公務機關「個資外洩」達十三萬筆 倘遭求償至少6800萬元 全民買單？！

【數位網路記者陳漢新墀台北報導/ 2017,4,14】  

       個人資料外洩事件頻傳，根據刑事局165防詐騙專線統計，2013年上半年，光是「個資外洩」所產生的詐財事件，占所有台灣詐欺事件的5分之1；賽門鐵克網路安全威脅研究報告更指出，台灣網路安全受威脅的全球排名，也由2014年的第6位，提升至2015年的第5位，情況日趨嚴重。

       蒐集個人資料之公務機關或非公務機關未採取適當安全措施，防止個資遭竊或洩漏，甚且駭客的科技犯罪手法無孔不入，均讓消費者心生恐懼。台灣網路資訊中心調查，逾5成的無線網路使用者擔心「個資被濫用」、行動銀行使用者害怕「個人資訊外洩」。

一、公務機關帶頭出包  近一年4起重大資安事件

       公務機關蒐集及處理個人資料，係基於執行法定職務範圍內所為，而民眾向公務機關申請相關業務，依法亦需提供個人資料始得申辦，無從拒絕，故公務機關因而對其保有之大量民眾個人資料，更應負善良管理人之注意義務加以管理保護。然本會經蒐尋近一年來媒體披露公務機關已發生4起重大個資外洩案件（下表），民眾的資訊安全顯然已置於風險之中，且後續處理也令人失望，讓人質疑政府在資安議題上消極與怠惰。

⊙公部門重大資安事件一覽表（資料來源：各大媒體）

事件	外交部 「出國登錄」系統被駭	北市資訊局 「薪資發放管理系統」外洩	勞動部 「台灣就業通」網站被駭	中華郵政 「郵政商城」個資遭竊
時間	2017年2月	2017年1月	2016年10月	2016年5月
外洩數量	1萬5千多筆	約7萬筆	3.4萬筆	約1萬7千多筆
洩漏資訊	中文姓名、護照號碼、電話、電子信箱等10項資料	市府公職人員姓名、職等、銀行帳號、所得稅等細目	姓名、地址、身分證字號、學歷、婚姻狀況等	消費者姓名、電話、地址、e-mail及訂購品項等
後續狀況	駭客使用「洋蔥路由」匿名瀏覽技術，追查不到真實身份	加強網路管理，僅有經授權者，才可瀏覽網頁	警方查獲駭客為追討債務、處理債權的元誠國際公司	新系統上路，增設防火牆，給予因個資外洩被騙民眾慰問禮物

     

      舉例來說，今年2月外交部領務局「出國登錄」系統據稱被駭客入侵，造成1萬5千筆旅客的姓名、護照號碼、電話、出生年月日、身分證字號等資料流出，事發之後，政院資通安全處表示將追查國際駭客身分，但本會本月21日致電外交部，外交部卻表示僅知駭客以匿名瀏覽技術入侵，無法追查真實身分，目前調查已結束。

       此外，去年5月至今年1月，公務機關陸續爆出「中華郵政商城1.7萬筆個資被駭」、勞動部求職網站「台灣就業通」3萬筆個資外洩、北市府「薪資發放管理系統」全都露的重大資安事件，但公務機關事後的應對措施皆為對外宣稱更新網站系統、加強防護等，但對於個資外洩事件之發生，公務機關是否有違法失職？被侵害的個資流向何處？對民眾可能造成的傷害為何？這些與人民生活安全、消費權益相關的問題則無人回答，更別提追查背後黑手，將之繩之以法。

二、「個人資料保護法」對公務機關規範寬鬆

       公家機關屢屢在個資管理上「出槌」，卻未曾見檢討有無符合個資法相關規定，及其因此依個資法承擔任何法律責任或對受害人給予賠償。

1. 首先，依個資法第18條、施行細則第24條第25條，係分別規定公務機關保有個人資料檔案者，應指定專人辦理安全維護事項，應訂定個人資料安全維護規定，該專人應具有管理及維護個人資料檔案之能力，且應使專人接受相關專業教育訓練，然上開規定顯流於形式及宣示意義，且於個資外洩事後，公務機關究有無檢討其踐行上開法文規定之缺失，外界亦不得而知。
2. 其次，在「賠償損害」方面，依「個資法」28條第1項第3項第4項分別規定，公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。如被害人不易或不能證明其實際損害時，得請求法院依侵害情節，以每人每一事件新台幣500元以上、2萬元以下計算。對於同一原因事實造成多數當事人權利受侵害之事件，經當事人請求損害賠償者，其合計最高總額以新台幣二億元為限。
   如前資料統計，去年5月迄今，公務機關所保有的民眾個資外洩數量已破13萬筆（人次），假如被害人全數依個資法第34條委由本會向法院請求公務機關損害賠償，因受限於證明不易及同一原因事實，賠償金額二億元上限，以每人請求最低500元核計雖達6800萬元，但對單一受害人而言，實質幫助不大，更何況公務機關賠償金額亦係由全民買單。
3. 再者，個資法第12條規定，公務機關違反本法規定，致個人資料被竊取、洩漏、竄改或其他侵害者，應查明後以適當方式通知當事人。個資法施行細則第22條第2項規定通知當事人，其內容應包括個人資料被侵害之事實及已採取之因應措施。然而，個資外洩通知義務之規定，主要是為了讓當事人知悉其個人資料已外洩，藉以防止損害或避免損害擴大(例如被詐騙集團所利用)，至於資料管理者有無違法情事，對當事人而言非最重要，且在「查明後」才通知，更可能導致公務機關藉機拖延，造成當事人更大風險。況以前述近年來公務機關個資外洩事件為例，究竟有多少受害人實際接獲公務機關充分而完整之通知，亦令人懷疑。

