“FINTECH - Reshaping the Future of Finance Services”

262 263 人共用電郵或已登入的電腦，則企業無論做了多少安全措施，也屬徒 然。因為網絡安全的漏洞，可以在一個電郵中，便成為黑客攻擊切入之 門。 Target 遭外部風險株連 很顯然，企業除了做足網絡安全的裝置和措施，還需要提出誘因，去激 勵企業內員工做好自身保安付出和投入的部分。因為如果他們付出的部 分不足，往往便會成為整個保安系統「致命」的阿基里斯腱 (Achilles' heel)。 如何避免墮入這個「雙重道德風險」陷阱，筆者在一篇即將發 表 的 論 文 Bilateral Liability-Based Contracts in Information Security Outsourcing ( 基於雙邊責任的信息安全外包合同 ) 中，提出以合同的 形式，來釐訂保安工作的責任分布。事實上，在網絡保安的責任和後果 上，用戶都應該分擔其合理的投入或責任的部分，此舉對強化保安的效 果產生積極作用，因而加強用戶在網絡保安工作的責任意識，筆者認為 相當重要。 記得 2013 年聖誕零售旺季期間，美國零售業巨頭 Target 的「銷售時 點情報系統」(Point of Sale, POS) 遭黑客攻擊，以億計用戶的的銀行 卡資訊被盜走，包括卡號、用戶姓名、通信地址、電話號碼、電子郵件 等資訊，造成美國歷史上最嚴重的資訊洩露事故之一，三分之一美國人 受到波及。後根據調查，Target 網絡系統之所以受到攻陷，關鍵是黑 客首先攻入了 Target 一家外判供應商的網絡，再以此為切入點，侵入 用戶是網絡保安工 作成果裡一個重要 部分，是牽涉其中 的「持份人」，在 安全的維護上也有 一定責任。 網絡保安與個人私隱保障