當個資成為詐騙集團的工具時,越早得知災情並發出警示,就能把損失降到最低。165定位自己是詐騙警報器,隸屬警政署預防科的偵查員林柔甄說,「我們會把詐騙來電收集起來,然後即時提供給電信業者,請他們做攔阻;相關數據統計後也提供給相關單位。」
165除了宣導反詐騙並接受民眾檢舉詐騙電話外,也統計相關數據提供給警政署研發科和被檢舉業者的目的事業主管機關,每週、每月、每季都會公布高風險賣場排名,不只提醒民眾提高警覺,更力求給業者壓力。
林柔甄分析,許多詐騙電話都是傍晚來電,目的是利用電商客服下班時間讓民眾無法求證而上當,另外也會有威脅的話術讓民眾緊張,「比如說這個訂單我們操作錯誤,如果你不照著做,後續會被重覆扣款很多次,甚至帳號被凍結等等,然後就會一步一步掉入他們的圈套。」
165的另一個預防手段,就是直接跟上榜的業者聯絡,要求他們「補破網」,包括要求在網站對用戶宣導個資外洩消息,並放上客服電話供消費者確認。接下來請業者填寫資安的自檢表,包括建議官網宣傳措施、損害控管和加強個資隱蔽和保存,如果持續上榜的業者,165會進一步邀集業者開會,研擬防治做法。不過以政府對個資外洩的整體處理流程中,165為資料蒐集和建立,數據會轉交該業者的目的事業主管機關和刑事局研發科進行後續追蹤。
刑事局研發科:業者上榜到麻痹 網安2.0推跨部門行政檢查
165從每週到每年公布網購高風險平台,但消費個資外洩對應的詐騙數字還是連年增長,對此研發科代理科長莊明雄分析,可能是公佈的力道不夠或業者已經痲痹,加上165發現問題後,還需要公部門接力督促業者找出漏洞並修補改善,因此刑事局因應行政院推出的新世代打詐行動綱領,推出「網安2.0」專案,具體作為是強化資料轉交目的事業主管機關,後續對業者的追蹤力道,達到加強電商業者資安維護的目標。
至於要怎麼不讓電商擺爛?莊明雄計畫從橫向和縱向加深改善力道。橫向就是推動相關機關「動起來」,假如移交數據給目的事業主管機關但沒有後續進度,刑事局就多送幾次,並往上提報給行政院、由政委羅秉成擔任召集人的「打詐國家隊」;縱向作為就是推動會同目的事業主管機關對業者行政檢查,協助業者找問題。
「某些電商抗拒執法單位調查,找不出問題又無法答覆,我們當然懷疑業者協助個資外洩,我們會用《刑事訴訟法》,最終進行搜索。」莊明雄受訪時警告擺爛的電商,不要忽視資安責任,他也認為相關主管機關除了輔導外,對於惡劣電商也要勇於開罰。
莊明雄分析,以往經濟部商業司沒有資安專業能量,但接手電商個資的主管機關數位部,承接了以往經濟部工業局的資安人才,未來刑事局將提供更精準的內容和數據進行後續分析。
主管機關只開會不開罰 業者真的有在怕?
經濟部商業司身為電商平台的原目的事業主管機關,3年來不僅只開會不開罰,對個資事件處理也明顯鬆散。由於經濟部曾說明,如果業者無法達到強化電商平台個資管理的要求,可以依法要求限期改善;沒做到的話,經濟部可依照《個人資料保護法》執行行政裁罰,但根據立委謝衣鳳向經濟部調閱的資料,過去3年內商業司針對電商平台雖然有檢查和要求改善,但三年間一張罰單都沒開出,給予電商的「觀察期」也一延再延,另外連個案的統整和追蹤,都是165去函後再「見招拆招」。
舉例來說,從2020年至2022年都有登上165高風險平台榜單的東森購物和金石堂網路書店,經濟部在2020年判斷東森購物和金石堂「已採取改善措施」,但其實從2021年到2022年度1到3季,還是持續有消費者通報詐騙電話至警政署的165平台(110年東森購物通報868件,名列第二。金石堂通報324件,名列第五)。
不過這段期間經濟部持續認定東森購物和金石堂「已採取改善措施,尚在觀察期中」,直到2022年8月將業務移交給數發部,中間觀察期長達1年8個月。
類似狀況還有2021年爆發外洩疑雲的誠品網路書店(2021年通報940件,名列第一),經濟部該年度同樣評估誠品「已採取改善措施」,2022年度1到2季誠品高掛榜上,經濟部仍評估為,「已採取改善措施,尚在觀察期中」。
對此經濟部澄清,裁罰並非處理指標,因為《個資法》規定是屆期未改正者才按次處以罰鍰。期間如果165再接到民眾通報,業者還需確認詐騙資料屬於舊外洩個資還是發生新的外洩事故,整體廠商改善後的觀察期約3到6個月。
