業主面臨外包廠商出包導致資安事件,不是兩手一攤,把責任推給外包商就可善了,民眾與消費者還是會把矛頭指向業主,若引發輿論攻擊甚至串聯拒買活動,將損及業主形象與業務發展,此外,業主對外還是可能負擔法律責任,包括民事、刑事及行政等責任。
政府機構與民間企業為推行各種服務而將資訊系統委外設計採購者,所在多有。但如果發生資安事件而出包,即使將工作外包給廠商,民眾與消費者還是會把矛頭指向業主,因此業主必須確實控管外包商。特別是資安事件如涉及個資外洩,更會衍生相關法律責任,不可不慎。
pay.taipei案的啟示
台北市政府與行動支付業者合作推出智慧支付平台「pay.taipei」於今年(2017)6月甫亮相不久,就被網友發現因用戶個資是明碼而有資安疑慮。北市府資訊局調查後對外說明:經查本件係App背景資料未採用較安全的方式傳輸,已做應變處理完畢;「pay.taipei」係作為支付業者及各機關的服務中介,本身並不處理金流,使用者所輸入的資料僅用於身分確認,此平台亦不會儲存會員的個資;廠商的設計未能依招標規範規定採用安全的傳輸方式,而資訊局在系統上線時,也未能及早發現其疏失,資訊局會深自檢討,除了重新修訂、強化相關SOP外,並嚴格要求廠商全面檢視程式的安全性,讓民眾能夠使用得更安心。北市府處理資安問題的態度值得肯定,因其於問題發現後儘速應變處理,且釐清事實化解外界疑慮,另自我檢討及追究責任歸屬,可作為民間企業處理資安事件的範例。
像這類將資訊系統外包處理卻出包的案件,屢見不鮮。出包的原因很多,可能是設計錯誤、人員疏失,也有可能是遭駭客入侵、內鬼亂搞,必須具有風險意識並確實控管,否則後果不堪設想。
工作外包不代表責任外包
業主面臨外包廠商出包導致資安事件,不是兩手一攤,把責任推給外包商就可善了,民眾與消費者還是會把矛頭指向業主,若引發輿論攻擊甚至串聯拒買活動,將損及業主形象與業務發展,此外,業主對外還是可能負擔法律責任,包括民事、刑事及行政等責任。
以民事責任而論,如業主與客戶訂有契約而負有履行債務之責(提供商品或服務),即使業主委託外包商處理,該外包商仍會被認為是業主的使用人,如其關於業主對客戶之債務履行有故意或過失時,業主應與自己之故意或過失負同一責任(參見民法第224條規定)。縱使業主與第三人未訂有契約但發生侵權行為,如業者對於外包商之定作或指示有過失者,業者仍應與外包商對受害人連帶負責(參見民法第189條規定)。此外,受害人也能主張業主與外包商有行為分擔,且對於損害發生均有因管關係,而要求了兩者負共同侵權行為之損害賠償責任(參見民法第185條)。
由上可知,業主即使將資訊系統委外設計採購,但不代表就可以將責任也外包出去而完全切割。因此業主仍須對外包商確實監督管理,至少應透過契約條款約束外包商,如約定產品或服務應符合一定安全品質;要求外包商應負瑕疵擔保責任;如發現瑕疵,應立即修繕或更新;如違約造成業主損害,須負擔賠償責任;產品或服務應經嚴謹之測試檢查以完成驗收;外包商及其員工均應遵守保密及個資法等相關規定。
對於外包商而言,要減少危安事件及事後遭業主咎責,亦有必要與業主協商合理之安全品質基準,作為驗收標準以及判斷相關責任歸屬的依據,另外對於無法控制之天災、事變或恐攻,亦應據理力爭作為免責事由,並限制最高賠償金額,以控制風險。對於各種資安風險,業主與外包商均有必要考量是否需另外投保資安險,以合理分散風險。
個資委外處理應注意事項
除了資訊系統外包之外,業主可能會將個資事務委外處理,仍須注意個資法相關規定。
就業主而言:委託他人蒐集、處理或利用個資時,委託機關應對受託者為適當之監督,至少應包含下列事項:1.預定蒐集、處理或利用個資之範圍、類別、特定目的及其期間。2.受託者就個資安全維護採取之措施。3.有複委託者,其約定之受託者。4.受託者或其受僱人違反個資法、其他個資保護法律或其法規命令時,應向委託機關通知之事項及採行之補救措施。5.委託機關如對受託者有保留指示者,其保留指示之事項。6.委託關係終止或解除時,個資載體之返還,及受託者履行委託契約以儲存方式而持有之個人資料之刪除。就上開監督,委託機關應定期確認受託者執行之狀況,並將確認結果記錄之(參見個資法施行細則第7條規定)。
就外包商而言:受公務機關或非公務機關委託蒐集、處理或利用個資者,視同委託機關(參見個資法第4條規定)。受委託蒐集、處理或利用個資之法人、團體或自然人,依委託機關應適用之規定為之(參見個資法施行細則第7條規定)。受託者僅得於委託機關指示之範圍內,蒐集、處理或利用個資。受託者認委託機關之指示有違反個資法、其他個資保護法律或其法規命令者,應立即通知委託機關(參見個資法施行細則第8條規定)。因此,外包商不能以為自己只是為人作嫁的代工者而輕乎個資保護之責,仍須與委託業主負擔相同之責任。
協力廠商也要配合保護個資
業主特別是電子商務業者,也有可能將用戶個資提供給協力廠商(如負責處理金流、物流、資訊流的業者)以利相關商或服務之提供。由於將用戶個資提供給協力廠商的行為也會被認為是個資的處理或利用,因此業主須依個資法相關規定向用戶當事人告知並取得同意。此外,為避免協力廠商違法使用用戶個資,業者亦有必要與協力廠商特別約定其亦應承擔與業主同等級之保護用戶個資的責任,並採取適當之安全維護措施,始能更全面地落實個資隱私保護政策。
總之,政府機構或民間企業的業主對於資安維護,不論是自己來還是外包給別人,都應該謹慎控管,切勿存有將工作外包就可把責任外包的鴕鳥心態。否則一旦發生資安出包事件,面臨社會輿論及法律責任的巨浪侵襲,可是會動搖業主形象與業務發展,不可不慎。
<本文作者:陳佑寰,目前為執業律師。國立台灣大學法學碩士,美國賓夕法尼亞大學法學碩士。專攻領域為智慧財產權法、高科技產業議題及資訊法等。>