電商被駭個資外洩,數位部認證資安到位,法院竟判賠?
新聞報導,消費者110年10月到11月間在北投麗禧溫泉酒店(「麗禧酒店」)的官方網站購入溫泉券,卻於110年12月間接到詐騙電話,並因此遭詐損失近10萬元。消費者因此對麗禧酒店,及負責建置與維運麗禧酒店官網的廠商墨攻網路科技股份有限公司(「墨攻公司」)起訴。這個案子的攻防核心在業者的資安防護工作是否到位,法院少見的在主管機關(經濟部、數位部)都認為業者防護到位時,不採納行政機關的意見,判決業者要負賠償責任。
消費者如何主張
消費者主張,既然她的個資外洩,就表示業者沒有遵循個資法第27條「採行適當安全維護措施」保護個人資料的義務,在個資外洩後也沒有依照個資法第12條的規定履行通知義務,導致消費者因為不知個資外洩而遭到詐騙,因此請求麗禧酒店及墨攻公司賠償他被詐欺的損害、精神慰撫金,以及請求麗禧酒店刪除她的個人資料。
業者如何答辯
被告答辯認為,消費者無法證明詐欺集團的個資來源是麗禧酒店,且麗禧酒店有盡力提升硬體設備、更新資訊系統、強化防火牆、將消費者個資加密處理,因此已經履行了法律義務,而且麗禧酒店的官網已經提醒消費者慎防詐騙,且麗禧酒店已經委請專業的票券業者墨攻公司管理客戶資料,已經盡了選任監督的責任。
一審如何認定
對於麗禧酒店要不要負賠償責任,第一審的法官討論了幾個問題:
- 個資是從麗禧酒店外洩的嗎?
- 如果是從麗禧酒店外洩,被告有違反個資法嗎?
就第一個問題,法院以證人曾聽聞來電的詐欺集團成員自稱為麗禧酒店員工,以及麗禧酒店曾通報觀光局,在事件發生的當時系統遭入侵且有洩露5,423筆個資的記錄,因此認為個資是從麗禧酒店外洩。
就第二個問題,法院首先認為,依照個資法第29條第1項但書的「舉證責任倒置」規定,應該要由業者來證明自己對於個資外洩沒有故意過失,且對消費者履行告知義務。
就此,業者說明自己在事件發生前以Fortify(一個做檢測工具軟體的品牌)的軟體進行全系統弱點掃描,各項檢驗結果均無問題、有取得敏感資料數位簽章認證,在發現異常IP入侵後也曾進行滲透測試,只有在主機服務掃描時,發現一項1項中風險弱點,至於網站服務滲透則無發現異常,因此自認為已經盡力防堵外力入侵系統。
此外,法院另外也函詢麗禧酒店的中央目的事業主管機關交通部觀光局,觀光局認為,雖然發生外洩事故,但是業者並沒有違反個資法。同時,數位發展部數位產業署函復法院表示,網站維運業者有採取資安措施、有訂定相關個資及資安文件、有通知消費者個資外洩及宣導資安觀念,事後也有採取改善措施等。
基於前述原因,一審法院認定業者已經盡力防止事故發生,有做好個資保護工作,即使仍然不幸遭到駭客入侵,也不能認為業者有違反個資法。
二審為何改判
二審法院在原審的證據事實基礎上,做了幾個與一審不同的認定,所以判決麗禧酒店和墨攻公司應該「各自」賠償消費者2萬元:
- 墨攻公司的測試帳號模擬登入、加密機制、防火牆IP限制等等資料都只有片段截圖且資料有部分遮隱,法院認為沒辦法辨識真的是資料安全維護措施;
- 墨攻公司的資安政策、個資管理政策都只是抽象規範,不是具體保護措施。
- 滲透報告、針對XSS攻擊的改善方式則是駭客入侵以後的文件,不能證明墨攻公司事前作了什麼。
因此,二審法院認為墨攻公司所提供的資料無法證明他們對維護個人資料安全有做了合理的安全維護措施。
對於數位部與觀光局的函復意見,法院僅相當簡單的交代「(數發部或觀光局)之調查程序與訴訟事件程序不同,且其認定並無拘束本院之效力」,並沒有特別說明為何拒絕採納這兩個部會調查意見的理由(但這本來就是法院的權力)。
一、二審的結果為何南轅北轍
我們只看判決不清楚究竟二審法官是從哪一個關鍵證據,而做出與一審不一樣的判斷,不過我們可以看得出來下列脈絡:
- 委外主機的安全,不表示電商網站安全