▲數位發展部數位產業署接手無店面零售平台個資管理。資料照片
數位部兩隻箭:投入資源輔導業者、建立情資分享平台
數位部數位產業署去年8月底接手無店面零售業和軟體出版業、電腦系統設計服務業的個資安全維護, 副署長林俊秀拿出11月數位部預告的《個人非公務機關個資維護管理辦法草案》,表示強化管理網購平台個資問題的決心。
林俊秀說,處理業者個資外洩的流程是,一旦接到警政署移交的高風險平台資料,72小時內會通報國發會,也會立即發函給業者要求20天內函覆個資外洩的原因,接著數發署會同資安專業人員審查業者回函(15天)並列出補充和改善建議,回函業者要求20日內改善並函覆, 如果審查過程中發現有違法缺失或業者改善情況不佳,最後都會啟動行政檢查,再無改善才有裁罰可能。改善完成後還需2到3個月的觀察期,確認資料沒有持續外洩才算結案。
林俊秀指出,目前數發署採取的策略是投入資源協助、輔導業者,和推動業者彼此分享情資。輔導業者的面向是投入資金,透過無店面零售公會協助中小型電商辦理資安弱點掃描,藉此協助業者強化資安,部分資金甚至做了高成本的紅隊演練和模擬駭客攻擊的滲透測試。
數發署現正推動業者彼此分享資安情資,像是如果有業者發現駭客透過特定模式或路徑入侵,就能透過機制通知其他平台、即時補強;同時也鼓勵業者分享改善經驗。
「我常常跟他們講,『你不能在這比壞的啊,你要比好的!』大家有共同有利益,不需要在這裡競爭。」林俊秀說。針對沒有資安概念也不知道該找誰協助的小型業者,林俊秀導入從前在工業局的做法,提供業者機關內部確認、登錄的資安業者名單,加快業者的處理腳步。
針對相關部會的作法,謝衣鳳表示,從戶政資料在網路販賣到健保署個資外洩,顯示各部會都面臨資安問題,由於政府機構能提供的薪資遠低業界,導致部會和公務體系的科技人才嚴重不足。她指出,我國在強調數位發展、電商產業和數位金融創新時,相對也需要科技人才投入政府和產業界,他曾提醒高教司務必協助學校培育資訊安全人才,未來也需要跨部會整合解決人才短缺問題。
我是廣告 請繼續往下閱讀
林柔甄分析,許多詐騙電話都是傍晚來電,目的是利用電商客服下班時間讓民眾無法求證而上當,另外也會有威脅的話術讓民眾緊張,「比如說這個訂單我們操作錯誤,如果你不照著做,後續會被重覆扣款很多次,甚至帳號被凍結等等,然後就會一步一步掉入他們的圈套。」
165的另一個預防手段,就是直接跟上榜的業者聯絡,要求他們「補破網」,包括要求在網站對用戶宣導個資外洩消息,並放上客服電話供消費者確認。接下來請業者填寫資安的自檢表,包括建議官網宣傳措施、損害控管和加強個資隱蔽和保存,如果持續上榜的業者,165會進一步邀集業者開會,研擬防治做法。不過以政府對個資外洩的整體處理流程中,165為資料蒐集和建立,數據會轉交該業者的目的事業主管機關和刑事局研發科進行後續追蹤。
刑事局研發科:業者上榜到麻痹 網安2.0推跨部門行政檢查
165從每週到每年公布網購高風險平台,但消費個資外洩對應的詐騙數字還是連年增長,對此研發科代理科長莊明雄分析,可能是公佈的力道不夠或業者已經痲痹,加上165發現問題後,還需要公部門接力督促業者找出漏洞並修補改善,因此刑事局因應行政院推出的新世代打詐行動綱領,推出「網安2.0」專案,具體作為是強化資料轉交目的事業主管機關,後續對業者的追蹤力道,達到加強電商業者資安維護的目標。
至於要怎麼不讓電商擺爛?莊明雄計畫從橫向和縱向加深改善力道。橫向就是推動相關機關「動起來」,假如移交數據給目的事業主管機關但沒有後續進度,刑事局就多送幾次,並往上提報給行政院、由政委羅秉成擔任召集人的「打詐國家隊」;縱向作為就是推動會同目的事業主管機關對業者行政檢查,協助業者找問題。
「某些電商抗拒執法單位調查,找不出問題又無法答覆,我們當然懷疑業者協助個資外洩,我們會用《刑事訴訟法》,最終進行搜索。」莊明雄受訪時警告擺爛的電商,不要忽視資安責任,他也認為相關主管機關除了輔導外,對於惡劣電商也要勇於開罰。
莊明雄分析,以往經濟部商業司沒有資安專業能量,但接手電商個資的主管機關數位部,承接了以往經濟部工業局的資安人才,未來刑事局將提供更精準的內容和數據進行後續分析。
主管機關只開會不開罰 業者真的有在怕?
