電子郵件社交工程與資訊安全

大綱

• 社交工程演練與郵件基本安全概念

• 手持式裝置與雲端安全

• 教育機構因應個資法重點工作

2

社交工程演練與郵件基本安全概念

電子郵件基本安全概念

• 101年度演練時程及方式

• 基本防護工作

• 收信軟體設定

• 正確的資安觀念與危機意識

• 入口網站的保護措施

4

101年度演練時程及方式

演練時程 演練方式 備考

國家資通安全會報演練

1~12月不定期演練 寄發電子郵件

學術機構分組（教育部）演練

第1次演練:6月第2次演練:10月 寄發電子郵件

未通過且未參與教育訓練者或累計二次未通過則移請人事室納入考核

5

教育部演練方式

• 郵件主題分為政治、公務、健康養生、旅遊等類型，郵件內容包含連結網址或word附檔。

• 偽冒公務、個人或公司行號等名義發送惡意郵件給演練對象。

• 收件人開啟或點閱前述之電子郵件即會將開啟信件人員的資料自動傳回教育部。

• 信箱之預覽模式亦會產生開啟電子郵件的結果。

6

教育部測試信件摘要表(有預警)

組別 信件類別 信件標題 (熱門話題舉例)

Letter 1 政治、體育類

油電雙漲、美牛、奇怪耶你王建民、國民隊

Letter 2 休閒娛樂類自行車旅遊私房路線桐花季、螢火蟲私房景點、端午節必遊景點

Letter 3 科技新知、保健養生類

The new ipad、蘋果電腦、htc、三星減肥大公開

Letter 4 投資理財、保健養生類

證所稅、如何快速致富如何讓皮膚水嫩

Letter 5 情色、影視新聞類

瑤瑤和舒舒

7

教育部測試信件摘要表(無預警)

組別 信件類別 信件標題

Letter 1 生活類 讓你感動的動人廣告

Letter 2 投機類 如何提升統一發票一千萬中獎機率!!

Letter 3 旅遊類 【易遊網旅遊網首發團】獨家限量獨享好康超低價!!

Letter 4 旅遊類2 【易飛網旅遊網首發團】獨家限量獨享好康超低價!!

Letter 5 健康類 健康新撇步!!?你如何活的更健康

Letter 6 電腦科技類 交友網站爆高量慎防網路桃色陷阱

Letter 7 影視類 鳳飛飛病逝留給觀眾無限懷念

Letter 8 趣味類 親愛的同事!放鬆一下

Letter 9 購物類 iPhone 最新推出iphone 4s 便宜到不敢相信！！

8

電子郵件的社交工程攻擊-人性弱點

• 好奇• 利用重大新聞或流行事件

• 憐憫• 引誘使用者發揮憐憫之心

• 貪婪• 利用人們貪小便宜的心態

• 恐懼• 利用使用者對安全威脅的恐懼，慫恿不知情的使用者安裝間諜軟體。

9

其他弱點

• 信任關係• 利用對熟人的信任感，熟人寄來的信件一定不會有問題的心態，駭客假冒熟人發送訊息，誘使被害人失去警戒心而上當受騙

• 教授國外求助

• 身分偽裝• 駭客事先利用各種管道蒐集被害人的資料，再偽裝為銀行行員、警察、客服人員等身分，因其掌握被害人的基本資料，很容易取得被害人的信任而大意交出帳號、密碼等機密資料

• 速食店調查

10

非公務郵件請勿開啟!!!

11

• 郵件中的遠端圖片下載（與ActiveX）• 郵件中惡意程式附檔與連結

社交工程電子郵件的陷阱

遠端圖片下載

惡意程式附檔

惡意網頁連結

12

您可能已經明白了

不要點擊連結與隨意開啟這些附檔，

但您可能還是疑惑

為什麼開啟郵件也算違規？

開啟郵件…點擊郵件中的連結…開啟郵件中的附檔…

13

•似乎只要不開郵件附件和不點擊連結，就不會中招…

→但有些惡意程式是利用ActiveX功能來執行的

→由於您的電子郵件可能是HTML格式，而HTML可以撰寫ActiveX，所以您只要瀏覽電子郵件，就觸發ActiveX執行！

為何要求不能「開啟郵件」？

14

• 利用IE漏洞，不開啟附檔也會中毒

• 2004年3月，Beagle.O電腦病毒使用IE漏洞攻擊，使用者在Outlook / Outlook Express環境下啟用信件預覽功能，信件中的script就會啟動，連結到惡意程式網站下載病毒程式

