重大個資外洩...
」
顧立雄及情報人員等個資外洩 國防部坦承:作業程序有疏漏
國防部今(21)日傳出發生重大洩密事件,有政風室承辦人員以電子郵件方式傳送資料給申報人,導致部長顧立雄、參謀總長梅家樹等人的個人資料全部流出。對此,國防部發布新聞稿表示,經檢視確有部分身分具機敏性,不宜隨文發出,作業程序有所疏漏。後續將檢討疏責,強化公文作業暨管制流程,以防範類案再生。根據《中時新聞網》今日獨家報導,這起重大個資外洩事件發生在上周,知情人士表示,國防部政風室目前正在進行包括所有將官、參謀總長及部長等人財產申報,因此陸續將申報資料傳送給個人,未料有承辦人員誤將記載所有人員財產資料名冊檔案,當成檔案附件一併寄出給申報人及各軍種承辦人員,導致重要資料被看光光。知情人士還提到,軍情局人員身分資料屬於極機密,因此在單位內外全使用化名,但該份名冊卻羅列了軍情局所有申報人員真實姓名,等同讓極機密情報員身分曝光,恐造成極度嚴重人身危害。對此國防部今日表示,國防部政風室依據國軍人員財產申報實施規定,於113年10月15日將「應辦理財產申報人員名冊」函送國防部申報作業轄管單位(不含各軍種),辦理定期申報授權作業。經檢視確有部分身分具機敏性,不宜隨文發出,作業程序有所疏漏。國防部進一步指出,名冊包含「服務機關、職稱、姓名、申報年度」等資訊,但不包含個人存款、不動產、投資等申報資料。國防部已於第一時間,要求各收文單位,採取公文系統退件等方式,進行風險管控;後續將檢討疏責,強化公文作業暨管制流程,以防範類案再生。
紐澳驚傳重大個資外洩事件 金融公司認790萬人駕照號碼遭駭
澳洲一家數位金融貸款公司Latitude Holdings於27日表示,他們在3月16日時遭遇了駭客的攻擊,結果事後檢查後,發現有790萬筆澳洲與紐西蘭用戶的駕照號碼遭到盜取,同時還有5.3萬筆護照號碼也被盜取。根據《CNN》報導指出,這間位於澳洲的數位金融公司Latitude Holdings於27日發表聲明,內容中指出,他們在3月16日遭到駭客攻擊,事後清查後發現,有790萬筆澳洲與紐西蘭用戶的駕照號碼被盜取,同時還有5.3萬筆護照號碼,與近百名客戶的樂度財務報表均被盜取。Latitude Holdings執行長法赫爾(Ahmed Fahour)也表示,他們目前正在修復這起攻擊事件受影響的平台,估計在未來幾天內會恢復正常運作,同時也會加強額外的安全監控。而法赫爾也表示,如果用戶因此事件而跑去更換證件的話,更換證件的用戶可以獲得公司的補償。整起事件曝光後,也讓Latitude Holdings的股價下跌2.5%,目前是以1.18澳幣坐收。但報導中也指出,其實從16日事情發生之後,該公司的股價就已經先下跌了2.1%。
防私人企業個資外洩 陳建仁:提高罰責並設獨立監督機關
行政院長陳建仁今(2)日在行政院會聽取國家發展委員會「防止非公務機關個資外洩精進措施」報告後表示,為建構更完善的個資防護機制,強化業者防護能力,國發會提出「強化聯繫會議功能」、「提高違反個資法罰則」及「設立個資保護獨立監督機關」等三大精進策略,並將參考國際立法例,推動個資法修正,提高罰則、加強保護受害人;此外,為解決目前個資法分散式管理下的實務監管問題,也將推動設置個資保護的獨立監督機關。陳建仁指出,近期發生數例非公務機關個資外洩事件,引發社會大眾高度關注,外洩個資時常遭到犯罪集團不法利用,進而造成當事人權利損害,加以個資外洩事件的受害者為數眾多,因此,政府有責任建構更完善的防護機制,避免類似事件再次發生。