明毓律師事務所HSU & Associates
2021/5/11 / 時事探討

個資外洩怎知道?從Facebook近日個資侵害事件看個資事故之通知

Facebook近日再度爆發個資侵害事件,據報導,高達5.33億筆Facebook用戶個人資料被免費張貼至駭客論壇上。被侵害的個資包括Facebook用戶全名、電話、地點、Email及個人簡歷等。受影響的用戶遍及106個國家,其中包含3200萬名美國用戶、1100萬名英國用戶及600萬名印度用戶,而台灣則有734,807名用戶受到影響。對此,Facebook發言人Mike Clark回應,本次個資侵害事件起因並非是駭客駭進系統,而是於2019年間,不肖人士利用臉書的聯絡人匯入(contact importer)功能漏洞,自用戶的個人簡歷頁面上抓取(Scraping)個人資料所致,由於大多數資料是從公開的個人簡歷頁面抓取而得,與未公開、本應受保護、具機密性的個人資料在未經當事人許可下公開或外流之個資外洩事故有別,然而,縱使是抓取公開的資料,在用戶不知情也未同意情形下,擅自張貼於駭客論壇亦已構成對用戶個資之侵害。Facebook發言人Liz Bourgeois在事件曝光後於twitter上強調,本次受侵害個資屬於2019年的舊個資,該漏洞已於當年(2019年)8月修補,並有信心不肖人士無法再透過該管道抓取個人資料。

 

然而,Facebook發言人亦表示,由於無法確實掌握本次事故所影響的用戶名單,並考量到用戶無法靠一己之力解決問題,加上此些資料多為公開可得之個資,因此不會通知受影響的用戶。此「不通知聲明」想當然爾招致多方批評,有專家認為,都已經發生嚴重的個資侵害事故,業者竟仍有不通知此選項,代表我們應該重新思考對於數位平台就個資事故發生時之責任及法遵義務,更應有懲處規定,以收嚇阻之效;再者,雖此次侵害之個資並無財務、健康或密碼等較敏感之資訊,但光用戶名、電話、Email等個資,已足以被不肖人士利用於詐騙或駭客攻擊。

 

到目前為止,包含法國、義大利、香港之主管機關均已對本次Facebook個資侵害事件作出回應,要求Facebook就本次事件為必要之說明,除了要求Facebook了解個資侵害情形、受影響的用戶數量及所涉個人資料外,同時提醒Facebook盡快通知受影響用戶,以降低損害。反觀我國雖已有多家媒體報導本事件,卻未見任何主管機關對此作出說明或提醒,Facebook用戶們僅能自食其力地利用網路資源查詢自己個資是否已經受影響。

 

根據2019年7月Facebook與美國聯邦貿易委員會(Federal Trade Commission, FTC)達成的和解協議,當發生500名以上Facebook用戶受影響之個資侵害事故時,Facebook應在查證事故後30日提交報告予FTC,並應每30日更新報告,直至該外洩事件已徹底調查完畢並已實施補救措施為止;報告內容應包括外洩時間點、期間、外洩原因、受影響的個資種類、受影響的用戶數量及Facebook已採取的安全措施等。此外,根據GDPR規定,發生個資侵害事故時,資料控管者應於知悉事故時起72小時內通知主管機關1;如該事故將導致當事人之權利及自由產生高度風險時,資料控管者應立即以清楚、簡明之方式通知當事人,不得無故延遲2

 

針對個資侵害事故發生後之通知義務,我國個資法第12條規定,若發生個資侵害事件時,公務機關或非公務機關應查明後以適當方式通知當事人,而個資法施行細則第22條雖進一步規定了通知當事人之方式及內容,惟公務機關或非公務機關究竟應查到何程度始構成個資法第12條之「查明」?施行細則第22條第2項之「個人資料被侵害事實」及「已採取因應措施」之具體內容為何?若公務機關或非公務機關未主動通知當事人時,主管機關該如何強制要求其通知?似未見主管機關有進一步解釋。

 

我國銓敘部過去也曾發生大規模個資侵害事件,2019年6月,約24萬多名公務人員個人資料外洩,外洩的個資涵蓋2005年到2012年6月底的中央及地方機關公務人員個人資料,其中包含公務員之身分證字號、姓名、服務機關、職務編號與職稱等。銓敘部是在2019年6月22日接獲外部情資,進而得知有國外網站揭露了銓敘部所擁有之個人資料,並在6月24日晚間於官網發布公告通知。銓敘部的個資外洩公告內容縱使有依照個資法要求說明「個人資料侵害之事實」及「已採取之因應措施」,惟其並未說明該次事件之可能影響、當事人應該採取措施之具體建議等。再者,銓敘部是在發現個資外洩兩天後始公告,亦未即時通知個別當事人,又未於公告中提供針對此事件之聯繫窗口;雖依個資法第28條、第31條規定,被害人得向銓敘部請求損害賠償,但當事人根本無從得知自己是否為被害人,遑論進行後續補救措施呢?

 

由於當事人通常無法第一時間掌握個資侵害事故之發生,自己的個資是否已外洩或有其他被侵害情形,高度仰賴身為資料控管者或處理者之公務機關、非公務機關進行通知後,始得採取相應措施,避免損害擴大。國發會既已於2019年啟動個資法修法研擬,未來進行個資法修法時,有必要將此部分納入考量,就個資侵害事故發生後之通知義務做出更明確規範,例如明定公務機關或非公務機關應於「知悉」個資侵害事件後特定期間內通知主管機關及當事人、通知內容最少應具備之項目等。




 

註釋:

  1. GDPR第33條

  2. GDPR第34條