經濟部商業司身為電商平台的原目的事業主管機關,3年來不僅只開會不開罰,對個資事件處理也明顯鬆散。由於經濟部曾說明,如果業者無法達到強化電商平台個資管理的要求,可以依法要求限期改善;沒做到的話,經濟部可依照《個人資料保護法》執行行政裁罰,但根據立委謝衣鳳向經濟部調閱的資料,過去3年內商業司針對電商平台雖然有檢查和要求改善,但三年間一張罰單都沒開出,給予電商的「觀察期」也一延再延,另外連個案的統整和追蹤,都是165去函後再「見招拆招」。
舉例來說,從2020年至2022年都有登上165高風險平台榜單的東森購物和金石堂網路書店,經濟部在2020年判斷東森購物和金石堂「已採取改善措施」,但其實從2021年到2022年度1到3季,還是持續有消費者通報詐騙電話至警政署的165平台(110年東森購物通報868件,名列第二。金石堂通報324件,名列第五)。
不過這段期間經濟部持續認定東森購物和金石堂「已採取改善措施,尚在觀察期中」,直到2022年8月將業務移交給數發部,中間觀察期長達1年8個月。
類似狀況還有2021年爆發外洩疑雲的誠品網路書店(2021年通報940件,名列第一),經濟部該年度同樣評估誠品「已採取改善措施」,2022年度1到2季誠品高掛榜上,經濟部仍評估為,「已採取改善措施,尚在觀察期中」。
對此經濟部澄清,裁罰並非處理指標,因為《個資法》規定是屆期未改正者才按次處以罰鍰。期間如果165再接到民眾通報,業者還需確認詐騙資料屬於舊外洩個資還是發生新的外洩事故,整體廠商改善後的觀察期約3到6個月。
▲數位發展部數位產業署接手無店面零售平台個資管理。資料照片
數位部兩隻箭:投入資源輔導業者、建立情資分享平台
數位部數位產業署去年8月底接手無店面零售業和軟體出版業、電腦系統設計服務業的個資安全維護, 副署長林俊秀拿出11月數位部預告的《個人非公務機關個資維護管理辦法草案》,表示強化管理網購平台個資問題的決心。
林俊秀說,處理業者個資外洩的流程是,一旦接到警政署移交的高風險平台資料,72小時內會通報國發會,也會立即發函給業者要求20天內函覆個資外洩的原因,接著數發署會同資安專業人員審查業者回函(15天)並列出補充和改善建議,回函業者要求20日內改善並函覆, 如果審查過程中發現有違法缺失或業者改善情況不佳,最後都會啟動行政檢查,再無改善才有裁罰可能。改善完成後還需2到3個月的觀察期,確認資料沒有持續外洩才算結案。
林俊秀指出,目前數發署採取的策略是投入資源協助、輔導業者,和推動業者彼此分享情資。輔導業者的面向是投入資金,透過無店面零售公會協助中小型電商辦理資安弱點掃描,藉此協助業者強化資安,部分資金甚至做了高成本的紅隊演練和模擬駭客攻擊的滲透測試。
數發署現正推動業者彼此分享資安情資,像是如果有業者發現駭客透過特定模式或路徑入侵,就能透過機制通知其他平台、即時補強;同時也鼓勵業者分享改善經驗。
「我常常跟他們講,『你不能在這比壞的啊,你要比好的!』大家有共同有利益,不需要在這裡競爭。」林俊秀說。針對沒有資安概念也不知道該找誰協助的小型業者,林俊秀導入從前在工業局的做法,提供業者機關內部確認、登錄的資安業者名單,加快業者的處理腳步。
針對相關部會的作法,謝衣鳳表示,從戶政資料在網路販賣到健保署個資外洩,顯示各部會都面臨資安問題,由於政府機構能提供的薪資遠低業界,導致部會和公務體系的科技人才嚴重不足。她指出,我國在強調數位發展、電商產業和數位金融創新時,相對也需要科技人才投入政府和產業界,他曾提醒高教司務必協助學校培育資訊安全人才,未來也需要跨部會整合解決人才短缺問題。