近月來,資安市場相當不平靜,知名企業相繼傳出資料外洩的新聞,先是RSA、Sony,緊接著又有花旗銀行。根據外電報導,北美地區約有20萬筆花旗信用卡客戶的資料外洩,消息見報後,花旗集團(Citigroup Inc)才發表聲明,承認在上月初的例行監控檢查中發現資料庫遭駭客入侵,推估受害者約20萬人。
在花旗的聲明稿中指出,駭客入侵花旗信用卡的網路帳戶(Citi Account Online),該處存有持卡人基本資料,包括姓名、帳號、E-mail等,粗估約有1%(20萬筆)的客戶資料被駭,其他個資因存放資料庫不同,未被盜取,另外,花旗強調駭客攻擊僅限北美地區,其他地區的持卡人資料安全無虞。
在這起事件中,最引人爭議之處為,花旗沒有在第一時間讓客戶知曉,之後的聲明稿也未詳細說明整起事件,相同的情況若發生在台灣、而且是新版個資法正式上路之後,台灣企業也能比照相同方式來處理嗎?
資安顧問Clemens表示,新版個資法第12條規定,遇到個資外洩事件,應於查明後以適當方式通知當事人,倘若未履行通知義務,依照第48條規定,可處新台幣2~20萬元罰鍰,換句話說,駭客入侵不一定會造成資料外洩,企業必須調查可能的損害,倘若確認資料外洩情事,就要立即通報個資當事人。
至於通報內容,至少要說明整起事件的緣由,企業自身的處理方式,以及個資當事人的因應方式。以上述花旗案例來看,花旗可以建議客戶立即更換E-mail密碼、或告知將寄發新卡取代舊卡等,這些通報內容未來皆可作為呈堂證供,證明企業的確已善盡管理責任。
花旗這種知情不報的作法,其實是許多台灣企業主面對個資外洩事件時的心態,反正只要媒體不繼續報導,過了一段時間社會大眾就會漸漸淡忘,這種想法當然是錯的,隱匿事實的作法,只會擴大個資當事人的損失,及影響企業自身的聲譽,但在我們譴責企業的同時,也別忘了對社會大眾與主管機關進行再教育。
社會大眾應該肯定願意主動通知的企業,主管機關也要改變「懲罰乖小孩」的心態,塑化劑風波就是最佳例子,針對民眾檢舉及企業主動通報的案件,衛生署應該有不同的處理方式,肯定企業勇於認錯的態度,而不是一視同仁,惟有企業主動通報,讓民眾在個資外洩當下能夠做出適當補救措施,才能資料外洩損害降到最低。