客戶資源係發展電子商務的利基,卻可能因此成為駭客覬覦入侵的目標,如果未能確保資通安全,恐喪失民心而流失客戶,將妨礙商業正常發展。雅虎(Yahoo)最近傳出的二起資安事件,均讓外界對雅虎的資通安全產生疑慮,可為借鑑。
資訊與通訊科技的發達帶來網路商務的蓬勃發展以及民眾生活的便利,資通安全也就格外重要。特別是對於擁有眾多客戶的網路平台業者而言,其客戶資源係發展電子商務的利基,也是其他企業願意花錢併購的誘因;然而另一方面,卻可能因此成為駭客覬覦入侵的目標,或是收到政府要求協助監控的命令。
以網路電郵信箱為例,使用十?年的用戶在信箱中累積了與許多聯絡人的往來信件,不只是歷史(History)而是我的故事(Mystory),如果輕易地就被他人看光光,隱私實受到很大的侵害。雅虎(Yahoo)最近傳出的二起資安事件,第一件是雅虎於今年(2016)9月間證實於2014年間該公司系統遭到疑似國家支持的駭客入侵,至少有5億用戶的帳號及個資遭竊;第二件是今年10月間外媒報導雅虎曾於2015年間協助美國情報機構掃描用戶電子郵件以檢視是否有國外恐怖組織使用的數位簽章,均讓外界對雅虎的資通安全產生疑慮,可為借鑑。
客戶為網站平台重要資產
網路商業的競爭趨勢係以爭取客戶量為主,由客戶量轉化為現金流。雅虎當初就是靠有系統地整理及連結網站資訊起家,後來推出形形色色的多樣產品,包括新聞消息、搜尋引擎、網路郵箱、電子商務等,成為知名入口網站。除了自行研發產品之外,雅虎也大舉對外併購公司,例如於2001年併購台灣奇摩網站,嗣於2008年併購無名小站,舉世矚目的大手筆交易則是於2013年以11億美元買下知名部落格網站Tumblr。上開併購交易之目的亦包括取得各網站平台的客戶資源。
雅虎於今年7月25日傳出將以48億美元賣出其網路事業予美國電信巨擘Verizon並納入其旗下的美國線上(AOL)。然而,雅虎將被Verizon收購的消息傳出後,卻燒出二起與用戶個資有關的重大資安事件,不僅讓人對雅虎的資通安全產生疑慮,也可能影響併購案的後續發展。
雅虎遭駭客入侵事件
雅虎於今年9月間證實於2014年間該公司系統遭到疑似國家支持的駭客入侵,至少有5億用戶的帳號及個資遭竊。雅虎表示其是在與Verizon於今年7月簽訂併購契約後才發現該起駭客事件。
然而5億用戶的帳號及個資遭駭客入竊事件對於資通安全影響重大,雅虎這樣有規模與技術的大公司都還存有資安死角,更遑論其他中小企業。而2014年發生的駭客事件居然到今年7月後才被雅虎發現,不僅起人疑竇,也凸顯資安事件發生後,業者應儘速發現及通報的重要性,否則用戶來不及採取變更密碼等補救措施。
本件甚至是在雅虎與Verizon簽署併購契約之後才被雅虎發現而公告,難免讓人有陰謀論的猜想,而Verizon可能引用併購契約中常見的「重大不利變更」(Material Adverse Change)條款,以上開資安事件影響Verizon對雅虎的價值評估,而終止併購或要求變更契約條款如降低併購金額,此對於營業績效不振及資安維護形象受創的雅虎來說,更是雪上加霜。
雅虎協助美國政府監控反恐事件
今年10月間外媒報導雅虎曾於2015年間協助美國情報機構搜尋用戶電子郵件以掃描檢視是否有國外恐怖組織使用的數位簽章,雅虎係將其原來用於過濾兒童色情資訊、垃圾郵件及惡意程式的技術改用於上開反恐任務。
相對於今年2月間蘋果拒絕依法院命令協助FBI破解恐怖攻擊嫌犯的iPhone手機,以及微軟於4月間挑戰美國司法部並向法院訴求:當政府要求獲取客戶資訊時,微軟有權告知客戶等「企業不服從」的作法,雅虎固然可主張其係依法院核發裁定而執行政府命令,且亦有與客戶約定免責條款,但卻有社會觀感不佳的疑慮。上開案件凸顯了在資訊社會中高科技公司面對用戶隱私保護及國家安全衝突的兩難。
資通安全保護之強化
資通安全之保護不限於民間企業,亦及於國家機關。個資法不僅規定非公務機關保有個資檔案者,應採行適當之安全措施,防止個資被竊取、竄改、毀損、滅失或洩漏(第27條),亦規定公務機關保有個資檔案者,應指定專人辦理安全維護事項,防止個資被竊取、竄改、毀損、滅失或洩漏(第18條)。
公務機關或非公務機關違反個資法規定,致個資被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人(第12條)。該等規定係從個資保護立場,要求公私部門事先採行安全維護措施,事後並應將危安事件通知當事人。惟若從資通安全之立場,其保護標的之範圍不限於個資,亦應及於國家安全及企業秘密,個資法似有不足。
為強化資通安全之保護,由行政院資通安全處研擬「資通安全管理法」草案並於今年9月22日於國發會的眾開講平台上網公告,對外徵詢各界意見,以納入未來行政院提報的版本中。
資安法草案係針對整體資通環境以風險管理為核心之專法,規定政府應提供資源,整合民間力量推動資通安全相關事項。在行政院層次,應擘劃資通安全相關政策,並推動相關事務之執行,另應訂定資通安全責任等級分級辦法,及應建立資通安全情資分享機制等。
在公務機關層次,應由首長指派副首長或適當人選擔任機關之資通安全長,負責推動及監督機關內資通安全相關事項,另應訂定、修正及實施資通安全維護計畫,亦應訂定資安事件之通報及應變機制。在民間機構層次,經行政院核定之關鍵基礎設施提供者、適用資通安全責任等級分級辦法之非公務機關,以及受中央目的事業主管機關指定之非公務機關等,應訂定、修正、實施資通安全維護計畫,並應制定通報及應變機制,且應接受監督機關之檢查與處分。
資安法草案雖有助於強化資通安全之維護,但也可能引發政府的手藉此伸進民間企業的疑慮,應受到法律保留及比例原則及之限制,以免妨礙商業正常發展及侵害人權。
<本文作者:陳佑寰,目前為執業律師。國立台灣大學法學碩士,美國賓夕法尼亞大學法學碩士。專攻領域為智慧財產權法、高科技產業議題及資訊法等。>