根據外電報導,連鎖速食業者麥當勞也傳出客戶資料外洩。上週,美國麥當勞總部透過電子郵件及其官方網站發布訊息,指出其行銷服務合作夥伴Arc Worldwide所委託管理麥當勞客戶資料的電子郵件公司,系統遭到入侵,包括姓名、電話號碼、電子郵件、地址等客戶資料很可能被未經授權的第三方存取。
一直以來,麥當勞委託行銷公司Arc Worldwide──知名廣告公司李奧貝納(Leo Burnett)旗下互動行銷子公司進行宣傳、行銷活動,包括電子郵件促銷訊息的開發設計,而Arc則再委由另一家電子郵件發送公司負責管理麥當勞客戶資料。而這次遭到駭客攻擊的正是此電子郵件公司的系統。
在專業分工時代,許多企業會將非核心業務委外處理,然而一旦委外項目與個人資料有關時,例如此例中的電子郵件名單,企業就須特別注意。根據新版個人資料保護法第四條規定:『受公務機關或非公務機關委託蒐集、處理或利用個人資料者,於本法適用範圍內,視同委託機關。』因此,業者必須特別注意委外廠商對於客戶資料的處理過程及系統是否安全。由於委外廠商對於個人資料管理所應付的責任視同委託機關,因此業者必須特別留意在相關業務委外的合約上是否註明清楚的權利、義務。
個資法第四條對於委外機構有清楚的規範,法務部曾表示,將來若有個人資料外洩,業者必須直接面對消費者負起所有責任,而後續與委外廠商之間的對價賠償關係則是業者與委外廠商的事,與民眾無關。因此,企業在進行委外業務時,必須特別注意。