明毓律師事務所HSU & Associates
2021/5/11 / 時事探討

個資外洩怎知道?從Facebook近日個資侵害事件看個資事故之通知

Facebook近日再度爆發個資侵害事件,據報導,高達5.33億筆Facebook用戶個人資料被免費張貼至駭客論壇上。被侵害的個資包括Facebook用戶全名、電話、地點、Email及個人簡歷等。受影響的用戶遍及106個國家,其中包含3200萬名美國用戶、1100萬名英國用戶及600萬名印度用戶,而台灣則有734,807名用戶受到影響。對此,Facebook發言人Mike Clark回應,本次個資侵害事件起因並非是駭客駭進系統,而是於2019年間,不肖人士利用臉書的聯絡人匯入(contact importer)功能漏洞,自用戶的個人簡歷頁面上抓取(Scraping)個人資料所致,由於大多數資料是從公開的個人簡歷頁面抓取而得,與未公開、本應受保護、具機密性的個人資料在未經當事人許可下公開或外流之個資外洩事故有別,然而,縱使是抓取公開的資料,在用戶不知情也未同意情形下,擅自張貼於駭客論壇亦已構成對用戶個資之侵害。Facebook發言人Liz Bourgeois在事件曝光後於twitter上強調,本次受侵害個資屬於2019年的舊個資,該漏洞已於當年(2019年)8月修補,並有信心不肖人士無法再透過該管道抓取個人資料。

 

然而,Facebook發言人亦表示,由於無法確實掌握本次事故所影響的用戶名單,並考量到用戶無法靠一己之力解決問題,加上此些資料多為公開可得之個資,因此不會通知受影響的用戶。此「不通知聲明」想當然爾招致多方批評,有專家認為,都已經發生嚴重的個資侵害事故,業者竟仍有不通知此選項,代表我們應該重新思考對於數位平台就個資事故發生時之責任及法遵義務,更應有懲處規定,以收嚇阻之效;再者,雖此次侵害之個資並無財務、健康或密碼等較敏感之資訊,但光用戶名、電話、Email等個資,已足以被不肖人士利用於詐騙或駭客攻擊。

 

到目前為止,包含法國、義大利、香港之主管機關均已對本次Facebook個資侵害事件作出回應,要求Facebook就本次事件為必要之說明,除了要求Facebook了解個資侵害情形、受影響的用戶數量及所涉個人資料外,同時提醒Facebook盡快通知受影響用戶,以降低損害。反觀我國雖已有多家媒體報導本事件,卻未見任何主管機關對此作出說明或提醒,Facebook用戶們僅能自食其力地利用網路資源查詢自己個資是否已經受影響。

 

根據2019年7月Facebook與美國聯邦貿易委員會(Federal Trade Commission, FTC)達成的和解協議,當發生500名以上Facebook用戶受影響之個資侵害事故時,Facebook應在查證事故後30日提交報告予FTC,並應每30日更新報告,直至該外洩事件已徹底調查完畢並已實施補救措施為止;報告內容應包括外洩時間點、期間、外洩原因、受影響的個資種類、受影響的用戶數量及Facebook已採取的安全措施等。此外,根據GDPR規定,發生個資侵害事故時,資料控管者應於知悉事故時起72小時內通知主管機關;如該事故將導致當事人之權利及自由產生高度風險時,資料控管者應立即以清楚、簡明之方式通知當事人,不得無故延遲。

 

針對個資侵害事故發生後之通知義務,我國個資法第12條規定,若發生個資侵害事件時,公務機關或非公務機關應查明後以適當方式通知當事人,而個資法施行細則第22條雖進一步規定了通知當事人之方式及內容,惟公務機關或非公務機關究竟應查到何程度始構成個資法第12條之「查明」?施行細則第22條第2項之「個人資料被侵害事實」及「已採取因應措施」之具體內容為何?若公務機關或非公務機關未主動通知當事人時,主管機關該如何強制要求其通知?似未見主管機關有進一步解釋。

 

