讀者投稿

當電商平台成為詐騙高風險賣場,政府與企業該如何聯防資安漏洞?
2022年刑事局列出的詐騙高風險賣場名單中,有百間電商上榜,博客來、誠品書局及蝦皮拍賣的上榜週數更高居前三名。當駭客攻擊猖獗,如何確保資訊安全成為企業與政府需共同承擔的責任。(攝影/陳曉威)

文字大小

分享

收藏

在台灣,電子商務(以下簡稱電商)平台個資外洩事件層出不窮,著名的大型電商皆被刑事局名列為「高風險賣場」。因個資外洩所衍生出的「解除分期付款詐騙」案件數與受害者數更不見趨緩。為何電商個資外洩始終不減?

2018年暑假,21歲的偉峰(化名)還是大學生,剛從實驗室離開的他,原先想回宿舍休息一陣。忽然手機震動,他一如往常地接起電話,宣稱是「讀冊生活網路書店」的工作人員告訴偉峰,因為工讀生操作失誤而新增了50筆交易紀錄,為了更正,稍後郵局將聯繫他進行後續處理。

偉峰一開始半信半疑,接著手機響起顯示「台中郵政總局」,偉峰不疑有他將手機接起,跟隨手機另一頭人員的指引,往學校的郵局ATM操作。當操作完畢、掛上電話,他才驚覺不對,自己已被詐騙集團騙取4萬多元。

「他的電話不讓你有任何插嘴的時間,劈里啪啦一口氣講,告訴你應該怎麼做。」偉峰至今回想起4年前的案件,仍歷歷在目,甚至無法相信當時竟隨著電話另一頭的陌生人操作,主動將自己戶頭中的存款轉帳給詐騙集團。

像偉峰受詐騙的案例在台灣並不罕見。詐騙集團嘗試得到消費者在網路交易的個人資料,並竄改來電號碼、冒充商家客服或銀行人員,透過話術說服消費者該筆交易被誤設為連續扣款,要求民眾操作ATM,而這正是典型的「解除分期付款詐騙」案件。

根據內政部警政署統計,2021年所有詐騙案件類型中,「解除分期付款」占比第二高。此類型詐欺案件超過4,000件以上,受害者更高達上萬人,人數不見減緩趨勢。

公權力管理力道有限,個資外洩衍生詐騙案層出不窮

「我其實只有在讀冊上訂過一本二手書,但也因為那次就接到了詐騙電話,」偉峰說。

TAAZE讀冊生活網路書店(以下簡稱「讀冊生活」)於2010年9月正式營運,主要販售各式新書、二手書、回頭書
有瑕疵但不影響閱讀的書籍。
,目前實收資本額約新台幣6.25億元,是全國最大的二手網路書店。
讀冊生活最近一次遭到駭客攻擊,並被竊取個人資料是2020年8月。在此之前,讀冊生活早已是當時政府看管的「重點對象」。從2018年至2019年,讀冊生活遭165反詐騙官網列名「高風險賣場」超過15週次
當刑事局165專線接獲單一賣場或組織單週發生5個受騙案件,便會將賣場或組織列入高風險賣場名單,並每週更新。

「我們嘗試了各種解決策略,」儘管近期已不再被列為「高風險賣場」,讀冊生活董事長張天立回想起當時情景,受訪時仍無奈說道,「2020年初又發生了一次個資外洩,我們5月找了某家資安公司協助(處理),結果當年8月還是被駭。」

就算時間來到2022年,網路交易資料仍是駭客認為可以詐取消費者錢財的「可貴資產」,並持續攻擊台灣各個網路店家的網頁、竊取個資。統計2022年165反詐騙官網所列出的「高風險賣場」,其中就曾有129間電商上榜,出現週數前三名賣場分別為──博客來、誠品書局及蝦皮拍賣,皆是著名的電商龍頭。

記者嘗試聯繫2022年個資外洩最嚴重的博客來網路書店,但僅收到博客來的書面回覆:「內部持續加強資安管理,確保交易流程無異常,並取得資安最高認證,同時持續積極配合檢調調查,以確保消費者權益。」顧及商譽與企業形象,部分企業不會主動談起內部網站漏洞,僅會宣稱事件皆已妥善處理。