啟用預覽視窗等同「開啟郵件」

15

預覽視窗(讀取窗格)

16

基本防護工作

• 收信軟體安全性設定

• 安裝個人防毒軟體

• 降低使用者使用權限

• 執行各種作業系統、應用軟體更新及設定

• Internet Explorer 安全性設定

• 啟用個人式防火牆

• 正確的資安觀念與危機意識

17

收信軟體設定

• 關閉預覽視窗與自動預覽功能

• 關閉自動下載圖片

• 設定不要自動回覆讀信回條

• 設定以純文字格式讀取郵件

18

關閉自動下載圖片 (1/2)

19

預覽不自動下載圖片郵件

•設定防護將不會自動由網站下載圖片等鏈結資料，以避免遭確定郵件地址存在，而收到更多垃圾信件。

20

關閉預覽視窗(讀取窗格)

21

自動預覽功能

22

將自動預覽關閉

23

設定不要自動回覆讀信回條

24

設定以純文字格式讀取郵件

25

以純文字預覽郵件

26

以web mail為例，

操作說明如下︰

27

登入本校Webmail系統

登入webmail系統後，點選右上角「選項」

28

Webmail基本防護工作

• WebMail頁面→右上角的『選項』→ 『郵件』→ 『設定』

• 『郵件窗格』設定為隱藏

• 『HTML郵件 』設定為封鎖外部內容直至要求為止

29

以Outlook Express為例，

操作說明如下︰

30

關閉自動下載圖片

31

關閉預覽視窗

32

設定不要自動回覆讀信回條

33

設定以純文字格式讀取郵件

34

實機操作

35

如何判斷惡意的電子郵件

• 分析顯示名稱與電子郵件帳號

• 分析郵件主旨與附件

• 分析電子簽章

36

分析顯示名稱與電子郵件帳號

37

分析郵件主旨與附件

38

分析郵件主旨與附件

• 不開啟任何寄件者沒有事先知會的附件

• 不開啟非公務相關的附件以及郵件

• 不開啟沒有電子簽章的郵件

• 關閉郵件預覽

39

分析電子簽章

• 分析電子簽章的真偽

– 點選紅色小圓圈的數位簽章標誌

– 有數位簽章並不保證簽章的正確性

40

分析電子簽章

• 分析電子簽章的真偽

– 檢查『數位簽署者』欄位的電子郵件是否是正確的寄件者電子郵件地址

– 點選「檢視憑證」

41

分析電子簽章

• 分析電子簽章的真偽－檢視寄件者的憑證

– 確認憑證的發行者是合法的CA公司，而不是駭客自己架構的認證伺服器。

– 確認憑證認證的主題是正確的寄件者

42

分析郵件原始檔

• 分為檔頭(Header)及內容本體(Body)

43

如何分析郵件檔頭(Header)

• 郵件標頭包含郵件遞送過程的各種資訊

• 郵件在網路上經過的所有主機、時間、標題、發信者、收件者等

• 從郵件標頭可以追蹤到發信點

• 也可判斷是否為正確寄件者所寄出的郵件。

44

如何分析郵件檔頭(Header)

• 郵件每經過一台MTA主機，就會多一行「Received:」的欄位，紀錄該MTA的主機名稱、IP、所使用mail server的版本、該主機收到郵件的日期與時間等訊息。

• 越上層的Received 欄位，代表越後來的主機所附加的。所以要追蹤一封信的路徑，要從上而下去追蹤發信者的來源位址。

• 如果發現該信件是來自中國大陸或其他國家，就是可疑的郵件。

45

信件範例

真正的寄件者

真正的發信來源IP

46

假冒信件範例

真正的寄件者真正的發信來源IP

顯示的寄件者

47

如何分辨電子郵件是否來自 Blizzard Entertainment • 查看電子郵件供應商的文件，以找出如何檢視電子郵件標

頭。來自 Blizzard Entertainment 的合法電子郵件標頭看起來是這樣：

• X-SID-PRA noreply@blizzard.com或傳回路徑：< noreply@blizzard.com >Received: from smtp01.worldofwarcraft.com ([XX.XXX.XXX.XXX]) by…Received: from … by smtp01.worldofwarcraft.com …for <Your Email Address>; Tue, 29 Jan 2008 10:46:05 GMTFrom: noreply@blizzard.comTo: 您的電子郵件地址