       本會認為，公務機關應用更高標準來檢視自己的網路管理系統、網路安全環境，如果發生資安問題，也應啟動大規模、持續性的調查，並主動通知被害人個資外洩及有請求賠償金額的權益，在資安管理上成為全民表率。

三、法務部未將民眾個資外洩 列入「打擊民生犯罪」專案，態度消極

       我們可以預見，隨著網路的普及化、行動上網的人口比例的增加，消費者的日常生活中將充斥越來越多個資被竊的風險。而依個資法第41條第42條第44條分別規定禁止或違反特定目的、執行法定職務必要範圍內違法蒐集、處理，利用個資足生損害於他人者，最重處二年有期徒刑，意圖營利犯此罪者，最重處五年有期徒刑，公務員假職務上之權力、機會或方法犯罪者加重其刑至二分之一等刑事責任，因此為了維護消費者個資安全，法務部應將個資安全列為重大民生犯罪議題，全力調查各種個資外洩事件的背後原因、揪出駭客身分，為民眾攔截被入侵的個資，將個資外洩所導致的損害降至最低。

       法務部於民國94年發布「檢察機關打擊民生犯罪專案實施計畫」，目的是為積極加強查緝與民眾日常生活息息相關之犯罪行為，其民生犯罪的範圍包含緝毒、竊盜、金融犯罪、網路詐騙等其他重大犯罪，但卻未將「侵害個資」犯罪列於其中。

       目前檢調單位只對已發生的民眾個資外洩遭詐騙集團利用之犯罪事實展開調查，單純的個資外洩事件若無直接的犯罪事實，就不會成為偵辦重點，態度顯然過於消極，本會認為，民眾個資經公務機關蒐集處理後遭竊或洩漏，即已然對民眾造成一次傷害，倘萬一遭詐騙集團進一步利用而受損，更是二次傷害，均不容輕忽；許多個資外洩事件並非只是單純的網路管理疏失，也不會在事發之初即對被害人展開詐騙行動，但是這些數以千萬計大量被轉載、盜用的個資，日後恐被不法集團用來冒用身分、盜取存款或做為其他不法用途，可說是所有犯罪的源頭，且無形中造成民眾心中莫大的恐慌，法務部應重視其對社會層面的影響，將「侵害個資」案件列為民生犯罪之範圍，由檢調單位於第一時間就深入調查，而非待個資實際被非法使用、造成廣大民眾財物實際受損之犯罪事實再進行調查，恐為時已晚。

      本會呼籲，政府、業者應全力做好資訊安全管理，法務部也能主動調查近來層出不窮的個資外洩、竊取事件，以保障消費者的資訊安全為優先。

       全球最大的消費者國際組織(Consumers International)將2017年世界消費者日主題定為「建立消費者信任的數位世界」（Building a digital world consumers can trust），消基會也將與國際同步，將「資訊安全」列為關注重點，並於4月27日舉辦資安論壇，邀請產官學一同探討如何建構可信賴的數位消費環境，持續為消費者把關資訊安全。

消基會呼籲

對政府

1. 政府相關單位應重視個資安全之議題，加強公務機關資訊安全管理，嚴格檢討，避免再有便宜行事、消極怠忽，而致個資洩漏事件發生。
2. 法務部「檢察機關打擊民生犯罪專案實施計畫」應將資安問題納入執行範圍，調查個資竊取、濫用等不法情事，保障人民安全。
3. 行政機關應研議修正「個資法」，加強對個人資料保障的規範。

對消費者

1. 應時刻注意個人資料之保護，避免輕易透漏個人資料。
2. 若發覺個資外洩，可依法向洩密單位求償；若不能證明因資料外流造成實質傷害，也可請求法院依侵害情況，要求洩密單位給予每人每一事件500元至2萬元的賠償，藉以使公務機關重視個資保護工作。
3. 民眾若有個資外洩的疑慮，或因個資外洩而被詐騙，應立即報警處理。