刑事局科技研發科代理科長莊明雄認為,為求商業利益與成本考量,業者不會輕易承認自己個資外洩,或他們不一定有能力查找個資外洩的問題在哪,「如果承認就必須負起責任,接受被主管機關開罰的決定,或因個資外洩而受到的名譽受損。」

刑事局預防科祕書林明俊作為反詐騙165專線的第一線,深知一個特定店家或組織發生個資外洩,背後牽涉到的是一整條產業鏈,「這些組織、電商配合廠商非常多、非常複雜。」包含管理端、系統端、物流端等。每個步驟的資料拋接、人為操作、或電腦被惡意程式安裝後門,都可能發生斷點,若稍不注意,都可能發生個資外洩。

然而,個資外洩事件始終不減,難道政府無法可管?「為什麼解除分期付款詐欺在台灣橫行20幾年,而且一直沒辦法解決,甚至愈來愈多,那原因是什麼?因為對這些廠商來講,沒有後果啊!」作為第一線的執法單位,林明俊指出政府的管理力道不足,民眾依法求償也困難重重,就算業者發生個資外洩,也可能不會受罰或遭民眾求償。

行政裁罰是要求企業做好資安的殺手鐧?

其實行之有年的《個人資料保護法》(以下簡稱《個資法》)及政府各機關所訂定的子法,早已針對個資外洩事件處理訂定完整的標準流程。

以無店面的電商為例,過去主管機關為經濟部商業司,在2022年8月因應數位發展部的成立,主管機關與相關業務也移轉至數位發展部的數位產業署之下。

當主管機關接獲刑事局165專線通報疑似電商發生個資外洩事件後,將立即啟動個資外洩處理流程;若情節嚴重,主管機關會主動召開「行政檢查會議」,並邀請刑事局、資策會等專家學者列席。行政檢查會議決議可以要求業者針對指定的資安維護項目限期改善,若仍未符合規範,行政機關才會根據《個資法》處以2萬元至20萬元的罰鍰
《個資法》第48條:「非公務機關有下列情事之一者,由中央目的事業主管機關或直轄市、縣(市)政府限期改正,屆期未改正者,按次處新台幣2萬元以上20萬元以下罰鍰:一、違反第8條或第9條規定。二、違反第10條、第11條、第12條或第13條規定。三、違反第20條第2項或第3項規定。四、違反第27條第1項或未依第2項訂定個人資料檔案安全維護計畫或業務終止後個人資料處理方法。」

早在2015年,經濟部商業司便曾組成「網際網路零售商品之公司行號個資保護行政檢查小組」。從初步的訪視、稽查,到召開行政檢查、限期改善甚至執行裁罰,看似完善的流程,卻未降低個資外洩事件的發生。

曾研究電商個資外洩實務事件與法規的東吳大學法律學系研究所畢業生蔣哲宇認為,業者沒意識到個資外洩的嚴重性,且不了解違反《個資法》可能的風險與代價;主管機關並不會主動公布這些裁罰情形,可能是業者忽視資訊安全的一大原因。舉例而言,經濟部商業司過去有許多積極作為,但相關網站幾乎看不到這些行政檢查結果與裁罰情形。

此外,林明俊也提到,目前《個資法》所規定的2萬至20萬元裁罰金額對電商而言「不痛不癢」,業者並不會因此有所警惕。記者透過行政院訴願決定查詢系統,試圖爬梳過去是否有電商業者因不服主管機關裁罰,而向行政院提起訴願救濟。以讀冊生活過去2次訴願為例,警政署在2016年至2020年期間共將其移送主管機關查處6次,並召開5次行政檢查會議,先後因個資外洩事件遭經濟部裁罰4萬、6萬、10萬及8萬,總計僅28萬元,但根據媒體報導,單是2020年1月至8月,因讀冊生活個資外洩所造成的詐騙案件財物損失卻超過2,200萬元。

「裁罰還是主管機關做認定,但移送100件可能也只會裁罰3、4件,而且罰的金額可能只有幾萬,但一個電商造成的詐騙案件(財損)合計可能上億元,」林明俊感嘆,裁罰案件數少且裁罰金額低,企業並不會在意。

