加入會員送100元折價券、補齊資料免運費,這些常見的網購平台的促銷手段,無非鼓勵消費者多提供個人資料,作為後續的大數據分析和精準行銷之用。但業者有沒有能力和資源,妥善保管消費者資料?從165的每週統計表和解除分期付款詐騙金額都可看出答案。至於這些個資流出後,用途是什麼、透過哪些管道轉手販賣?你我的個資在他們眼中值多少錢?奧義智慧科技創辦人叢培侃解密,這些資料是在黑色產業鏈或稱黑市、暗網(Underground Econemy)中活躍。

我是廣告 請繼續往下閱讀
叢培侃說明,這個產業鏈中也有明確的接單人、經銷商、代理商等明確分工,駭客如果沒有接到委託任務,也會主動竊取資料販售給犯罪集團。以個資犯罪為例,詐騙集團取得消費者個資後,再交給第一線打電話的電話詐騙人員,而暗網上公開販售的資料都是經詐騙集團利用完畢的個資。

▲奧義智慧科技創辦人叢培侃說明個資在黑色產業鏈活躍
▲奧義智慧科技創辦人叢培侃說明個資在黑色產業鏈活躍。陳建彰攝
叢培侃以去年爆出暗網上販售的疑似台灣2300萬人戶政資料外洩事件為例說明,由於其資料老舊、同時也不具有獨特性,所以總價值約5千元到6千美元,折合新台幣約15萬到18萬元不等。如果資料如同賣家聲稱的內容,等於你我的姓名、地址、身分證字號加上家庭組成的個資還不到1毛錢。

但特定系統的帳號密碼價值就高出許多,像是個人電子錢包或支付平台的帳號密碼,就可能有8到10美元的價值。警政署刑事局研發科代理科長莊明雄提醒,越詳細、越完整的個資價值越高。他指出,人力銀行的資料恐怕一個人就價值台幣上萬元,包括學歷、工作經歷、家庭狀況等個資,或公務人員資料還可能販售給敵國作為情報或進行身份竊盜。「如果我有照片、身分證字號、戶籍地址、配偶,我能不能做一張身分證出來?或申請電話門號?」莊明雄憂心忡忡。

▲暗網上多筆販售台灣民眾個資(奧義提供)
▲暗網上多筆販售台灣民眾個資。(奧義提供)
「這是我常講的數位紋身,因為身分證字號一輩子不會改,外流就外流了。」同時具有資安和法律專業的政大法律系兼任助理教授萬幼筠無奈的點出,個資外流不可逆的問題,加上台灣人從出生到死亡幾乎都是「一碼到底」,有心人士可透過身分證字號,拼湊出個人的生活圖像後加以利用。

個資法裁罰金額低 團體訴訟門檻高

雖然個資依不同內容在暗網上有不同價碼,但回到《個人資料保護法》中個別被害者能請求賠償的金額,僅有500元以上,2萬元以下。如為團體訴訟,最高求償總額則為2億元,兩者金額差距萬倍。

曾引《個資法》向網路書店平台讀冊生活求償2萬元的A先生雖然勝訴,但他不滿業者處理個資外洩的態度,消極、推卸,只會撇清責任,讓人憤怒,加上這不是讀冊第一次被法院認證個資外洩,顯示業者根本罰不怕。A先生認為,讀冊生活資本額登記1.22億元,《個資法》的2萬元上限金額,對業者根本不痛不癢,只有龐大賠償金能逼業者改善資安問題。

台灣《個資法》行政裁罰依不同情況分為:根據第47條,處5萬元以上50萬元以下罰鍰並令限期改正,屆期未改正者,按次處罰之。或是根據地48條,先限期改正,屆期未改正者,按次處2萬元以上20萬元以下罰鍰。

以電商常見的狀況通常是未符合第2項,也就是如未依《個資法》第27條第1項採行適當安全措施,以防止個人資料被竊取、竄改、毀損、滅失或洩漏之情形,不過限期改善期間主管機關不得裁罰。

萬幼筠表示,台灣法律沒有懲罰性賠償的概念,所以對業者來說罰款反而是面子問題,但不會有改善資安的壓力。以歐盟的GDPR(一般資料保護規定)為例,GDPR被形容是史上最嚴《個資法》,因為加重企業控管及處理資料的責任,所以祭出的罰金往往令人咋舌。今年就一口氣對META開出高達4億美元的罰單。歐盟的GDPR裁罰金額最高為2000萬歐元(約6.53億台幣),或該企業前一會計年度全球年營業額4%。

萬幼筠認為,比起齊頭式平等更應該在意立足點平等,以營業額考量裁罰比例,也就是考量到不同規模的企業違法造成的影響也不同,因此同一犯行罰款也不該一樣。

比較國內外《個資法》內容,台灣不僅罰的金額偏低,主管機關也傾向以輔導替代處罰,除了顯示我國對個資的態度外,更可能業者輕忽保護消費者個資的責任。

《個資法》團體訴訟門檻高 消基會不再代表受害者提告

雖然《個資法》中團體訴訟的求償金額最高2億元,但實務上光是要引用《個資法》提起團體訴訟,就有兩道門檻,目前判決更沒有勝訴先例。《個資法》規定,團訟的代表除了須為財團法人或社團法人外,還要求該單位要符合一定規模以上和成立時間,另外規定「保護個資事項」要列在該組織章程內。

2018年消基會發起全國首件,目前也是全國唯一一件的《個資法》團體訴訟,當時消基會以《個資法》、《消費者保護法》和《民法》代25名受害者向雄獅旅行社求償450萬元,不過最終以一審敗訴、上訴後二審和解收場。

訴訟判決書中提出本案是第三人惡意入侵,加上事發後雄獅立即採取報警和告知消費者等防護措施,另外消基會無法就「雄獅未妥善管理個資」和「消費者受騙跟個資外洩關係」舉證,因此一審判雄獅免賠。

當時參與訴訟的消基會副董事長徐則鈺對此忿忿不平,直說《個資法》該修之外,消基會也不打算再提起《個資法》的團體訴訟。徐則鈺認為,實務上外部人士難以取得業者的內部資訊,也難以證明消費者接到電話詐騙跟業者個資外洩的因果關係,但《個資法》對團體訴訟沒有減免舉證責任,又對團體訴訟的代表單位設下高門檻,等於讓《個資法》的團體訴訟看得到,吃不到。

消基會也認為修法提高被害者的可求償金額,就會有更多受害者站出來提告,同樣可以對業者達到警告和改善資安壓力。讀冊受害者A先生感嘆,如果想改善個資外洩的現況,就要有更多消費者勇於提告。他強調,「正義從來不是廉價的」,如果消費者心態不改變,違反《個資法》的問題還是會層出不窮。