Sep 17, 2021
5 min read
134/365 — 使用者權益須知:個資的重要性與個資法的運用
每年有成千上萬起駭客盜用個資的事件發生,為避免沒享受到服務,卻有被盜用個資的風險,最好不要直接把軟體刪除。可以參考以下建議。希望大家對資安有更深一層的認識,並用消費者的力量改變企業的消極作為!
前情提要
近幾個月對於某個軟體的使用者體驗評價非常糟糕,使用後發覺既不省時又不省力,果斷停止使用,然而,直接刪除前最好再三思考。
目錄
不能直接把App刪了?不接觸有風險的App就好了?資安問題層出不窮刪除軟體前該做的事
不能直接把App刪了?
因為使用者的個資還在對方公司手上。
有人說個資被大公司知道並不會少一塊肉,確實,拿在自己手上的確也不會多一塊肉(不過腰上倒是多了些肉……),因此在討論怎麼處理前,先解釋擁有個資可以做什麼,根據資安部落格表示,個資可以被拿來:
- 破解其他使用相同帳密的帳號。(2018年有300億次這樣的攻擊。)
- 登入你的網路銀行帳號來盜用資金。
- 以你的名義辦理銀行帳號/信用貸款。
- 以你的名義訂手機或將你的SIM卡轉到新裝置(每月影響7,000名美國行動網路運營商Verizon客戶)。
- 以你的名義購買昂貴物品轉賣。通常是透過竊取你在網路購物的帳號進行。
- 入侵工作帳號來攻擊你的雇主。
諸如此類,從財產到信用評等到生活日常都會被影響。
回目錄 | 繼續看不接觸有風險的App就好了?
現在了解了個資會被拿來做的壞事,但這些網路商城都是正常的公司不是嗎?他們的確沒問題,然而有證據顯示,大部分的公司都【不會加強資安防護】,因為:
- 台灣多數企業不清楚/不願去研究資安業務需求和需要哪一種人才。
- 臺灣法院認為企業資安處理有問題造成用戶權益受損,企業也是受害者,不需負擔賠償責任。(雖然 Facebook 賠償50億美元;Uber 賠償1億美元;英國航空賠償1億英鎊,都是因為資安問題)
- 個資法中沒有未指明適當安全措施的定義,因此企業隨便處理都可以。
- 違反個資法第27條,處新臺幣兩萬元以上、二十萬元以下罰鍰,罰鍰遠低於聘僱一個資安人力的成本,【只要繳罰鍰,就不用聘僱資安人才】。
- 違反個資法第28條,每人至多獲得兩萬的賠償金額,遠比不上走法律流程所需的費用,得不償失,形同虛設。
回目錄 | 繼續看資安問題層出不窮
因為企業內部不重視資安,品德再好,駭客一樣會為了個資,把手伸進去企業的口袋撈個資。以近期的新聞為例:
- 臺灣工研院遭駭客攻擊。
- 國發基金系統遭駭客入侵。
- 美國的IT管理軟體Kaseya VSA使用戶遭到勒索軟體攻擊。
- 駭客透過Discord存放惡意軟體。
- 鬍鬚張因勒索軟體攻擊而導致客戶資料外洩。
- 駭客透過LinkedIn找尋內應,以高額分紅讓員工在公司安裝勒索軟體。
- 大考中心資料外洩,2千考生受影響。
- 蘋果AirTag與Find My安全漏洞。
- 蕃薯藤被駭。
這些還只是被爆出來的部分,冰山一角。連國家層級的都會被駭客入侵,很難想像一般被罰了也不痛不癢的企業不會讓用戶個資輕易被洩漏拿去犯罪。
回目錄 | 繼續看刪除軟體前該做的事
那麼,為了避免明明【沒享受到服務,卻有被盜用個資的風險】發生,最好在確定停止使用某個服務前,請對方確實刪除我們的個資,建議流程如下:
- 以個資法第11條第3項規定:「個人資料蒐集之特定目的消失或期限屆滿時,應主動或【依當事人之請求】,【刪除、停止處理或利用】該個人資料。 」要求企業刪除帳號與個資。
- 不要期待對方主動幫我們刪掉,企業也不知道我們何時把軟體刪了。
- 要求提供證明:法律上沒有規定企業有責任提供證明(有法官解釋:https://lawsnote.com/judgement/5772dd822948d2dc33ffd3f4),但還是可以要求,以確保未來權益受損時,可以自救。
- 收好信件往來內容,最好截圖,避免自己哪天手殘刪了沒備份。
回目錄 | 繼續看就這樣,希望大家對資安有更深一層的認識,並用消費者的力量改變企業的消極作為!
如果我的文章有幫助到你,請幫我在下方拍手區按圓圈圈裡的拍手圖案5次!我將得到 Likecoin 的回饋,您只要註冊/登入帳號(fb、google帳號都可),按五次左鍵,可以贊助我的文章且完全不會花到錢!
支持創作,正向交流:)