不過企業方如讀冊生活則認為,他們過去嘗試各種資安解決方案,認為已經確實按照主管機關要求改正事項並提出報告,尚無法完成的部分也正持續努力,主管機關卻仍不採納,並祭出裁罰。讀冊生活董事長張天立認為重點是解決問題,而非裁罰,「我們當然也是行禮如儀,一定要跟他講說我做了哪些,他們不高興會覺得我們做得太慢,那我也沒辦法。」他無奈表示,裁罰並不一定能解決問題,讀冊生活仍須持續努力布建完整的資安建置。

事實上,根據《個資法》規定
《個資法》第25條第2項:「中央目的事業主管機關或直轄市、縣(市)政府為前項處分時,應於防制違反本法規定情事之必要範圍內,採取對該非公務機關權益損害最少之方法為之。」
據此請求賠償時,適用同法第28條第2~6項規定,其中第3項:「如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。」
,政府須採取對業者權益侵害最小的方式輔導。「《個資法》不是說有個資外洩就罰你(電商),我們(主管機關)會問發生什麼事情,如果你沒有作為才會罰,」數位發展部數位產業署副署長林俊秀指出,作為電商的主管機關,雖《個資法》授權政府得以公告電商違法事實、並祭出裁罰,但目前仍以振興產業、協助扶持產業為主。他補充,現在的科技很難保證100%絕對駭不進去,數位產業署作為主管機關,在進行裁罰前還是會先輔導廠商、要求廠商說明,並視案件情況安排資安訪視,實際提供技術協助並分析可能的問題所在。
Fill 1
數位發展部數位產業署副署長林俊秀說明,針對個資外洩的電商,主管機關在依法裁罰之前,還是會先輔導廠商、提供技術協助解決問題。(攝影/陳曉芙)
數位發展部數位產業署副署長林俊秀說明,針對個資外洩的電商,主管機關在依法裁罰之前,還是會先輔導廠商、提供技術協助解決問題。(攝影/陳曉芙)

負責偵辦科技犯罪、資安鑑識的刑事局科技研發科代理科長莊明雄觀察,過去真正進入裁罰的業者比例極低,2021年過後並沒有任何電商遭到裁罰。然而他認為祭出裁罰才是有效的做法,「如果開罰能讓業者重視,我覺得是好事。我們要讓業者付出商譽上的代價,他們才會注意到資安。」

訴訟成本高、賠償金額低,少有受騙消費者向業者求償

若是消費者發現個資外洩、或因此遭到詐騙,以現行實務狀況來說,消費者雖可向警方報案,但多數難以追回款項,逮捕罪犯也不容易。儘管如此,警政署仍會投入調查並與銀行合作,監測異常銀行帳號,試圖抓到領錢的車手,一旦罪證確鑿,消費者便可向其索取賠償,但並非每次都會這麼幸運,實務上要獲得全額賠償更是難上加難。

幸運的是,警方在偉峰遭詐騙的案件中成功抓到車手,偉峰和其他受害者共提訴訟,「和解的時候,原本是想要拿2萬(損失金額的一半),這樣應該不為過吧?」這樣的想法卻在調解時遭調解委員痛斥:「看在對方也很可憐的分上,你們有沒有一點良心啊!」他才發現,車手不僅和自己年紀相仿且懷有身孕,其實也是被詐騙集團所利用。最後,偉峰僅討回原本受騙款項的四分之一,以1萬塊和解金作結。

除了向詐騙集團的車手索賠之外,無論是否受騙,若該企業有個資外洩的事實,其實消費者可向業者求償。

2017年,雄獅旅行社電腦主機遭駭客入侵,詐騙集團藉此詐取消費者錢財,該起個資外洩事件,約有36萬筆消費者個人資料遭外洩。財團法人中華民國消費者文教基金會(以下簡稱「消基會」)後續協助被害者向雄獅旅行社提起全國第一起個資外洩集體訴訟,一審敗訴,但消基會仍持續上訴,最終在2020年7月以調解告終,雄獅承諾給予賠償金。

