2012年5月3日 星期四

韓國個資法第一起判例 100萬韓圜開罰


韓國個資法第一起判例 100萬韓圜開罰


去年,由南韓線上業者SK Communications所維運的Nate.com入口網站、CyWorld部落格網站遭到駭客入侵,造成約三千五百萬會員的個資外洩,外洩資料包括身分證號碼、電話、地址等。儘管南韓並未引進團體訴訟的制度,不過事發後,受害者們針對此事,紛紛在網路上成立數十到數十萬人的組織,進而發展到團體訴訟。根據外電報導,其中一名Nate、CyWorld的律師會員,向SK Communications索賠「精神損失費」300萬韓圜,由於法官認定SK Communications並未能充分阻擋駭客的攻擊,存在過失,因此最後判賠100萬韓圜,約2.6萬新台幣左右。假設3,500萬名會員皆以此標準判賠,則SK Communications可能必須付出35萬億韓圜,約9千億新台幣。

不過,根據澳洲的資安公司Command Five調查報告, 卻顯示該起事件為進階持續性滲透攻擊(APT, Advanced Persistent Threat),也就是說,是相當針對性且具高難度的攻擊。不過,如何阻擋駭客攻擊才沒有過失?在法律上至今沒有一個明確的判定標準,因此SK Communications仍持保留態度,不排除繼續上訴。

雖然個資外洩的事件發生後,輿論多半認為企業應當負責,不過也有人認為,這是律師藉機炒作,煽動團體訴訟。當法律與技術問題同時發生時,很難說技術呈現的結果是否一定勝出,法官如何判定變成一個相當棘手的問題,其重要關鍵便在於證據,而且這證據,最好非常明確。

轉載自《資安人