48

使用者在使用電子郵件時應有的習慣

•與公務無關者，建議應立即刪除不要開啟郵件

• 收信

• 檢查寄件者的真偽

• 不輕易開啟郵件中的超連結以及附件

• 開啟超連結或檔案前，確認軟體有最新的修補

• 轉信或寄信

• 未經查證之訊息，不要轉寄

• 轉寄郵件前先將他人郵件地址刪除

• 寄送群體收件者，應將收件者列在密件副本49

其他安全設定

50

個人式防火牆(範例)

• 一般防火牆阻擋規則

51

個人式防火牆

• Baseline掃瞄

52

個人式防火牆

• 未知應用程式啟動告警

53

個人式防火牆

• 應用程式連線告警

54

基本防護工作

• 關閉Autorun防範隨身碟病毒（Vista）

55

基本防護工作

• [開始]->[執行] 輸入 gpedit.msc• 點選[電腦設定]->[系統管理範本]-> [系統]->[關閉自動播放]-> [設定]點選[已啟用]及 [停用自動撥放在所有磁碟機]

56

降低使用者使用權限

•瀏覽器防護設定

57

降低使用者使用權限

•瀏覽器防護設定

58

機密資料防護

•不論使用哪一種防衛機制，駭客總能找到一條入侵路徑。

•有效防護措施

•實體隔離

•資料加密

59

密碼破解之統計數據

60

密碼設定小秘訣

• 英數字混合

• 在輸入數字時按下shift鍵• 1 2 3 4 5 6 7 8 9 0• ! @ # $ % ^ & * ( )

• 心裡背密碼：chris0930• 實際上密碼：chris)(#)

61

正確的資安觀念與危機意識

• 預防詐騙手法，提高警覺加強危機意識

• 不隨意點選郵件鏈結或開啟附件

• 不隨意下載軟體(尤其利用P2P檔案分享軟體)

• 定期做系統更新與資料備份

62

結論

• 收取電子郵件時應有的習慣

• 檢查信件真偽，確認信件內容真實度

• 不輕易開啟郵件中的超連結及附件

• 開啟超連結或檔案前，確認對應軟體（如IE、Office）都保持在最新的修補狀態。

• 平時作為

• 做好基本防護

• 養成正確資安觀念

63

電算中心提醒事項 近日本校發生數起”網頁帳號”及”電子郵件帳號”之密碼因過於簡單致遭駭客暴力破解，並於破解後於網頁中植入惡意程式、利用電子郵件發送廣告信件等情形，請同仁提高警覺。

配合經濟部發布「網路服務提供者民事免責事由實施辦法」及校園網路保護智慧財產權，本中心已建立校內各單位建制之伺服器資訊，若各單位伺服器資訊有異動時，請主動通知本中心。

64

入口網站的保護措施

• 收發郵件時，於未收到郵件內容前的防護措施

• 針對單一IP來源或單一帳號

• 建立太多送信連線

• 在一段時間內發送超過一定數量郵件

• 在一段時間內發送超過一定容量郵件

• 錯誤寄/收件人次數限制

• 灰名單機制Greylist

65

灰名單機制Greylist

• 延遲收信功能，以過濾發信程式• 經常往來的郵件帳號不會被延遲

• 當對方郵件伺服器宣告完畢寄件者與收件者，尚未傳輸信件內容時，我方伺服器立即發出451的暫時停止，要求對方稍後再retry

• 大量發信程式並不管是否未完成

• 符合RFC標準的郵件伺服器將會在一定時間內重新傳輸成功

66

灰名單Greylist示意圖

451 SMTP Temp fail

Retry

550 Accepted

系統紀錄{IP, FROM, TO} 一組三個資料直到過期為止(預設30天)

寄件者郵件伺服器

收件者郵件伺服器

67

SMTP 標準連線過程

SMTP 25 port, 使用Telnet xxx.xxx.xxx 25

郵件伺服器回應:220 systemname ESMTP Mirapoint 3.5.7-GR; Fri Jan 21 2005 12:15:10 -0700 PDT輸入:HELO mail.domain.com

