消費者，是你縱容企業洩密嗎？(上)

| | | | | | 留下回應

    

但是，這件事只顯示主角的人格瑕疵，傷害性比起筆者要談—卻很少人注意到--的事件要算小巫見大巫；我討論的正是國內兩大龍頭書店前後爆發洩漏個人資料的事件，長期為企業與個人資料外洩事件處理的筆者，看到現今社會對個人資料隱私的漠視與無知有所感概，加上兩大事件的受害者筆者都有熟識，因此促使筆者為文指出國內處理個人隱私資料之企業在資料保護的具體措施上，以及事後的責任承擔方面諸多可議之處。

洩密的新聞報導似乎已經不能算新聞，發生的頻繁度幾乎已經到了讓人麻痺的程度。除了競相討論的Edison Chen事件外，光是這半年內就有北市政府洩漏的老聚落居民身分資料、電視購物公司、陪你瞎拼一輩子的網站、線上書店代辦的影展與另外一家龍頭書店網站資料外洩，其他還有像是傳染病追蹤名單、學校教官的身家資料等洋洋灑灑數十起事件，受害人數上千。這還只是看到被爆出來的，還有多少沒有被發現？還有多少已被用公關手法鎮壓住？各種隱私資料可能在你我不知不覺中被交換、買賣掉了！想到這已經不寒而慄。

你以為光這樣就夠糟了？更糟的是，這些接觸個人隱私資料的公司在因業務疏失而造成的受害者補償上以及事發後的態度令人心寒，不知該說消費者是待宰羔羊？還是誤入叢林的小白兔？

事件因為失去新聞熱度而音訊全無，所以且容我幫助大家回想二個消費者極為弱勢的情境。

弱勢消費者情境一：和解彷彿訂立不平等條約？

去年年底某網路書店（姑且稱為B）銷售影展套票時，在消費者訂票通知的電子郵件中「不慎」（官方說法）將消費者的個人資料，包括姓名、e-mail、電話、手機、地址等資訊外洩。

整個事件隨著新聞熱度的降低、公關操作而逐漸被淡忘，該公司事後當然有相關所謂的「標準」危機處理，包含了道歉信、願意賠償消費金額、提供小金額的電子禮券，到最後真正的賠償處理。但一切看似合乎常理的處理程序其實隱藏了許多不合理的因子。

首先值得探討的是，該書店所謂的危機處理是從哪為出發點？是只顧及了廠商的形象？還是真正關心到受害者的權益？B網路書店廠商初期道歉信階段先賠償了五百元的電子禮券，緊接者在眾怒未消之時又表示願意負擔該次消費金額，但是附帶但書，如果要接受這樣的條件必須要在「指定的時間」上網登錄註冊後並放棄後續權利，到最後才提出和解協議，卻延宕至今，仍與受害者在賠償內容上無法取得共識。

令人氣結的是，該和解協議中明訂了三項僅顧及廠商利益的一面倒慰問金和解條款，為了避免錯誤我直接引述受害者給予的資訊以供各位參考，內容如下；

1.不得再向第三人或媒體轉述此事,包括本協議書之內容。
2.不得再向該廠商提出任何民刑事法律追訴。
3.違反上面兩點,需支付所得慰問金100倍之懲罰性賠償給該廠商。

我很想反問，個人資料外洩，你在乎的是這麼小小的金額嗎？個人隱私值多少，這個問題難以定論，但是廠商條款卻已先曝露著保護性的字眼，卻看不到他要如何幫受害者進行保護性的誠意，只看到它一味的要求消費者「拿錢閉嘴」的心態。對消費者而言，簽下一紙「欣然同意」的不平等條約等於賤賣了你的權利。

弱勢消費者情境二：資料外洩跟我無關，千錯萬錯都是別人的錯？

相隔數月，另外一家給人高格調感受的某網路書店（且稱之為e），也發生了類似事件。該書店透過超商遞交書籍給客戶的資訊流入詐騙集團手中，歹徒可以清楚知道消費者的訂單資料，包括姓名、電話、信用卡的部分資訊，並進而利用該資訊誘騙消費者將費用轉入詐騙集團指定的帳戶中。

受害者從該書店收到郵件畫面。

根據新聞，事發當天e書店聲明說系統本身經警方檢測無異狀，可能是出在合作的物流業者或取貨通路。隨著案情偵辦進度，最新網站上官方說法又稱「駭客強行搜集資料」，網站懷疑是因為消費者一組密碼多站通用的習慣，而密碼設計又過於簡單，導致密碼被駭客破解。

事件在受害者投訴後也有「標準」危機處理，從委請警方檢測系統、發通告、電話通知到最後於網頁刊登聲明。同樣的，處理程序看似合理，卻有事件發生的真正原因交代不清、受害者賠償事宜未盡周全以及內部對事件處理標準不一致等疑點。

一、兩相對照其實是相當矛盾。系統既然經過檢測安全無虞，那麼為何最新的說法轉換為與駭客相關？熟悉資訊系統風險分析的人，應該都能夠同意系統正常運作，並不表示資料沒有外洩（太多真實的案例可證明這種假象的確存在）。更甚者，如果係所謂公司所謂的資料拼圖手法，駭客已經掌握到這麼多資料，那麼廣大的會員資料只有那幾筆外洩？還是因為柿子先挑軟的吃，其他的以後慢慢再嘗試？

二、熟悉攻擊模式的人應該會同意，駭客不會這麼辛苦的一筆一筆帳號、一個個密碼地去測試。攻擊該書店的駭客這麼歹命，（是這年頭還有做心酸的詐騙集團，還是笨賊一籮筐？）如依書店官網所說，是採用資料拼圖的手法，他們應該是採用工具與字典檔的模式來進行破解，因為最符合經濟效益，而入侵的網路行為模式也應該會非常接近DOS（Denial of Service拒絕服務攻擊）。那麼，如果網站安全機制皆運作正常，為什麼事發當時毫無警示甚至主動攔截，而等到事發多日後才提出相關研判？(待續)