雖然以調解收場,但消基會副董事長徐則鈺回憶起當時情景,感嘆當時的曲折與困境。他強調,現今團體訴訟在法律上並不會獲得太多優待
徐則鈺提到,團體訴訟中,僅裁判費有優待。
,且消費者四散各地難以聚集,使得詐騙案件舉證並不容易,「雖然可以把消費者傳來作證,但是他們不一定每次都可以作證,剩下的消基會得自行處理。」

此外,訴訟中也爭辯業者在個資外洩事件中是否有「過失」,但法官認為該次外洩事件是第三方的惡意攻擊,而雄獅已依主管機關要求,提出個人資料檔案安全維護計畫。判決書中寫道,「被告公司⋯⋯已採行合於《個資法》所定之安全措施」,法官認為雄獅有善盡管理責任,一審宣判消基會敗訴。

「主管機關是否有針對業者提出的個資防護計畫,去查核有沒有落實、有沒有查?我們也不知道。我們是外圍中的外圍,有很多困難點,」徐則鈺感嘆,「事實上業者一定有過失,不然為什麼駭客會駭進你那邊?」

Fill 1
消基會副董事長徐則鈺指出,在訴訟成本與賠償數額差距過大的現實下,很少有消費者在遭騙後選擇提告。(攝影/陳曉芙)
消基會副董事長徐則鈺指出,在訴訟成本與賠償數額差距過大的現實下,很少有消費者在遭騙後選擇提告。(攝影/陳曉芙)
儘管如此,徐則鈺觀察,確實仍有少數消費者單獨向企業提起個資外洩訴訟,有時也會得到企業賠償。然而根據《個資法》規定
《個資法》第29條第1項:「非公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但能證明其無故意或過失者,不在此限。」

據此請求賠償時,適用同法第28條第2~6項規定,其中第3項:「如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。」
,若企業有個資外洩情形,被害人得請求法院依侵害情節,以每人每一事件新台幣500元以上2萬元以下計算。

「2萬,開玩笑!100個消費者裡面,看會不會有一個人會為了2萬塊去提告?」徐則鈺認為,現今求償數額過低,就算發生個資外洩,僅有極少數消費者願意為幾千、幾萬塊耗費精力與時間向企業提起訴訟。林明俊也認為訴訟成本高,在法律上換得的賠償金額卻極低,「大部分民眾不會提告。」

徐則鈺感嘆:「作為一個企業這麼容易被駭,難道不用負相當的責任嗎?」

結合資訊人才與執法者,「網安專案2.0」是可能解方?

因應數位發展部的成立,內政部警政署刑事局於2022年10月推動「網安專案2.0」,前端會先委請轄區警察局了解,刑事局科技研發科會視個案需求,透過實地訪視被列為高風險賣場的廠商,給予業者相對應的資安建議,同時與轄區警察局合作加強宣導資安概念,並偕同資安業者進行實地複查。

除此之外,刑事局與數位發展部每週進行會議交流,更即時將具體的訪視紀錄與第一線詐騙數據提供給主管機關認定,企圖及早遏止個資外洩發生所造成的危害,並防止電商後續再次發生個資外洩。

台灣科技產業法務經理人協會祕書長余啟民肯認,數位發展部對於處理個資外洩事件有所助益,過去資訊服務業者歸經濟部工業局管,電商則多為經濟部商業司主管,當發生個資外洩問題時,無法即時進行有效溝通。目前,這兩項業務都移到數位產業署,可以共同檢視個資外洩發生時可能牽涉到的相關產業鏈。莊明雄也期待,透過「網安2.0」的合作,加上數位發展部多為資訊人才,「盡可能去查找企業被入侵的原因,解決問題。」

「作為產業主管機關,我們是要做輔導的,要去解決問題,不是只有罰它,」林俊秀表示,數位產業署8月底委託資安公司針對40間特定高風險賣場所使用的系統進行資安檢測,並規劃建立電商情資分享平台,達到資訊交流及企業資安聯防效果。除此之外,數位產業署2022年10月以來也與刑事局進行合作,並認為已初步看到成效,部分著名的大品牌已經從高風險賣場名單上除名。

然而,莊明雄仍強調裁罰的重要性,「2.0就是加重力道,告訴數位發展部可以連續裁罰。」不僅僅是裁罰,關注個資外洩與電商法律實務的蔣哲宇則建議,「或許主管機關可以公布裁罰狀況,但不公布業者名字。這可以讓所有業者知道,違反哪些情節分別的裁處情形為何。」他認為,公布屢次違法的業者,也能有效警惕業者,要求對資訊安全加以注意和保護。