郵件伺服器回應:250 systemname Hello pc.domain.com [192.168.0.200], pleased to meet you

輸入:MAIL FROM:<user@domain.com>

IP檢查, DNS反向檢查

若有問題:550 This domain is blacklisted, contact your postmaster

黑白名單, RBL list, SMTP 授權, Sender Check

沒有問題, 郵件伺服器回應:250 Sender OK

68

SMTP 標準連線輸入:RCPT TO:<user@localdomain.com>

不合法的收件者回應:550 Bad local user若為Open relay則回應:550 Relaying deniedMailHurdle回應:451 user@localdomain.com .. Requested action not taken: mailbox unavailable

檢查合法收件者, 確認不是open relay, Greylist(Mailhurdle)啟動

沒有問題就回應:250 Recipient OK輸入:DATA

輸入郵件內容:From:<user@domain.com> Joe UserTo: <user@localdomain.com> Susan UserSubject: Hello

Hello.

郵件伺服器回應:354 Enter message, followed by a “.”

郵件伺服器回應:250 Message accepted for delivery

輸入:QUIT

69

一般未保護的mail server

70

手持裝置與雲端安全

手持裝置與雲端安全

• 何謂雲端運算

• 駭客攻擊雲端手法

• Gmail Commnader• 私人手持裝置成為行動安全的管理困境

• 手持裝置的安全防護

• 惡意程式新手法

• 手機防護:Android• 手機防護:iPhone• 結論

72

何謂雲端運算

• Wiki對雲端服務的說明：

• http://zh.wikipedia.org/wiki/雲端運算

• 通常提供通用的透過browser存取的線上商業應用，軟體和資料可儲存在資料中心

• 雲端運算歸類為幾個層次的服務

• 提供基礎設施

• 提供平台服務

• 提供軟體服務

73

Cloud Computing

74

駭客攻擊雲端手法

• 攻擊雲端本身• DDOS、攻擊設備、退信攻擊、Web攻擊

• 攻擊雲端週邊• DNS欺騙、憑證偽冒、中間人攻擊

• 攻擊使用者與雲端之間的連線• DDOS、中間人攻擊

• 攻擊雲端使用者• 社交工程、竊取帳號/密碼

• 建立駭客雲利用合法管道攻擊• 以合法掩護非法

75

駭客攻擊手法 攻擊雲本身:DDOS、攻擊設備、退信攻擊、Web攻擊

攻擊雲週邊DNS欺騙、憑證偽冒、中間人攻擊

攻擊連線DDOS、中間人攻擊(Man-in-middle)

攻擊雲端使用者:

社交工程、竊取帳號/密碼

76

駭客雲

77

釣魚網站

http://yahoo.s3.lognic.cn/bak/

78

美國銀行網站與假冒的釣魚網站

79

冒名假網站FacebookAlexa 排名 網域名稱 Alexa 排名 網域名稱

506,776 facebokk.com 71,235 faceboook.com 593,228 faceboock.com 119,533 faebook.com 622,926 facenook.com 127,677 facebbok.com 743,397 facevook.com 152,878 fcebook.com 781,616 fackbook.com 158,169 facebookc.om 865,786 faqcebook.com 161,693 facebopok.com 875,824 fracebook.com 166,280 faceook.com 929,487 facebookk.com 246,921 facebbook.com 454,804 faceboobk.com 247,789 acebook.com 456,258 faccebook.com 314,305 faceebook.com 459,442 facrbook.com 362,492 facebool.com 485,193 gfacebook.com 374,528 facebookk.co 403,964 favebook.com

80

81

82

83

84

私人手持裝置成為行動安全的管理困境

• IT部門主管最傷腦筋的一件事就是

－使用於單位內的手機都是私人的• 無法進行安全控管

85

手持裝置的安全防護

• 當使用者逐漸使用iPhone、Android等智慧手機及平板電腦，單位內的安全防護網將會面臨有別於傳統的新風險，手機進入單位的3G網路，可輕易跳過內網管制防線

• 不只要防範鎖定手機伺機入侵的木馬和惡意程式，也須預防遺失手機導致密碼外洩

86

手機封包監聽

• Sniffer: 網路封包監聽工具

87

取得email密碼後….

• Facebook• Hotmail• Skype• Gmail• …….

