消費者，是你縱容企業洩密嗎？(下)

| | | | | | 6則回應

    

三、我一位友人就是受害者之一。有趣的是，他的密碼採用坊間最標準的安全建議設計，數字加上文字與符號混雜的八位數密碼，而且他表示，在該網站使用的密碼並未在其他地方使用。以密碼複雜度來說，要破解需要長達數個月到上千年，還得要持續連線才做得到，怎可能輕易就被破解？若是如此，網站上聲明「所有曾在該網站消費的使用者，需重新設定全部所有網路上使用的帳號密碼以符合長度規範建議」，又真能擋得住駭客攻擊？

該書店聲明頁面。

四，根據網站聲明，該書店事發後立刻已強化登入門檻，讓二次登入失敗時必須進一步填寫「識別碼」的安全措施以避免冒用。但這種虛擬交易安全設計的基本概念，在各大涉及個人隱私與線上交易的網站已經行之有年，廠商最初安全設計不夠嚴謹導致遭駭客破解，難道沒有疏失，反將責任歸咎於消費者密碼設計不當？

附帶值得一提的是，該公司事件處理的內部標準不一。該公司一開始時就聲明絕對不會在非上班時間與會員以電話聯繫，然而我受害人朋友偏偏在晚上八點後接到該公司客服人員的電話，談話內容主要與公司的最新聲明有關，包含重新設定密碼等等。那她是認為晚上八點不是下班時間（她還沒下班就不算數）？還是考驗消費者到底會不會辨識詐騙集團？更幽默的答案出自該小姐口中：「公司沒說什麼時間不能聯絡客戶」等等令我及朋友啼笑皆非。

先研究形象不受損　再想消費者補償？

在上述一團迷霧的可能性中，整個事件真正起因還未得到解答，就已見到廠商忙於消毒，似乎忘記了消費者的觀感與權益。

據我朋友說，事發時e公司客服小姐口中竟說「你還沒被騙到錢，那就好，沒啥關係。」之類的對話。殊不知，「個人隱私資料外洩」與「資料外洩後被詐騙」完完全全是兩碼子事情，不同階段的危機處理方式與程序也有相當大的差異。她的個人隱私資料已經外洩，現在沒被騙到就代表不會被拿去進行其他不法用途？

祭出「駭客神主牌」維護招牌與形象之際，該公司卻未想好怎麼面對已經流失在外的消費者資料？受害者已經被詐騙的金額該如何賠償？種種技術問題交代不清，權利義務擱一旁，責任一概推給合作廠商與消費者，儼然是千錯萬錯不是我的錯的姿態。在打出駭客牌以及模糊處理下，隨著新聞熱度的降低，真相被混淆，責任被稀釋。

企業責任只是公關形象而已？

大多數的企業都將企業責任四個字列為營運的主要方向之一，有的公司會去以認養公園等公益方式回饋社會，盡到該負起的社會公益責任；但是企業責任不該只是種種樹、撿撿垃圾、做做樣子而已；只有在危機時，才可以看到企業是否真心勇於面對問題，並承擔企業責任。

在許多資料外洩案例中，我們只看到廠商可以「外力不可抗拒」（祭拜一下駭客神主牌，順便暗喻使用者自己不夠謹慎）或離職員工作為由搪塞，但從消費者角度來看卻顯得麻木不仁。無奈受害者對洩密事件的技術層面不夠熟悉，只能被迫接受一個模稜兩可的解答，花錢消費，風險卻要自己擔。

我不禁回想起自己早期因為行動電話個資外洩，而發生的詐騙恐嚇事件，正因為對方掌握了我當時詳細的個人資料，因此當時我以及家人一直處在深刻的恐懼與困擾中，直到歹徒落網。每一筆個人隱私資料外洩，所造成的傷害絕對不只是每筆資料幾塊錢的事情而已，更難以平復的是感情上創傷與心靈的恐懼。

因此廠商精算著五十、兩千、八千等等不同價碼、討價還價之際，彷彿它們才是受害者，沒想到，消費者因洩密得飽受詐財、恐嚇之困擾，誰又該為此負責？企業責任難道不包括對任何相關風險事件的協助？

企業責任不應該是只表面、只是口號，更應該是具體的行動，「個人隱私資料保密」不容許任何妥協跟忽視，也不允許被模糊成意外事件因為在提供消費者服務與收取利潤的同時，有責任、也有義務提供相當安全機制，保障消費者資料。

隱私權益受損不自知　消費者助長了廠商的不負責

這兩起事件意外插曲，是一次跟友人針對「到底什麼是隱私？」的激烈討論。我跟友人爭論在於，他不認為信用卡卡號、地址被知道算是隱私外洩，因為到處都可以輕而易舉取得這樣的資料。到處都可以輕易取得但未經本人授權，就不算侵犯隱私？那陳冠希的親密照片未經授權被不當取得，就不算被侵犯隱私嗎？根據個人資料保密法，「資料擁有者有義務協助其個人隱私資料不被未經授權的第三方取得」。

也就是說，上述兩個案例已經違背了規範，不管原因是疑似被駭客攻擊（還有待確認）或是程式撰寫疏失，廠商都有絕對義務負起責任，而非撇清關係。該負責的沒負責，要不就是負責的不乾不脆，卻也不見受害者或是消費大眾口誅筆伐。消費大眾的沉默是否間接助長了企業的漠視？

本文撰寫當初，ZDNet主編問我這事件為什麼值得寫？我說原因無他；只因為太多消費者的權益受到侵害卻不自知，間接默許了企業的不負責。別再讓沉默變成企業漠視的理由；消費者你的名字不叫做弱者。