臺灣Nokia百萬個資遭駭，恐成個資法上路首宗團體訴訟案

訂閱電子報│RSS訂閱 │手機版

全站文章

iT邦幫忙

iThome Online提供免費電子報，現在就訂，最新IT訊息每日寄達。

iThome 每日新聞報

iThome 產品技術報

加入iThome Online會員，立即使用討論區、Blog等服務。

‧登入 / 登出

‧	12' E政府專刊no.6(46)
‧	12' 個資法專刊No2(45)
‧	12' iTcloud No.2(44)
‧	12' e政府專刊No.5(43)
‧	12' 個資法專刊(42)
‧	11' CIO專刊(41)
‧	11' e教育專刊No.3 (40)
‧	11' e政府專刊No.4 (39)
‧	11'iTcloud專刊(38)
‧	10' e教育專刊No.2 (37)
‧	10'e政府專刊No.3 (36)
‧	09'e政府專刊No.2 (35)
‧	09'e教育專刊(34)
‧	09'e政府專刊(33)
‧	08'企業資安專刊－端點安全防護(32)
‧	08'企業採購情報誌(31)
‧	07'資訊安全技術應用專刊(30)
‧	07' 新世代資料中心專刊(29)
‧	07'企業資安技術應用專刊(28)
‧	企業採購情報誌'06冬季號(27)
‧	企業軟體技術應用專刊(25)
‧	企業資安技術應用專刊(24)

臺灣Nokia百萬個資遭駭，恐成個資法上路首宗團體訴訟案

文/張景皓 2013-03-04

臺灣Nokia約150筆消費者個資遭駭，駭客在2月初上網公開了其中的17萬筆個資。達文西個資暨高科技法律事務所主持律師葉奇鑫表示，這是個資法上路後最大宗的個資外洩事件

▲國外網站國外Hackread.com網站在2月5日就揭露臺灣Nokia遭駭，駭客也駭客論壇上公開17萬筆個資，並展示臺灣Nokia網站受駭畫面

臺灣Nokia行銷活動網站遭駭，Nokia承認可能遭竊了近150萬筆個資記錄。駭客也在今年2月5日時上網公布了其中的17萬筆記錄，包括姓名、電話和電子郵件等個資。臺灣Nokia於2月22日也在官網公告坦言受駭，並表示已通知可能遭外洩帳號密碼的7,000位民眾。

達文西個資暨高科技法律事務所主持律師葉奇鑫表示，這次事件是個人資料保護法上路後，最大宗的個資外洩事故，因這類事件難以評估財產損失，只要資料外洩屬實，就達到可以訴訟的條件。也就是說，這次事件的個資當事人已經可以向臺灣Nokia提告求償，甚至這可能成為首宗個資法團體訴訟的案件。

由於此次影響範圍廣大，根據個資法的規範，只要有20位以上的受害當事人連署，即可交由公益團體進行團體訴訟。另外，依據個資法28條規定，單一事件中每人可求償金額從500～20,000元不等，以臺灣Nokia這次外洩150萬筆個資來估算，若每筆資料的受害民眾沒有重複，求償金額將會達到法定單一事件最高總額2億元的上限。

此次Nokia遭駭的行銷網站是委託給網路行銷公司安捷達（Agenda）負責建置和維運，但依個資法規定，受委託機構視同委託機構，發生個資外洩時，仍是由臺灣Nokia負責，民眾仍是向臺灣Nokia求償。而臺灣Nokia則可另外向Agenda求償。

臺灣Nokia個資外洩事件整理

事件發生經過	● 國外Hackread.com網站在2月5日就揭露臺灣Nokia遭駭，駭客也網站上公開17萬筆個資。 ● 臺灣Nokia於2月22日於官方網站上發表受駭聲明稿。
受影響規模	● 曾於以下5個網站填寫活動所需的相關資料的消費者，約有150萬筆個資有外洩的風險。 www.nokia-greetings.nokia.com.tw www.member.nokia.com.tw www.fun.nokia.com.tw swipe.nokia.com.tw www.event.nokia.com.tw
被竊取的個資類型	● 臺灣Nokia聲明稿：可能含有姓名、電子郵件信箱、電話號碼、或其他活動相關的資料需求。 ● 國外Hackread.com網站訊息：可能涵蓋姓名、IP位址、性別、電子郵件信箱、電話號碼、發票號碼、IMEI（國際行動設備辨識碼）碼、臉書帳號。
臺灣Nokia採取的因應措施	● 2月22日於官方網站上發表受駭聲明稿，並關閉5個活動網站，移除伺服器中的資料庫，並透過簡訊或電子郵件通知外洩個資中含有密碼的7,000名左右的受害當事人。 ● 預計花費至少4個禮拜的時間清查影響情形。 ● 提供客服專線讓消費者詢問相關情形。 ● 已委由律師將事件狀況向警方匯報，後續交由法務部門處理。
駭客攻擊手法	● SQL Injection（資料隱碼）。
個資法相關規定	● 個資法第28條規定，單一事件中每人可求償金額從500～20,000元不等，以臺灣Nokia這次外洩150萬筆個資來估算，若每筆資料的受害民眾沒有重複，求償金額將達到法定單一事件最高總額2億元的上限。 ● 若臺灣Nokia後續沒有採適當方式通知其餘受害當事人，可能違反個資法第12條的規範。 ● 從駭客攻擊手法來看，臺灣Nokia的網站程式碼安全性不足，才遭受攻擊，可能違反了個資法施行細則第12條的規範。 ● 臺灣Nokia沒有善盡委外監督責任，導致由安捷達（Agenda）負責管理的5個行銷活動網站遭駭，可能違反個資法施行細則第8條的規範。

1 / 2 / 3

‧	6/20-6/21 Enterprise Cloud EXPO 企業雲資源應用博覽會與企業雲端論壇
‧	Tableau 8 研討會 – 最新商業智慧: 視覺化互動分析！把Data變＄
‧	2013行動企業大挑戰，無線管理新思維研討會
‧	2013 BlackBerry Enterprise Experience Forum-無庸置疑的企業行動化使命
‧	2013 BrainShare Technology Forum Asia Pacific Tour
‧	2013 Java Developer Day
	更多研討會

▼ ADVERTISEMENT ▼

▲ ADVERTISEMENT ▲