新版個資法上路不久,國內對於個資外洩事件特別敏感,日前,台灣Nokia爆發個資外洩事件,數量超過百萬筆,引起市場高度關注,甚至揣測是否會成為第一起個資訴訟案件。
台灣Nokia在2/22對外證實,旗下5個委外給安捷達(Agenda)顧問公司負責的行銷網站,因為遭駭客入侵導致資料被竊取,駭客更公布了其中17萬筆個資,而總外洩的個資筆數可能高達150萬筆。
這150萬筆個資主要是Nokia之前舉辦行銷活動所留下的參與者資料,包含姓名、E-mail、電話號碼,以及其他活動相關的資料需求,其中,有部份資料含有密碼或是較機密的資訊,筆數不超過7,000筆,Nokia也已經透過電子郵件或簡訊通知這些個資當事人。
Nokia表示,外洩的資料不包括銀行帳號、信用卡卡號、醫療相關資訊、或是身分證號碼等機密性資料,而且多數資料都有1年以上的歷史,有的甚至是7年前的舊資料,對用戶的影響應該不大,但Nokia依舊提醒用戶或是有參與過Nokia活動的使用者,近期需特別留意惡意郵件或簡訊。
目前Nokia已經協同Agenda和其母公司WPP(Wire & Plastic Products Group)集團展開調查,也修復好伺服器上的漏洞,不過為了調查方便,仍會暫時關閉相關網站,並移除伺服器上的資料庫,估計調查至少需要4週甚至更長的時間,後續若有進一步發現,Nokia也會透過電子郵件或簡訊通知相關用戶。
從個資法角度來看,Nokia值得檢討之處有二點,第一、對委外廠商Agenda有沒有善盡監督管理的責任?第二、行銷資料的保存年限是否恰當?
個資法施行細則第8條提及,企業若將個資相關業務委外時,應善盡監督責任,Nokia是否定期稽核Agenda的資安機制,確保資料安全無虞,這是值得深究的地方,再者,企業從行銷活動取得的資料,是否需要保存7年之久?很多企業並沒有訂定資料使用期限,導致內部有很多已經不再使用卻又沒有刪除的個人資料,在個資法上路之前,保存這些資料或許沒有什麼關係,但如今每多一筆個人資料,企業就多一分個資外洩風險。
另一方面, Nokia也建議消費者未來在參與網路活動時,若要輸入任何個人資料,必須先確認活動網站的隱私權政策,如果網站沒有提供相關隱私權政策,或者要求填入的資訊太過私人、與活動沒有直接相關,最好都不要填寫。此外,也儘量避免在社群網路、聊天室、或論壇等公開網站上提供個人資料,並謹守在單一網站上使用單一密碼的原則,同時最好每60天就更改一次密碼。