資安議題浮上檯面,駭客為何專挑求職網下手?近期104人力銀行遭駭客入侵一事引發熱烈討論,事實上,過去幾年間另一家求職網1111也曾遭駭客攻擊。求職網站有大量珍貴的個資,如今發現資安漏洞,求職者將面臨哪些風險?
104人力銀行遭駭客入侵的消息,高達592萬筆個資盜走,並放在暗網上交易,以500或1000美元(約1.45萬~2.9萬台幣)出售牟利。104人力銀行發表聲明證實遭駭,並指出駭客公開的35筆資料都是2013年的舊資料,目前已主動向調查局報案。無獨有偶,另一家人力銀行1111也被PTT網友爆料335萬筆求職者資料放在暗網求售,而稍早1111官方發聲明給會員,強調是9年前的舊案,目前都已全面提升資安的維護,為保障企業及會員權益,已向保險公司投保第三人責任險,1111董事會也撥出新台幣2億元成立賠償基金,確保會員權益。
104遭駭,全台約過半求職者遭殃104被盜取的資料包括求職者的身份證號、出生年月日、電子郵箱、手機號碼、家庭住址等敏感個資,依據行政院主計處我國就業人口統計1,150萬7千人計算,等於有近過半的求職者個資遭外泄。104人力銀行坦言是昨日一早看了媒體報導才知被駭,事後經初步了解,外泄的資料為2013年舊資料,並表示會持續強化資安建設,保護使用者個資安全,但官方初步僅提供客服專線,來解決求職者的個資疑慮。像104這樣的大型求職網,會員個資
保護看似面面俱到,卻也逃不過駭客攻擊。1111人力銀行則傳出會員個資被放在中國暗網交易論壇販售,包括身份證字號、姓名、性別、身高、體重、電話、手機、郵箱、住址、畢業學校、專業、個人簡歷,強調薪料相當詳細、非常新,且一件售價達1000美元。不過這並非1111首次遇駭,去年也爆出20萬筆使用者資料放在國外網站「突襲論壇」(RaidForums)兜售,再再顯示求職網站資安破了大洞。專家也提醒,接下來詐騙集團可能會利用外泄的個資,以電郵、電話或社群媒體的方式進行詐騙,提醒民眾近來要提高警覺;另外,使用者在非求職期間,可考慮要求人力銀行業者將求職個資依法刪除,降低自身個資被泄漏的風險。
台灣資安史上最嚴重事件,媒體報導及政府民眾關注度極低。人力銀行處理方式更令人失望,以資料是老的或案子是舊的來回復,以強化資安建設、投保責任險、設立賠償基金來應付社會質問。這樣不痛不癢處理及回復,是極不負責、不嚴謹。
從個人權利而言,一個人存在價值或尊嚴有關之權利,稱之為人格權,是不可拋棄、不可移轉、不可侵害的。人格權包括生命權、身體權、健康權、名譽權、自由權、信用權、隱私權、貞操權、姓名權等。個資的泄露,就是對人格權的侵犯。
台灣立法《個人資料保護法》從2012年10月實施,規範個人資料之搜集、處理及利用,以避免人格權受侵害。雖然此保護法訂有處罰條款,但比起國際資訊保護法顯然不足,特別是對保管個人資料的企業的處罰。例如歐盟2018年實施的《一般資料保護規範》法令,對於泄漏個資的企業,依照觸犯程度,可以處罰該企業全球年收入的2%,或甚至4%於重大案例。
此次台灣求職人六百萬個資被駭盜外泄,可能包括你我個人資料,政府及人力銀行公司至今的處置方式,我們能不在乎嗎?
更有甚者,今年五月底美國資安公司還揭露台灣內政部戶政司網站被駭,兩千萬台灣民眾個人資料外泄在暗網兜售,包含民眾人名、身份證字號、出生年日、住址、性別等。這不就是台灣所有民眾資料,都被泄露了嗎?政府第一時間卻以資料老舊來源不一來回應。
求職人,民眾,我們人格權被侵犯了,不能再不聞不問、無動於衷了!
(作者為台灣東吳大學商學院兼任教授)
