新聞中的法律／客戶個資遭駭 三階段補救

近來某知名整形診所爆出重大資安事件，疑似遭駭客入侵監視系統，導致患者術前諮詢時的半裸影像外泄，並遭駭客勒索，而更令人驚訝的是，就在警方聲押嫌犯後，剛從診所離職的醫師在個人社羣，貼出多張女患者在診間赤裸上身受檢的馬賽克畫面。

當企業發生這類重大個資外泄時，如何亡羊補牢？從這個案例來看，第一，受害診所應在第一時間報警，第二，應妥善保留相關證據，第三，若確認外泄資料涉及個人資訊時，應立即與患者溝通，告知發生事實、以及診所因應措施及後續補救。

至於對民衆而言，如果收到企業通知，也必須瞭解個資外泄時之自身權益保障，若發現敏感資料遭公開於網路時，除可報警處理外，也應學習自救程序，瞭解清除數位足跡的方式與權益。

目前多數大型搜尋引擎與社羣平臺皆提供不當個資移除的「被遺忘權」行使服務。以Google搜尋爲例，可透過其「移除個人資訊」申請頁面，提交包含姓名、影像、住址等敏感資料的移除請求，並追蹤審覈進度。

因駭客入侵而不慎泄漏客戶個資，常成爲備受關注的重大資安事件。由於醫美診間屬「高度隱私空間」，即便爲避免醫病糾紛保留必要紀錄，仍須採取必要性、最小化及資安隱私保護等三大原則，並佐以適當去識別化技術；特別是敏感部位應儘量避免拍攝，並將必要之拍攝事先告知患者，並取得同意。

這些可作爲未來可能發生爭議時的佐證資料，因其敏感性，必須特別注意其儲存安全與存取控制，才能避免這類案件發生。

醫美影像不僅涉及敏感醫療數據，也是赤裸裸的身體隱私，一旦外泄，極可能傷害當事人生活，更會波及其職場、家庭與社交生活，更可能成爲公衆羞辱、詐騙勒索的操控工具。

隨着資訊科技快速演進，醫美診所所使用的軟硬體設備與雲端服務日新月異，而醫美與資安屬於完全不同的專業領域，此次事件正凸顯醫美業界另一個高風險區域：影像系統與輔助設備。

一般診所爲便於管理，可能將攝影與監視系統與內、外部網路相連，若未妥善加密或權限管理鬆散，便可能成爲駭客入侵管道，形成「網路入口即破口」的潰堤現象。唯有從制度、技術到意識全面升級，臺灣醫美產業才能真正走向安心與永續。

臺灣即將成立「個人資料保護委員會」，並擔任個資保護的專責主管機關，目前修法草案中已規劃其對非公務機關有違反個資法之虞時，可以執行檢查。未來組織成立與修法通過後，針對醫美等具有較高風險之產業，應可發揮主管機關力量，推動業者加速強化其對個資保護與資安防護之作爲，提供民衆更爲優質且放心之專業服務。（本文由KPMG亞太區政府領域資安主持人邱述琛口述，記者邱琮皓整理）