我國銓敘部過去也曾發生大規模個資侵害事件,2019年6月,約24萬多名公務人員個人資料外洩,外洩的個資涵蓋2005年到2012年6月底的中央及地方機關公務人員個人資料,其中包含公務員之身分證字號、姓名、服務機關、職務編號與職稱等。銓敘部是在2019年6月22日接獲外部情資,進而得知有國外網站揭露了銓敘部所擁有之個人資料,並在6月24日晚間於官網發布公告通知。銓敘部的個資外洩公告內容縱使有依照個資法要求說明「個人資料侵害之事實」及「已採取之因應措施」,惟其並未說明該次事件之可能影響、當事人應該採取措施之具體建議等。再者,銓敘部是在發現個資外洩兩天後始公告,亦未即時通知個別當事人,又未於公告中提供針對此事件之聯繫窗口;雖依個資法第28條、第31條規定,被害人得向銓敘部請求損害賠償,但當事人根本無從得知自己是否為被害人,遑論進行後續補救措施呢?

 

由於當事人通常無法第一時間掌握個資侵害事故之發生,自己的個資是否已外洩或有其他被侵害情形,高度仰賴身為資料控管者或處理者之公務機關、非公務機關進行通知後,始得採取相應措施,避免損害擴大。國發會既已於2019年啟動個資法修法研擬,未來進行個資法修法時,有必要將此部分納入考量,就個資侵害事故發生後之通知義務做出更明確規範,例如明定公務機關或非公務機關應於「知悉」個資侵害事件後特定期間內通知主管機關及當事人、通知內容最少應具備之項目等。




 

註釋:

  1. GDPR第33條

  2. GDPR第34條

Articles
Latest
posts
拜登《發展數位資產行政命令》簡介
加密貨幣該怎麼管?美國《金融創新責任法案》簡介(下篇)
加密貨幣該怎麼管? 美國《金融創新責任法案》簡介(上篇)
公益與營業秘密揭露之兩難——簡介TRIPS Covid-19豁免提案
認識歐盟新版標準契約條款:個資國際傳輸新發展
深偽技術移花接木——面對人工智慧,個資法準備好了嗎?
疫苗通行證將上線?淺談「台北通app」之個資蒐用問題
中國個人信息保護法開跑!十大重點一次看!
真的假的!?埋在發財致富路的陷阱 ——淺談詐欺取財罪與非法吸金罪
謝絕來電計畫——公正第三方介入當事人同意機制之可行性?
召集股東會:是雙胞胎!恭喜老爺,賀喜夫人!?
萬華區民眾健保卡註記事件之隱私疑雲——兼談「剖析」之基本概念
從隱私保障角度檢討疫情警示簡訊:「細胞廣播」與「類細胞簡訊」之運用
匿名化或假名化?資料去識別化之概念釐清
召集股東會:喚醒沉睡在股份中的表決權
誰在暗處解讀戰術?——即時轉播對於營業秘密保護的可能影響
「繼續閱覽代表我同意」?淺談GDPR及CPRA對於同意有效性之認定
以「臺灣社交距離app」找到人與人的連結,但我的個資也被連結了嗎?
召集股東會:誕生吧!決議!
除了GDPR外,你還要知道 ePrivacy Regulation
馬賽克理論簡介——隱私內涵之再反省
打擊盜版?尊重言論自由?——在光譜間擺盪的網路平台業者
Facebook透明報告出爐!機器學習讓打擊盜版更有效率
全國通用「簡訊實聯制」上路:效率防疫倒映之隱私隱憂
天網是什麼?簡評「電子圍籬」及「雲龍系統」運用的隱私疑慮
如影隨形的小甜餅將何去何從:從第三方 Cookies 的使用限縮談「 Cookies 同意」
GoPro、UBER主動出擊! 原來定期檢索競爭對手商標很重要
你的同意不是你的同意!?從歐盟個資保護委員會公布之05/2020指引看當事人同意效力
人工智慧近期國際動態—美國FTC針對人工智慧偏見之建議與歐盟人工智慧法律框架草案
個資外洩怎知道?從Facebook近日個資侵害事件看個資事故之通知