2022.11
孫煜輝、楊宜蓁
國際間有關政府、企業組織之端點系統設備或資料庫遭駭客入侵事件頻傳,除了金融業為明顯之攻擊目標,製造業、餐飲業、網路零售業等行業由於持有大量之客戶個人資料,亦容易成為被鎖定攻擊之對象,資訊安全與風險管控已為當今企業必須面對之棘手課題。
此外,勒索軟體亦朝向規模化、集團化發展,入侵手法日新月異。近年常見手法係駭客入侵企業內部網路或伺服器,透過植入惡意程式,將企業重要資料予以加密,並要脅受害企業若不支付贖金,即公布公司之機密資料,近年亦常以要求支付虛擬貨幣(例如比特幣)至特定錢包之方式以躲避追查。
是否應支付贖金之兩難議題
實務上屢傳有企業選擇以支付贖金方式尋求解圍,惟若勒索軟體要求以虛擬貨幣支付贖金,由於不易追查其金錢流向,此時支付贖金將產生是否可能成為駭客集團「洗錢」幫助犯之問題。
若企業單純基於被害人身分支付贖金,由於洗錢防制法定義下之洗錢需係「掩飾或隱匿特定犯罪所得來源」[1],若無改變交易外觀等行為,應尚無構成洗錢防制法之幫助犯風險。惟因支付贖金未必能阻止加密的檔案被解密或防免資料被外洩之風險,且該金流將助長駭客組織後續之犯罪,變相增加勒索軟體攻擊企業之誘因,企業決策仍應審慎。
另亦須留意,依資恐防制法第7條之規定,任何人對於被法務部公告指定制裁名單[2]之個人、法人或團體不得為「對其金融帳戶、通貨或其他支付工具,為提款、匯款、轉帳、付款、交付或轉讓。」之行為。
企業之事後通知與通報義務
依個人資料保護法(下稱「個資法」)第12條,非公務機關如有違反個資法規定,致個人資料被竊取、洩漏、竄改或其他侵害者,應查明後以適當方式通知當事人。另同法第27條並授權各主管機關得指定非公務機關訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。
是以,當企業發生個人資料遭駭入加密等「被竊取」之事故時,即有義務通知個資受影響之當事人,甚至需於一定時限內通報目的事業主管機關,依各行業要求制定之個人資料檔案安全維護計畫,尚可能需要「採取適當應變措施,控制並降低事故對當事人之損害」與「檢討缺失並研擬預防機制」[3]。此外,如屬於主管機關指定之「關鍵基礎設施提供者」,則依資通安全管理法規定尚須另行訂定通報及應變機制。
小結
資安侵入及勒索已屬企業難以完全迴避之風險,實務上,企業遭駭時可能遭遇來自客戶面的質疑,甚至求償,卻往往不容易舉證其「系統無缺失」或「已採行適當之安全措施」。
最適因應之道,仍是盡可能於事前落實安全管理及法令遵循,充分執行資安政策,可考慮比照ISO相關資安系統認證,以盡可能預防並使損害最小化,並應將採取安全措施與檢查等相關記錄留存,以追溯執行成效。
[1] 洗錢防制法第2條:本法所稱洗錢,指下列行為:
一、意圖掩飾或隱匿特定犯罪所得來源,或使他人逃避刑事追訴,而移轉或變更特定犯罪所得。
二、掩飾或隱匿特定犯罪所得之本質、來源、去向、所在、所有權、處分權或其他權益者。
三、收受、持有或使用他人之特定犯罪所得。
[2] 法務部公告指定制裁名單參:https://www.aml-cft.moj.gov.tw/624184/624196/624197/
[3] 請參本所介紹文章「臺灣網路零售業及平台發生個資重大事故應於72小時內通報主管機關」、「內政部指定營建類等九類非公務機關訂定個資安全維護辦法─明訂重大事故72小時通報義務與加強資安措施」。
本網站上所有資料內容(「內容」)均屬理慈國際科技法律事務所所有。本所保留所有權利,除非獲得本所事前許可外,均不得以任何形式或以任何方式重製、下載、散布、發行或移轉本網站上之內容。
所有內容僅供作參考且非為特定議題或具體個案之法律或專業建議。所有內容未必為最新法律及法規之發展,本所及其編輯群不保證內容之正確性,並明示聲明不須對任何人就信賴使用本網站上全部或部分之內容,而據此所為或經許可而為或略而未為之結果負擔任何及全部之責任。撰稿作者之觀點不代表本所之立場。如有任何建議或疑義,請與本所聯繫。