律師：Nokia百萬個資外洩案已可提告求償，恐成個資團訟首例

臺灣Nokia行銷活動網站遭駭，Nokia承認可能遭竊了近150萬筆個資記錄。駭客也在今年2月5日時上網公布了其中的17萬筆記錄，包括姓名、電話和電子郵件等個資。臺灣Nokia於2月23日也在官網公告坦言受駭，並表示已通知可能遭外洩帳號密碼的7,000位民眾。

達文西個資暨高科技法律事務所主持律師葉奇鑫表示，這次事件是個人資料保護法上路後，最大宗的個資外洩事故，因這類事件難以評估財產損失，只要資料外洩屬實，就達到可以訴訟的條件。這次事件的個資當事人已經可以向臺灣Nokia提告求償，甚至這可能成為首宗個資法團體訴訟的案件。

依據個資法28條規定，單一事件中每人可求償金額從500～20,000元不等，以Nokia這次外洩150萬筆個資來估算，若每筆資料的受害民眾沒有重複，求償金額將達到法定單一事件最高總額2億元的上限。

雖然Nokia將遭駭行銷網站委託給網路行銷公司Agenda負責建置和維運，但依個資法規定，受委託機構視同委託機構，發生個資外洩時，仍是由Nokia負責，民眾仍是向Nokia求償。而Nokia則可另外向Agenda求償。

不能只在網站發表聲明，企業需主動通知受害當事人

臺灣Nokia官網聲明稿表示，此次遭竊的顧客個人資料多為1年以前的舊資料，但是包括了姓名、電話、電子郵件，以及相關活動所需資料，其中約有7千筆外洩個資含有密碼，為避免釀成更大災害，Nokia已用簡訊或電子郵件先通知這些個資的當事人。但葉奇鑫表示，不只這7千人，臺灣Nokia依法也需通知其餘恐遭外洩的當事人，不能只在網站上發表聲明稿。

根據個資法施行細則第22條規定，Nokia必須採取當事人能夠知道的方式來通知民眾，雖然細則也規定，若通知成本過高時可斟酌技術可行性和保護當事人隱私的原因，以網際網路、新聞媒體或其他適當公開方式為之。但是，葉奇鑫認為，除了已接到個別通知的7千人以外，其於受駭民眾無法得知，自己的個資是否屬於這次外洩事件的影響範圍內，也因次就不會主動到Nokia官網瀏覽聲明，所以，他認為，Nokia後續還須主動通知其他受駭民眾，才能符合法律要求的告知義務。

另外，駭客論壇上揭露了這次入侵Nokia是透過SQL Injection（資料隱碼）攻擊手法，曾任職資安軟體公司總經理的葉奇鑫表示，這類攻擊多因工程師所設計的程式碼安全性不足，才會產生漏洞。

這也意味著，臺灣Nokia並沒有善盡個資保管的責任，沒有採取適當的安全維護措施來確保網站安全，另外，臺灣Nokia也並未適當監督委外公司Agenda，才會發生如此嚴重的事件。因此，臺灣Nokia的中央事業目的主管機關或是臺北市政府，也應盡快派員進行行政檢查，查核臺灣Nokia個資保護制度落實的程度。

不過，負責管理這些遭駭行銷網站的Agenda公司，至截稿前仍以負責人不在為由，拒絕說明為其他企業客戶維運的網站是否也有類似遭駭風險。文⊙張景皓