iT邦幫忙

2023 iThome 鐵人賽

DAY 27
1
SideProject30

解密:從零打造資安社團/資安社群遇到的挑戰與解決攻略系列 第 27

Day27 資安社團與資訊社團攻略:讀者來函─資安社團的法律問題讀:個資法、刑法與密件副本的重要性

  • 分享至 

  • xImage
  •  

前言

經營社團尤其資安肯定是有一些法律上的問題,本篇整理教育部與法規對應的案例分析,提供給大家參考,以及信箱當中很重要的 BCC 對應的內容,希望大家在信件相關的安全也需要注意。

資訊與資安相關的法律

個資法

為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定個資法。

什麼是個人資料

指自然人之姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料。

來源:https://law.moj.gov.tw/LawClass/LawAll.aspx?PCode=I0050021

社團什麼時候會取得個人資料

當社團進行以下活動,可能會取得個人資料

  1. 舉辦活動:當社團舉辦各種活動,例如研討會、工作坊或社團外出活動時,為了報名或參與需要,可能會收集參加者的姓名、聯絡方式、學號等資訊。
  2. 社員加入:當有學生或成員想要加入社團時,社團可能需要收集他們的基本資料,例如姓名、學號、聯絡方式等,以便管理和溝通。

需要做好保管
限制存取:只有需要知道的人才能存取到這些資料,如社團幹部或管理員。
加密:儲存的資料應該使用加密技術,以防止不當的存取,利用密碼等方式,禁止無密碼的人存取。

寄信-密件副本

image

透過電子郵件發送資訊,建議使用密件副本(BCC,Blind Carbon Copy)功能。
這樣,收件人列表中的其他人將無法看到所有收件人的電子郵件地址,
從而保護他們的隱私。

B.C.C 適用情境
  1. 活動通知信
  2. 中獎通知信
  3. 有大量互相不認識的收信者
不用密件副本的風險
  1. 揭露電子郵件地址:所有的收件人都能看到其他收件人的電子郵件地址。這可能會不小心揭露某些人的私人或工作電子郵件地址。
  2. 垃圾郵件和釣魚攻擊:如果其中一個收件人的電子郵件帳戶被駭,該帳戶中的電子郵件地址可以被用來發送垃圾郵件或釣魚攻擊。
  3. 不當的回覆:有時,一個收件人可能會不小心使用“回覆全部”功能,導致不該共享的資訊被所有收件人看到。
  4. 資料隱私違規:在某些情境下,透露收件人名單可能違反資料保護和隱私相關的法律或政策。
  5. 促進電子郵件鏈:當一個人使用“回覆全部”功能時,可能會引起一連串的回應,這會增加其他收件人的困擾。
  6. 增加攻擊的風險:知道某些人是某企業或活動的成員,攻擊者可能利用這一資訊進行特定的社交工程攻擊。
  7. 損害品牌和聲譽:如果一個企業不小心公開了其合作夥伴或客戶的電子郵件地址,這可能會損害組織的品牌形象和商業聲譽。

刑法

第 二 編 分則
第 三十六 章 妨害電腦使用罪
第 358 條
無故輸入他人帳號密碼、破解使用電腦之保護措施或利用電腦系統之漏洞,而入侵他人之電腦或其相關設備者,處三年以下有期徒刑、拘役或科或併科三十萬元以下罰金。

第 359 條
無故取得、刪除或變更他人電腦或其相關設備之電磁紀錄,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。

第 360 條
無故以電腦程式或其他電磁方式干擾他人電腦或其相關設備,致生損害於公眾或他人者,處三年以下有期徒刑、拘役或科或併科三十萬元以下罰金。

第 361 條
對於公務機關之電腦或其相關設備犯前三條之罪者,加重其刑至二分之一。

第 362 條
製作專供犯本章之罪之電腦程式,而供自己或他人犯本章之罪,致生損害於公眾或他人者,處五年以下有期徒刑、拘役或科或併科六十萬元以下罰金。

第 363 條
第三百五十八條至第三百六十條之罪,須告訴乃論。

什麼時候會有刑法問題

第 358 條:如果社團成員無故輸入他人帳號密碼、破解使用電腦的保護措施或利用電腦系統的漏洞入侵他人電腦,即可能觸犯此條文。

第 359 條:如果社團成員無故取得、刪除或變更他人電腦的電磁紀錄且導致損害,也是違法的。

第 360 條:如果社團成員使用特定的電腦程式或電磁方式干擾他人電腦或相關設備而導致損害,也會觸犯此條文。

第 362 條:這主要針對那些製作用於犯罪的電腦程式的人。例如,如果有社團成員製作並分發用於駭客攻擊的工具或程式,並導致損害,則可能觸犯此條文。

應該特別注意
  1. 教育社團成員關於合法與非法的界線,確保他們知道什麼是可以做的,什麼是不可以做的
  2. 避免鼓勵或容忍任何非法活動

資安研究和駭客活動之間有一條細線。雖然很多駭客技術可以用於正當的研究和測試目的,但在不獲得許可的情況下使用它們可能是非法的。因此,始終確保所有成員遵循法律和道德規範。

著作權

為保障著作人著作權益,調和社會公共利益,促進國家文化發展,特制定著作權法。本法未規定者,適用其他法律之規定。
一、著作:指屬於文學、科學、藝術或其他學術範圍之創作。
二、著作人:指創作著作之人。
三、著作權:指因著作完成所生之著作人格權及著作財產權。

什麼時候資訊/資安社團會有著作權問題

  1. 使用未經授權的軟體或工具:社團內部如果使用或分發未經授權的軟體、工具或其他數位資源,可能會侵犯著作權。

  2. 分享未經授權的資料或內容:例如,教學過程中分享的電子書、音樂、影片或其他數位資源,若未經權利人授權,則可能涉及侵權。

  3. 未經授權的逆向工程:嘗試破解或逆向工程商業軟體,以了解其運作原理或繞過版權保護機制,可能觸犯著作權,尤其是當這些活動違反軟體的使用許可協議時。

  4. 製作或分發破解工具:製造或分發用於破解軟體、遊戲或其他數位產品的工具也可能涉及著作權問題。

  5. 使用或分發開放原始碼不當:不正確地使用或不遵守開放原始碼軟體的授權條款(例如GPL、MIT、Apache等)可能引起著作權問題。開放原始碼軟體雖然允許自由使用和修改,但仍然受到著作權保護,且可能有特定的使用要求。

  6. 網站或應用程式的外觀與功能抄襲:即使不直接複製程式碼,如果過度模仿其他軟體、網站或應用的外觀和功能,也可能引發著作權糾紛。

  7. 未經授權使用圖片、音樂或其他媒體資源:在發布教學、文章、影片或網站時,若使用了未經授權的媒體資源,可能違反著作權。

為了避免上述問題,需要了解著作權法的規定,並確保在所有活動中遵循相關法律和規定。如果不確定某些活動是否合法,建議諮詢專業律師或著作權專家。


上一篇
Day26 資安社團與資訊社團攻略:讀者來函─負責專案的人消失了該怎麼辦
下一篇
Day28 資安社團與資訊社團攻略:讀者來函─如何準備資安技能金盾獎競賽
系列文
解密:從零打造資安社團/資安社群遇到的挑戰與解決攻略30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言