【2009.06.15/中國時報╱楊永年】
日昨驚爆東森購物網站外漏八千筆個人信用卡交易資料,在網購愈來愈頻繁的現今,讓社會大眾感到十分不安。特別是許多被害人,接到詐騙電話且被騙後才知道,原來個資已被廉價「賣」給歹徒,甚至可能更多被害人不知道個資遭歹徒不當運用。個資可能被歹徒用來詐騙、綁架、勒索或其它不當用途,造成被害人身心遭受嚴重創傷的社會問題。然而,造成個資嚴重洩漏的原因在那裡?誰該負責?
首先,業者既然有心投入網購,原本就應同時投資網路安全,不應該那麼不負責任,讓購物網站如此輕易就可以被歹徒安裝木馬程式,使得消費者的個人資料曝露在如此不安全的環境。業者透過網購營利,就有義務提供純淨安全的購物環境。就像一般購物商店,如果無法提供純淨安全的消費空間,會漸被消費者唾棄。換言之,個資外洩,業者要負最大的責任,就像公司必須為其產品瑕疵負完全責任的道理一樣。業者必須投資軟硬體設備與網羅資訊安全人員,積極改善網購個資安全保護(我們很少聽聞網路銀行業者有個資洩漏問題,原因即在於他們存在危機意識),否則類似個資洩漏問題將層出不窮。
但業者卻認為他是受害者,因為網站被放木馬程式側錄個資,他們可能不知道(當然也可能知道)。媒體報導顯示,東森網路個資洩漏不是今天才發生,過去就經常發生,顯然業者沒有反省能力,或作者懷疑業者根本沒有誠意(願意花錢投資網路安全維護)解決問題。鼓勵消費者抵制不負責任的業者,若無政府強制規範成效恐怕有限。因此,另一個問題是,如何強化政府規範黑心網購商店的管制機制?
簡單說,目前個資洩漏問題的直接原因是政府監督不足,背後可能因為網路安全缺乏主管機關,才使得個資洩漏問題得不到解決。因此除了業者,政府也有責任健全管制機制。但那個政府部門應該負責?行政院設有資通會報,但類似這樣的個案,可能上不了資通會報,因為這與國家安全不直接相關。或即便上了資通會報(因只是任務編組),解決問題的能力有限,因為大家可能互推責任。所以還是要找到主管機關負責,但到底誰是管機關?
事實上,網路個資洩漏與網路詐騙發生後的處理,是(網路)警察的責任。然而,警察只管末端的犯罪問題,關於網路資訊安全的管理,就非警察權責能力所及。所以,就目前而言,NCC應該是網路購物的主管機關。只是,NCC可能因為缺乏法令或管制經驗,使得政府管制業者的功能不彰。目前政府對於業者在網路安全規範與監督,可以說呈現真空狀態,使得類似問題層出不窮。網購個資洩漏管制政策的釐訂,絕對是政府的責任,而最好是由熟悉業務的NCC主動出擊,提出法令解套或管理方案,這也才是正本清源的方法。
此外,如果承辦網路資訊安全相關案件的警察知道問題的嚴重性,也知道問題的源頭在NCC的管制政策,應該有機制讓屬於「上級」的NCC立即重視。但以目前的運作模式,這樣的聯繫或合作機制似乎並不存在,而這也是我們(政府)可以努力的方向。甚至,如果立法院能立即設計求償機制(法令),讓個資外洩的被害人可以向業者或主管機關「求償」,相信業者與主管機關馬上會動起來,讓民眾的個資獲得保障。
(作者為成功大學政治系教授兼社會科學院副院長)
全文轉引自:http://news.chinatimes.com/
留言列表
