https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

透過網路科技的應用所帶來的個資風暴

2018 / 07 / 23
編輯部
透過網路科技的應用所帶來的個資風暴

接續上一篇<網路科技帶來的連鎖效應>我們接下來將接著討論<透過網路科技的應用所帶來的個資風暴>

「資安事件的受害者都是企業或政府組織,對個人似乎沒太大的影響」,這樣的想法我們需要大幅調整,台灣的詐騙電話盛行,且而詐騙之所以能成功,常常是因為歹徒假藉公務、金融機構,或網路店家,先向民眾核對個人基本資料並取信於被害者後,再進行詐騙,所以資料隱私的保護與每個人都有密不可分的關係。

美國臉書(Facebook)Facebook陷入個資風暴
今年3月16日Facebook突然宣布停止, 英國數據分析公司「劍橋分析」(Cambridge Analytica)劍橋分析以及其母公司戰略溝通實驗室的臉書帳號,接著18日就被爆出5000萬使用者的個資遭遇不當使用,且「劍橋分析」劍橋分析將這些個資用於2016的美國總統大選上,美國麻州檢察長也宣布將對Facebook及劍橋分析公司展開調查。無獨有偶,我們台灣國內知名人力銀行也在3月底傳出個資遭竊。有民眾上該人力銀行網站求職,明明勾選封鎖保險、直銷業,卻仍然收到保險公司的徵才通知。經調查後發現,原來是「台灣宅經濟商務公司」台灣宅經濟商務公司以徵才為由,向該人力銀行登載徵人廣告,並將人才查詢系統的帳號、密碼轉供保險業者使用,藉此取得約2萬筆求職者個資。

這兩起個資外洩事故相同之處皆因第三方合作夥伴的不當使用資料所引起。從法律層面來看,張紹斌認為是下載心理測驗App的使用者,自行同意分享包括居住位置、朋友名單等個資,因此Facebook不一定有明確違法的事實。在2015年之前,除非Facebook用戶設定為不公開,否則這些App就能透過使用者的朋友清單取得5000萬人的個資。Facebook也回應澄清資料是被誤用,而非遭竊。至於我們國內,該人力銀行業者更是以受害者自居,發新聞稿表示是自己主動告發,並協助檢調偵辦,想定調為官民合作保障求職者個資的「成功案例」。

結果是,撇除後續的相關訴訟案件不說,股票下跌讓Facebook市值蒸發數百億美元,創辦人祖克柏在報紙刊登滿版廣告公開道歉,並出席聽證會接受議員的調查詢問;而引發風暴的劍橋分析公司,則因不堪高額的訴訟費用與客戶大量流失而宣告倒閉。至於,我們國內人力銀行業者主張自己是被害者的說法成立的話,那所有用戶個資遭竊的網路電子商務廠家都可以說自己是受害者來撇清責任嗎?即使如此,難道求職者在填寫資料(尤其是求職填寫的個資往往經常相當的詳盡)時不會有所疑慮嗎?

現代版國王的數位新衣
有人認為,放在社群網站的那些內容,本來就是與人公開分享,甚至是用來炫耀討拍的,就像現在流行的網路直播一樣,愈多人看到愈好,還能用來工作獲利。嚴格說來,上面那些照片、文字,都是你「想讓人知道」的內容,但那些你「不想」讓人知道的呢?不是就常有某網紅未P圖的素顏照流出,然後嚇跑一票粉絲的新聞出現?張紹斌舉例,當人們出國打卡,或拍著食物遺照時,除了昭告眾人自己享受生活的同時是不是也洩漏了自己不在家的訊息?上傳水果照時則意謂用餐即將結束,闖空門的竊賊最好迅速離開?因此網路個資的保護的確會影響到真實生活的安全。

台灣新版個資法雖然在2012上路施行,但由於重大判例不足,所以多數人對個資防護仍無實際感受。誠但如同前面所言,當各種IoT裝置隨著5G興起大量普及後,記錄影像、聲音等個人資訊的內容也會更廣泛的存在社群網站中,如果再利用AI分析這些網路上的個資,駭客就能迅速的掌握攻擊對像的人際網絡與喜好,然後透過好友群組來接近目標,針對個人喜好以電子郵件進行社交攻擊。

結論終於
我們發現,就像童話裡國王的新衣一樣,當我們以為披上華麗數位新衣的同時,其實正赤裸裸的展示所有的個人私密。更糟的是,包括自己所有的過往記錄,不管你喜歡或不喜歡的,這些數位軌跡也將一覽無遺的呈現在網路上。所以當大眾對個資防護的意識日益高漲後,勢必會要求擁有或使用這些個資的企業、組織對隱私資料能善盡更多的管理責任。像此次歐盟GDPR中,便加入資料的「被遺忘權」,讓個人可要求企業抹除、使用其個人資料等,這些都是企業所需正視的資安議題;屆時,就不是僅僅一句「我也是受害者」,便能免責了事的。