一審判決中,墨攻公司提出自己在案發前就以Fortify工具對主機做了各種的弱點掃描工作,但是對於資訊安全有認識的人都知道,無論墨攻的主機防護如何周延,一旦麗禧酒店的網站被攻破,駭客就可以透過麗禧酒店的網站大搖大擺長驅直入墨攻的主機以合法授權的程序撈取資料。舉例而言,墨攻公司給麗禧酒店一個堅固的箱子當保險箱,但是保險箱要不要上鎖、鑰匙放在哪、誰可以拿鑰匙,都由麗禧酒店決定;然後今天保險箱東西被拿走了,墨攻公司拿了一大堆資料證明他們的箱子很堅固,鐵鎚都敲不破,但是這樣就能證明麗禧酒店和墨攻公司都善盡防護義務嗎?恐怕不見得。 - 業者舉證的防護措施與駭客的攻擊手法無關
從二審判決可以看到,本案駭客採取的是SQL Injection攻擊模式,此類攻擊的原理為具有程式碼功能的字串(例如在登入頁面,本應輸入帳號的欄位填入「’or ‘a’=’a」這串文字),在合法且正常的介面欄位進行輸入、依正常網頁服務被伺服器接收、且在本機端依照正常的網站程序處理該指令,使駭客依合法程序取得資料庫資料。數位部雖然認定墨攻公司資安防護到位,不過如果細看數位部臚列的墨攻公司各項努力,似乎都與本案的SQL Injection攻擊手法無關:- Clamav和ESET是防毒軟體,功能是掃瞄本機有沒有惡意檔案,不是防護駭客攻擊的工具;
- 主機帳密權限控管與RSA私鑰管理:這是使用者帳密管理的方法,但判決中並沒有提到攻擊者是透過任何人帳號密碼登入麗禧酒店的網站;
- 強制廠商綁定IP登入墨攻公司並針對廠商帳號加密管理:這是麗禧酒店要維護網站時登入介面管理,但從判決看來,麗禧酒店更可能是是外部服務介面被攻破,相當於前門被攻破、墨攻公司舉證對側門有嚴格管理;
- 伺服器資料管理:這是資料備份,與資安無關;
- 主機帳密權限控管:從判決看來,本案受害範圍是網站及提供網站資料的資料庫,並沒有「主機」受害;
- 防火牆規則:如果把網際網路比喻為現實世界的的交通網路,防火牆就像是交通管制,限制誰可以進來、誰不能進來,但是,SQL Injection攻擊的手法,其實只是輸入了錯誤長得像是「’or 1=1–」這種亂碼的帳號密碼而已,偏偏這串亂碼對系統來說代表「芝麻開門」。所以對防火牆來說,SQL Injection 就是一個再正常不過的登入行為,自然沒辦法阻止駭客的入侵;
- 伺服器有安裝EDR端點偵測:EDR軟體是當電腦試圖執行具有異常特徵的程序或檔案,例如具有病毒特徵碼的檔案,或是不正常的高權限程序呼叫行為時,可能被EDR這類的警示工具偵測;但既然110年11月間受到的攻擊為SQL Injection,亦即攻擊的操作都在合法且正常的介面欄位進行,對EDR來說,整個過程並無異常行為,因此EDR不是針對本次駭客攻擊手法的防護措施。
- 一審判決中提到,墨攻公司在事發後請精誠科技進行滲透測試服務,滲透測試確實可能是針對麗禧酒店網站防護能力的檢測,但是判決同一段提到主機掃描發現弱點,結論卻是「網站服務」滲透並無異常,所以究竟這個滲透測試究竟測試對象為何(文字看來應該是麗禧酒店的網站)、怎麼操作、測試哪些項目,從判決中都沒有辦法判斷。
結論
本案相當有趣,中央目的事業主管機關與數位部各自都認為業者履行了安全維護義務,法院卻難得(但並不罕見)的在這種涉及特殊專業的領域自為判斷,或許理由是法院如前所述,認為業者的舉證都與SQL Injection無關,又或許是基於其他理由,認為業者提出的資料無法說服法院。
無論二審改判的原因為何,都值得業者提高警覺。即使網站託管給專業的廠商,並不表示就已經完足個資法要求的安全維護義務;即使有採行「特定」的資訊安全措施,也不表示就滿足了個資法的安全維護義務。並且,在事故發生的時候,電商業者與維運的技術廠商,各自都被認定為反個資法、需要對消費者負責。對業者來說比較值得鬆一口氣的是,法院認為消費者被詐騙仍然要由消費者自行負責,業者只需要對個資外洩負賠償責任。
或許從這個判決看來,法院對業者的資訊安全義務要求提高,但是在詐騙橫行的今天,既然業者透過蒐集與利用個人資料營利,法院要求業者負有更高的資安義務,應該不意外。
至於消費者起訴提到的個資法第12條通知義務,第一審判決也有值得說明的地方,我們另文討論。
