今年4月17~19日期間,索尼(Sony)的遊戲網路服務PSN(PlayStation Network)與串流音樂服務Qriocity遭駭客(Hacker)入侵,導致七千七百萬名用戶個資遭竊,而索尼直至4月26日才公布該事件,使得索尼長期建立的商譽嚴重受創。
很快地,一家位於加州的Rothken法律事務所代表一位名為Kristopher Johns的PSN用戶,於4月27日向加州法院提起集體訴訟(Class Action),控告索尼美國公司未建立安全的電腦系統以致於用戶的個資及信用卡資訊被駭客盜取,造成用戶損害並支出勞力時間費用,且於駭客事件發生後遲延通報客戶,更使得損害繼續擴大。此外,用戶也受到PSN服務中斷的損害。
不僅娛樂產業受「駭」,5月底美國軍火商Lockheed Martin也遭駭客攻擊。美國政府更首度宣示駭客的攻擊行為構成戰爭,意味美國得使用傳統軍力予以報復。
事實上,「駭客任務」已越演越烈,6月初,索尼經營的SonyPictures.com又遭駭客竊取用戶個資,其他如任天堂(Nintendo)、宏碁歐洲網站、甚至連美國聯邦調查局(FBI)附屬網站、伊朗、北大西洋公約組織,以及國際貨幣基金會等電腦系統也都遭駭客入侵。
駭客行為評價兩極
現今的主流社會把駭客當成電腦罪犯,但起源於50年代麻省理工學院(MIT)的Hack,本來是指很有智慧且優雅地解決問題或作任何事的意思。1994年間,MIT學生用巧妙的方法把一台校園警車搬到圓頂建築物上,就是典型的駭客行為,幽默又有智慧。現今仍有許多駭客只是想要破解電腦系統以滿足好奇心或好勝心。從好的方面想,可提醒改進電腦安全漏洞,也可提供消費者相容系統的多元選擇。更有駭客主張其撰寫與散布破解軟體亦屬於憲法保障的言論自由。
曾經破解iPhone(使其可相容於蘋果(Apple)原先指定以外的電信網路)而聲名大噪的美國駭客少年Geohot(全名為George Hotz),後來又破解索尼的PS3,公開可以讓PS3執行其他程式的越獄(Jailbreak)工具。Geohot於今年1月遭索尼控告,3月間還被法院命令公開曾經瀏覽Geohot網站的使用者網路網路通訊協定(IP)資訊,此舉激怒知名的駭客團體Anonymous,為捍衛網路言論自由,Anonymous在網路上向索尼公開宣戰。戲劇性地,索尼與Geohot在4月上旬達成和解,而索尼網站卻在4月下旬遭駭客入侵。Geohot否認跟索尼被駭事件有任何關連,並表示「破解自己機器的安全設施並操作自製程式是一件很酷的事,但侵入他人的伺服器且偷走用戶資訊則不然」。
駭客行為的類型呈現多樣化,一般會加以譴責的類型是,駭客入侵他人電腦竊取資料,進一步為詐欺或其他犯罪行為。至於其他的駭客行為是否違法,恐怕不能一概而論,畢竟有些好的駭客對於促進科技與網路的發展,也占有重要地位。
個資保護途徑多元化
管制駭客的法網恢恢,如我國刑法第三十六章訂有「妨害電腦使用罪」、著作權法訂有保護防盜拷措施的相關規定,而新版「個人資料保護法」於2010年4月27日經立法院三讀通過,該法將取代過去的「電腦處理個人資料保護法」。個資法的保護客體不限於電腦處理的個人資料,而擴及於任何得以直接或間接方式識別個人的資料(如姓名、出生年月日、身分證字號、教育、職業、聯絡方式等)。另就規範的對象而言,除公務機關外,亦不再局限於特定行業,而包括任何自然人、法人或團體。
但法力有時而窮,要將散布各地、行蹤不定甚至能死灰復燃的駭客繩之以法,談何容易。尤其對於一般消費者而言,向駭客求償通常無濟於事。因此,法律管制的重點也會移向取得個資的企業或政府機關,要求其加強防範駭客入侵的防衛能力。新版個資法有以下規定,值得注意:
.關於事前安全防護措施之建立
個資法第27條規定:「非公務機關保有個人資料檔案者,應採行適當的安全措施,防止個人資料被竊取、篡改、毀損、滅失或洩漏。中央目的事業主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。前項計畫及處理方法之標準等相關事項之辦法,由中央目的事業主管機關定之。」
.關於事後通報機制
個資法第12條規定:「公務機關或非公務機關違反本法規定,致個人資料被竊取、洩漏、篡改或其他侵害者,應查明後以適當方式通知當事人。」
.非公務機關違反上開二條者
個資法第48條規定得由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者,按次處新台幣二萬元以上二十萬元以下罰鍰。但以索尼PSN被駭事件為例,處罰規定似乎太輕。
.其他權力主張途徑
個資遭駭的當事人另可嘗試依個資法第28及29條,以公務機關與非公務機關違反個資法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利為由,要求負擔損害賠償責任。個資法另於第34條訂有集體訴訟機制,以利受害者團結主張權利。
此外,當事人亦可基於其與取得個資的機構間之契約關係主張違約責任,如另有關於個資保護廣告不實或違反資安保證情事,亦可視個案情形,依消費者保護法及公平交易法主張權利。
隱私保護標章制度重要
值得注意的發展是,國際上就個資隱私保護的趨勢朝向標章認證模式,以促進電子商務環境下對於消費者個人資料保護,如美國的TRUSTe、日本的P Mark和韓國ePrivacy Mark等。經濟部商業司已委託財團法人資訊工業策進會科技法律研究所研擬「台灣個人資料保護與管理制度(TPIPAS)」,並發表台灣第一個「資料隱私保護標章(Data Privacy Protection Mark, DP Mark)」,以DP Mark標章授與的方式,促進業者加強用戶隱私的保護,並降低業者違反個資法的風險。
如不幸發生駭客入侵事件,業者得以其已建立安全措施且取得DP Mark認證為由,依個資法第29條但書規定證明其無故意或過失而尋求免責抗辯。另一方面,也須注意取得DP Mark認證的企業,反而更容易成為駭客測試其破解能力的目標。
看來「駭客任務」續集會一直上演,突顯科技的高度發展對個人財產與隱私帶來巨大衝擊。