88

精密木馬應用程式

• Falling Down• Super Guitar Solo • Super History Eraser • Photo Editor • Super Ringtone Maker • Super Sex Positions • Hot Sexy Videos • Chess • Hilton Sex Sound • Screaming Sexy Japanese Girls • Falling Ball Dodge • Scientific Calculator • Dice Roller • Advanced Currency Converter • App Uninstaller • Funny Paint • Spider Man • Bowling Time • Advanced Barcode Scanner • Supre Bluetooth Transfer • Task Killer Pro • Music Box

• 下坠滚球_Falldown • 躲避弹球• 几何战机_PewPew• 蜘蛛侠• 致命绝色美腿• 墨水坦克Panzer Panic • 裸奔先生Mr. Runner • 软件强力卸载• 掷骰子• 多彩绘画• 大家来找茬• 桌上曲棍球• 投篮高手

• Magic Strobe Light • Advanced App to SD • Super Stopwatch & Timer • Advanced Compass Leveler • Best password safe • Finger Race • Piano • Bubble Shoot • Advanced Sound Manager • Magic Hypnotic Spiral • Funny Face • Color Blindness Test • Tie a Tie • Quick Notes • Basketball Shot Now • Quick Delete Contacts • Omok Five in a Row • Super Sexy Ringtones • Sexy Girls: Japanese • Sexy Legs • Advanced File Manager • Magic Strobe Light

資料來源 http://blog.aegislab.com/index.php?op=Default&blogId=2&&page=4

DroidDream已知被感染應用程式如下：

89

Android手機有後門？

• AegisLab 發現最近有 hacker 在 pastebin 公布中國大陸中興通訊(ZTE)銷往美國的 Android 手機 Score M驚傳有後門存在，只要輸入簡單的密碼就可以開啟後門取得 root 權限，當然如果在搭配其他的惡意軟體就可以輕鬆的進行控遠端控制。

90

惡意程式入侵手法

• 用假的網站(看起來極像)• 使用者瀏覽假的 Google Play 網站，並下載假的 Google Play app。

• 安裝執行後一段時間通知使用者有重大更新，當使用者點選後會導到假的下載頁面

• 直接下載木馬或惡意程式

• 要求特殊權限android.permission.WRITE_EXTERNAL_STORAGE android.permission.INTERNET android.permission.READ_PHONE_STATE android.permission.SEND_SMS

91

惡意程式入侵手法

• 由於使用者已知惡意程式夾在APP中，故下載時會有所考量或防範

• 部份聰明的惡意程式在第一次下載時正常使用且不含任何病毒

• 等第一次APP更新再下載並要求相關軟體權限，進而控制手機

92

手機防護Android

•不安裝來路不明的小遊戲或軟體

• 移除不需要或不常用的小遊戲或軟體

• 使用https, pop3s等加密連線

• 安裝防護程式

• Android Market Security Tool

93

手機防護iPhone

•不安裝來路不明的小遊戲或軟體

• 移除不需要或不常用的小遊戲或軟體

• 安裝防護程式

• 使用原裝不要越獄或破解

• OuickTime更新• http://www.apple.com/tw/itunes/

• Apple安全性更新• http://support.apple.com/kb/HT1222?viewlocale=zh_T

W&locale=zh_TW

94

結論

• 手機是打電話用的，不是玩遊戲的

• 不要下載來歷不明的APP• 使用加密連線

• 中毒的APP程式移除即可，目前尚未發現橫向感染

• 安裝防護軟體

95

教育機構因應個資法重點工作

教育機構因應個資法重點工作

• 新版個資法精神

• 什麼是個人資料

• 特種個資【蒐集/處理/利用】之例外情況

• 個資保護行為規範

• 學校內部個資保護

• 推動組織與權責

• 個人資料之風險評估及管理機制

• 舉證管理

• 事故之預防、通報及應變機制

97

新版個資法精神

• 第一條

• 為規範個人資料之蒐集、處理及利用，以避免人格權受侵害，並促進個人資料之合理利用，特制定本法

98

什麼是個人資料

• 個資法條文

• 個人資料：指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、 特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料

