我是廣告 請繼續往下閱讀
林柔甄分析,許多詐騙電話都是傍晚來電,目的是利用電商客服下班時間讓民眾無法求證而上當,另外也會有威脅的話術讓民眾緊張,「比如說這個訂單我們操作錯誤,如果你不照著做,後續會被重覆扣款很多次,甚至帳號被凍結等等,然後就會一步一步掉入他們的圈套。」
刑事局研發科:業者上榜到麻痹 網安2.0推跨部門行政檢查
165從每週到每年公布網購高風險平台,但消費個資外洩對應的詐騙數字還是連年增長,對此研發科代理科長莊明雄分析,可能是公佈的力道不夠或業者已經痲痹,加上165發現問題後,還需要公部門接力督促業者找出漏洞並修補改善,因此刑事局因應行政院推出的新世代打詐行動綱領,推出「網安2.0」專案,具體作為是強化資料轉交目的事業主管機關,後續對業者的追蹤力道,達到加強電商業者資安維護的目標。
至於要怎麼不讓電商擺爛?莊明雄計畫從橫向和縱向加深改善力道。橫向就是推動相關機關「動起來」,假如移交數據給目的事業主管機關但沒有後續進度,刑事局就多送幾次,並往上提報給行政院、由政委羅秉成擔任召集人的「打詐國家隊」;縱向作為就是推動會同目的事業主管機關對業者行政檢查,協助業者找問題。
「某些電商抗拒執法單位調查,找不出問題又無法答覆,我們當然懷疑業者協助個資外洩,我們會用《刑事訴訟法》,最終進行搜索。」莊明雄受訪時警告擺爛的電商,不要忽視資安責任,他也認為相關主管機關除了輔導外,對於惡劣電商也要勇於開罰。
莊明雄分析,以往經濟部商業司沒有資安專業能量,但接手電商個資的主管機關數位部,承接了以往經濟部工業局的資安人才,未來刑事局將提供更精準的內容和數據進行後續分析。
主管機關只開會不開罰 業者真的有在怕?
經濟部商業司身為電商平台的原目的事業主管機關,3年來不僅只開會不開罰,對個資事件處理也明顯鬆散。由於經濟部曾說明,如果業者無法達到強化電商平台個資管理的要求,可以依法要求限期改善;沒做到的話,經濟部可依照《個人資料保護法》執行行政裁罰,但根據立委謝衣鳳向經濟部調閱的資料,過去3年內商業司針對電商平台雖然有檢查和要求改善,但三年間一張罰單都沒開出,給予電商的「觀察期」也一延再延,另外連個案的統整和追蹤,都是165去函後再「見招拆招」。
舉例來說,從2020年至2022年都有登上165高風險平台榜單的東森購物和金石堂網路書店,經濟部在2020年判斷東森購物和金石堂「已採取改善措施」,但其實從2021年到2022年度1到3季,還是持續有消費者通報詐騙電話至警政署的165平台(110年東森購物通報868件,名列第二。金石堂通報324件,名列第五)。
不過這段期間經濟部持續認定東森購物和金石堂「已採取改善措施,尚在觀察期中」,直到2022年8月將業務移交給數發部,中間觀察期長達1年8個月。
類似狀況還有2021年爆發外洩疑雲的誠品網路書店(2021年通報940件,名列第一),經濟部該年度同樣評估誠品「已採取改善措施」,2022年度1到2季誠品高掛榜上,經濟部仍評估為,「已採取改善措施,尚在觀察期中」。
對此經濟部澄清,裁罰並非處理指標,因為《個資法》規定是屆期未改正者才按次處以罰鍰。期間如果165再接到民眾通報,業者還需確認詐騙資料屬於舊外洩個資還是發生新的外洩事故,整體廠商改善後的觀察期約3到6個月。
▲數位發展部數位產業署接手無店面零售平台個資管理。資料照片數位部兩隻箭:投入資源輔導業者、建立情資分享平台
數位部數位產業署去年8月底接手無店面零售業和軟體出版業、電腦系統設計服務業的個資安全維護, 副署長林俊秀拿出11月數位部預告的《個人非公務機關個資維護管理辦法草案》,表示強化管理網購平台個資問題的決心。
林俊秀說,處理業者個資外洩的流程是,一旦接到警政署移交的高風險平台資料,72小時內會通報國發會,也會立即發函給業者要求20天內函覆個資外洩的原因,接著數發署會同資安專業人員審查業者回函(15天)並列出補充和改善建議,回函業者要求20日內改善並函覆, 如果審查過程中發現有違法缺失或業者改善情況不佳,最後都會啟動行政檢查,再無改善才有裁罰可能。改善完成後還需2到3個月的觀察期,確認資料沒有持續外洩才算結案。
林俊秀指出,目前數發署採取的策略是投入資源協助、輔導業者,和推動業者彼此分享情資。輔導業者的面向是投入資金,透過無店面零售公會協助中小型電商辦理資安弱點掃描,藉此協助業者強化資安,部分資金甚至做了高成本的紅隊演練和模擬駭客攻擊的滲透測試。
數發署現正推動業者彼此分享資安情資,像是如果有業者發現駭客透過特定模式或路徑入侵,就能透過機制通知其他平台、即時補強;同時也鼓勵業者分享改善經驗。
「我常常跟他們講,『你不能在這比壞的啊,你要比好的!』大家有共同有利益,不需要在這裡競爭。」林俊秀說。針對沒有資安概念也不知道該找誰協助的小型業者,林俊秀導入從前在工業局的做法,提供業者機關內部確認、登錄的資安業者名單,加快業者的處理腳步。
針對相關部會的作法,謝衣鳳表示,從戶政資料在網路販賣到健保署個資外洩,顯示各部會都面臨資安問題,由於政府機構能提供的薪資遠低業界,導致部會和公務體系的科技人才嚴重不足。她指出,我國在強調數位發展、電商產業和數位金融創新時,相對也需要科技人才投入政府和產業界,他曾提醒高教司務必協助學校培育資訊安全人才,未來也需要跨部會整合解決人才短缺問題。
