日前媒體報導,警方在偵辦詐騙集團時,竟然在嫌犯電腦中發現將近2萬筆個人資料,範圍包括姓名、身份證字號、電話、地址…等,且大部分都是台新銀行的現金卡申請資料,填寫時間大約在2003-2005年之間,其中還包括新北市議員鄭金龍。
對此,台新銀行表示,這應該是2008年警方偵破駭客入侵案時所發現的外洩個資,當時受害者不只台新一家還有許多金融同業,且之後也已經針對電腦主機安全和使用者權限加強管制,目前為止還沒接到客戶反應異常。
資安顧問認為,台新銀行將重點放在追蹤帳戶、避免異常交易上,並沒有提及個資保護該怎麼做。追蹤帳戶與個資保護是兩回事,追蹤帳戶只會針對異常交易進行控管,避免盜刷、偽目交易,而這雖然重要卻不能確保個資安全,台新銀行應該在網站上發出聲明提醒客戶才對,但截至中午為止,只看到一般防範詐騙的聲明而已,並沒有與此事件相關的公告。
另外,如果此時此刻新版個資法已經上路,對台新銀行來說,可能不是一句「這是2008年外洩的個資、我們已經加強安全維護」就能解決的,包括新聞中提及的議員鄭金龍,以及其他列在資料外洩名單中的人都可以據此提出集體訴訟,要求台新賠償。根據新版個資法第30條規定,損害賠償請求權,自請求權人知有損害及賠償義務人時起,因二年間不行使而消滅;自損害發生時起,逾五年者,亦同。
雖說,台新本來就是電腦處理個人資料保護法適用的對象,不用等到新法上路,就可能面臨訴訟官司,只是現行法沒有團體訴訟的規範,多數民眾認為上法院打官司耗時費力、傾向息事寧人就好,但是新版個資法不同,民眾只要簽名找個代理人就能打集體訴訟,相對而言,台新面臨訴訟官司的機率也就變高了。
面對這些曾經外洩出去的資料,企業雖然無法管控、避免繼續流傳,卻能做到避免對個資當事人造成二度傷害,適時地發出公告提醒個資當事人,做到正視個資保護重要性,才是企業該有的態度。