99

個資保護行為規範

• 告知/書面同意

• 當事人經蒐集者告知本法所定應告知事項後，所為允許之書面意思表示

• 向當事人蒐集個人資料時，應明確告知當事人：• 公務機關或非公務機關名稱

• 蒐集之目的

• 個人資料之類別

• 個人資料利用之期間、地區、對象及方式

• 當事人依第三條規定得行使之權利及方式

• 當事人得自由選擇提供個人資料時，不提供將對其權益之影響

100

損害賠償

• 無法舉證損失

• 金額500~20000(單人單一事件)• 案例：

• 便利商店

• 帳單通知封面出現電話號碼

• 非故意

• 300元禮卷

101

個人行使之權利

• 查詢或請求閱覽

• 請求製給複製本

• 請求補充或更正

• 請求停止蒐集、處理或利用

• 請求刪除

102

特種個資【蒐集/處理/利用】之例外情況

• 第六條

• 有關醫療、基因、性生活、健康檢查及犯罪前科之個人資料，不得蒐集、處理或利用，但有下列情形之一者，不在此限

一、法律明文規定二、公務機關執行法定職務或非公務機關履行法定

義務所必要，且有適當安全維護措施三、當事人自行公開或其他已合法公開之個人資料四、公務機關或學術研究機構基於醫療、衛生或犯預防之

目的，為統計或學術研究而有必要，且經一定程序所為蒐集、處理或利用之個人資料

103

個資保護行為規範

• 蒐集• 告知

• 特定目的

• 書面同意

• 處理• 安全維護措施

• 利用• 不逾越特定目的

• 損害賠償

• 罰責

104

討論

• 新聞媒體詢問學生個資時，校方應否透露，可否證實？

• 徵才公司向校方查詢求職者學籍或在學表現時，可否告知？

• 收集、跟拍美女照片?• 可否監控學生網路行為?• 校方可否提供學生在外宿舍住址給家人？

105

學校內部個資保護

• 人事基本資料

• 校友資料

• 學生健康資料

• 活動資料

• 考績獎懲

• 家庭狀況資料

Threat:•非法蒐集(忽略公平合法原則)•不當利用•處理過程缺乏安全防護•惡意行為(篡改、偷竊、洩露)

106

學校工作重點(１)

• 成立管理組織，配置相當資源

• 個資管理政策

• 角色與職責

• 推動時程規劃與管理

• 資源規劃與管理

• 進度審查與改善

• 認知及教育訓練

107

推動組織與權責 ●主辦 ○協辦

資訊單位 法務單位 內稽單位 業務單位

推動規劃 成立管理組織 ○ ● ○ ○

擬訂推動計劃 ●

制訂個資保護政策 ○ ● ○ ○

教育訓練 ●

現況瞭解 個人資料盤點 ○ ● ○ ○

處理個人資料風險評鑑 ● ● ○ ○

建立控管程序與機制

新增及調整作業程序 ● ● ○ ●

部署合適個資保護、監控與紀錄保存工具

●

稽核與演練

個資管理制度稽核 ○ ● ● ○

個資外洩防護機制演練 ●

持續運行與改善

持續運行與改善 ○ ● ● ○

個資保護驗證 ● ● ○ ○108

學校工作重點(2)

• 個人資料之風險評估及管理機制• 清查個資檔案及其歷經流程

• 確認符合風險及安全需求(Kept secure)• 評估個資風險

• 可辨識性

• 個資數量

• 資料欄位中的敏感程度, 如銀行帳號

• 個資內容用途

• 保護個人資訊機密的責任

• 個資在邏輯上的存取管理與實體上的保存

109

學校工作重點(3)

• 必要之使用紀錄、軌跡資料及證據之保存(舉證管理-Evidence Management)

• 施行細則• 所稱個人資料檔案，包含備份檔案及軌跡資料，軌跡資料係指個人資料在蒐集、利用、處理過程中所產生非屬於原蒐集個資本體之衍生資訊(logfiles)

• 為考量資訊安全與數位鑑識等證明作業之需要，乃增列由系統留存之必要軌跡資料，不在刪除之範圍內

110

學校工作重點(4)

• 事故之預防、通報及應變機制• 評估管理涉及個資的安全事件，包含減緩損害

• 記錄所有安全事件－學習教訓

• 決定是否將安全事件轉由相關機關處理或通知當事人

• 個資法第十二條規定，應查明後以適當方式通知當事人• 書面、電話、傳真、電子文件….• 但耗費過鉅者，得斟酌技術之可行性及當事人隱私之保護，以網際網路、新聞媒體或其他足以使公眾得知之方式

• 內容：個資被侵害之事實＋因應措施

111

法律責任與損害賠償

• 刑事責任

• 非意圖營利：兩年以下有期徒刑

• 意圖營利：五年以下有期徒刑

• 民事責任

• 每人每一事件500~20000元(無法舉證損失)• 集體訴訟最高2億元

112

結論

• 依法行政

• 不可便宜行事

• 該怎麼作就怎麼作

113

Thank You

114