不過產業人士認為,駭客入侵有「時間性」,「可能3個月後又會再來侵入系統幾次。」網安專案2.0約上路3個月,成效是否顯著還待長期檢視。刑事局165專線偵查員林思妍也提到,165專線會持續監測詐騙數據,若該電商再次發生個資外洩所衍生的解除分期付款詐騙案件,仍會重啟後續一系列的調查流程。

此外,「網安專案2.0」當中,刑事局也規劃與消基會接洽,希望借助民間力量共同協助消費者進行團體訴訟。徐則鈺受訪時表示,尚不了解刑事局「網安專案2.0」的細節,但提及是否再次協助消費者承辦團體訴訟,他則認為以消基會現況而言,每年平均僅能協助1至2起訴訟案,民間資源實在有限。

資安是電商重要基石,業者不應忽視社會責任

蔣哲宇指出,不少電商忽略責任歸屬,「電商拿民眾的資訊去賺錢,那是不是應該要好好保護消費者的個資,是不是要採取一定的安全措施?」

讀冊生活於2016年至2020年間屢次發生個資外洩,儘管遭到主管機關裁罰,但仍嘗試許多資安防護作為。擁有資訊背景的張天立感嘆,駭客技術推陳出新,如此猖獗的行為實在難以防範,「要做到防毒滴水不漏,不容易耶!」

Fill 1
感嘆駭客難防,讀冊生活董事長張天立表示,雖已不再列名高風險賣場,讀冊生活仍持續嘗試各種資安防護作為。(攝影/劉以羚)
感嘆駭客難防,讀冊生活董事長張天立表示,雖已不再列名高風險賣場,讀冊生活仍持續嘗試各種資安防護作為。(攝影/劉以羚)

2020年9月,讀冊生活毅然決然砸重本使用英國資安公司Comodo的服務,即時偵測公司內部伺服器與所有職員的工作電腦程式行為是否異常,一旦發生異常,系統會即時進行妥善處理和排除。此外,也同時對公司員工進行教育訓練,叮囑使用工作電腦與手機都需格外注意。儘管讀冊生活不再列名為高風險賣場,張天立仍戰戰兢兢,「就算是有Comodo在,我們也還是要再努力改善,或是不斷再看看有沒有其他的漏洞。程式我們其實也一直在做修正,甚至系統架構也一直在調整。」

駭客攻擊猖獗,使台灣深陷電商個資外洩的風暴中,消費者始終是最弱勢的一方。當政府與企業揮開大旗,宣揚數位智能與電子商務的同時,如何建立資訊安全的社會,是企業與政府需共同肩負的責任。

用行動支持報導者

獨立的精神,是自由思想的條件。獨立的媒體,才能守護公共領域,讓自由的討論和真相浮現。

在艱困的媒體環境,《報導者》堅持以非營利組織的模式投入公共領域的調查與深度報導。我們透過讀者的贊助支持來營運,不仰賴商業廣告置入,在獨立自主的前提下,穿梭在各項重要公共議題中。

你的支持能幫助《報導者》持續追蹤國內外新聞事件的真相,邀請你加入 3 種支持方案,和我們一起推動這場媒體小革命。

© 2023 All rights Reserved

有你才有報導者
有你才有報導者

這篇文章的完成有賴讀者的贊助支持,我們以非營利模式運作,

邀請你加入 3 種支持方案,讓報導者能夠走更長遠的路。

瞭解更多

有你才有報導者

這篇文章有賴讀者的贊助完成,我們以非營利模式運作,邀請你加入 3 種支持方案,讓我們能走更長遠的路。

瞭解更多

報導者支持方案上線,用你的方式支持報導者!

瞭解更多

開創組織永續經營之路
報導者支持方案上線,用你的方式支持報導者!

瞭解更多

即時追蹤最新報導
即時追蹤最新報導

開啟文章推播功能得到報導者第一手消息!

開啟通知

即時追蹤最新報導

開啟文章推播功能得到報導者第一手消息!

開啟通知