下:
- 事件發生後,立即成立內部應變小組,指定適當高階人員擔任指揮官,由內部業務管理單位會同資安專業人員(顧問)前往委外機構進行損害控管,訪談客戶資料保管人員及檢視個資作業環境(網路設備、作業系統、資料庫及網頁),並回報企業管理階層掌握狀況,統一對外發言管道。
- 確認委外機構將受駭系統網頁、應用伺服器及資料庫離線,防止損害擴大,但需注意保留重要個資作業環境記錄檔的完整性,以便後續進行數位鑑識,具備證據能力。
- 向警政單位報案,提供相關線索並配合調查活動,同時整備針對委外單位的個資保護監管記錄,以儘可能呈現企業管理委外單位的良善責任。
- 初步查明原因及受影響個資範圍後,依個資法第12條以合理且隱密方式通知個別當事人知悉。
- 完成相關數位證據蒐集後,恢復與客戶個資無關服務,客戶個資作業環境應確認漏洞已修補及安全無虞,始可復原提供客戶服務。
以上作法為個資外洩事件後之緊急應變作法,企業應預防並避免再次發生。
個資委外處理機構該如何管理?中華數位科技企業資料保護小組建議如下:
- 企業應發展具備評選及監管個資委外處理機構的個資保護具體作法,如作業風險評估及監管作業程序等,並將個資保護事項及損害賠償責任納入契約規範,由企業自行或會同外部專家定期稽核。
- 對委外機構的個資處理環境(網路、作業系統、資料庫及應用系統)安全機制水準,可參考主管機關所訂定安全標準、支付卡安全標準(PCI DSS)或OWASP等實務安全,定期進行技術性審查,並針對防護水準不足之處持續要求委外處理機構補強。
- 企業應優先選擇對處理個資業務有具體作法且定期自我評估及持續強化安全供應商,如建置個資保護既管理制度,並由第三方律師或顧問定期稽核者尤佳。
- 如委外機構其他客戶發生個資外洩事件,應立即至委外機構確認委託處理客戶個資是否亦遭外洩,如是應儘早進行因應,在可能新聞曝光前主動掌握狀況。
※關於中華數位「企業資料保護研究小組」:
中華數位以其專業顧問諮詢經驗結合益思科技法律事務所,提供企業一站式的整合服務,有關企業個資法規遵循服務:
n 個資盤點與業務分析服務(含工具導入)
n 個資法觀念講座
n 個資安全輔導(IT部門的安全維護作業建置)
n 個資內控輔導(企業內部個資管理制度建置)
n 個資業務輔導(外部客戶個資管理制度建置)
n 個資資料安全防護規劃(含工具導入)
了解更多產品與服務,請洽02-25422526或上中華數位科技官方網站查詢http://www.softnext-inc.com/