陳建仁所提出的三大策略中,首先,在「強化聯繫會議功能」,為防範未然,各部會應成立「個資行政檢查小組」,各目的事業主管機關也應每年擬定行政檢查計畫,優先針對高風險業者,強化例行性的行政查核;數位部需協助部會建立分級規範與技術規格,並適時協助行政檢查。陳院長進一步指出,在重大矚目案件的通報與監督程序方面,各部會及其主管事業在發生重大個資外洩事件時,必須依據現行聯繫機制,在24小時內通報國發會及數位部,並偕同數位部及國家資通安全研究院於3日內進行行政調查、10日內完成調查報告,依個資法規定命其限期改正或予以裁處,必要時由國發會提報至行政院,於行政調查報告完成後2週內召開會議檢視。其次,在「提高違反個資法罰則」方面,陳建仁表示,參考國際對違反個資安全維護義務的行政處罰,例如,歐盟是採全球營業額的2%,或固定額最高折合新台幣3.3億元的處罰,我國最高罰鍰金額上限僅20萬元,顯然無法促使業者重視資安。因此,政府也會推動「個人資料保護法」修正,提高罰則、加強保護受害人,同時也促使私部門更加重視個資蒐集的保護機制,並提高投入資安防護,以防範個資外流。陳建仁指出,在「設立個資保護獨立監督機關」方面,去年8月憲法法庭宣示第13號判決,已要求相關機關應於3年內完成個資保護獨立監督機制,而行政院同年5月公布的「國家人權行動計畫」,亦已將「設置獨立隱私專責機關」列入計畫項目,也將隨即成立修法專案小組,開始推動設置個資保護的獨立監督機關。
重大個資外洩事件連環爆 國安、軍情局也淪陷
近年爆發多個重大個資外洩事件,且是從戶政、健保公部門到民間企業私部門,還傳出連8大情資系統如國安局、軍情局等個資也全遭外洩,甚至在海外遭販賣;另根據警政署統計,2022年詐欺案,預期創下10年新高紀錄,消基會指出,很大一部分是來自於個資外洩情事。盤點近年來重大個資外洩事件,2019年6月,銓敘部59萬多筆文官服務單位職稱等個資外洩,8大情資系統如國安局、軍情局、調查局、警政署、檢察、海巡、政風及憲兵全流出,並在國外論壇以10歐元(約台幣350元)遭販售;同年7月,1111人力銀行又傳出20筆個資外洩。2020年、2022年陸續又傳出有駭客以5000美元價格,便宜兜售我國全國民眾2357萬筆戶政資料,資料鉅細靡遺包括姓名、身分證字號、戶號、生日、婚姻狀態、親屬關係、地址、出生地、配偶與父母姓名及身分證字號等。不僅如此,隨後更爆出已退休健保署官員,涉嫌在2009年到2022年間,將健保被保險人資料洩漏給他人,時間長達13年;私部門還有華航會員資料庫300萬筆個資外洩,包括副總統賴清德、台積電創辦人張忠謀、鴻海創辦人郭台銘、女星林志玲等,華航甚至收到匿名網路勒贖信;而今年春節剛過,又傳出和泰汽車旗下iRent外洩個資達40萬筆,另一家租車業者格上也有1.6萬名客戶受害。消費者文教基金會董事長吳榮達表示,個資外洩發生的核心關鍵在於政府不夠重視資料的保全與查核,現行個資法主管機關散見各目的主管機關,人少事繁,管理經驗值又偏低,以致在管理、查核上經常力有未逮,呼籲數位部成立後應整合各部會工作,並訂定指引或範本讓各部會得以遵循,此外也建議提高修法,增加嚇阻力,才能促使各部門重視資安議題。
國家資通安全研究院揭牌 鄭文燦:集武林高手之大成
行政院副院長鄭文燦今(10)日陪同蔡英文總統出席在數位發展部舉行的「國家資通安全研究院揭牌典禮」時表示,蔡總統上任後,政府積極推動數位轉型、數位韌性及數位永續等三大目標,今日國家資通安全研究院成立後,將成為數位部在資安政策、產業及相關服務上最堅強的後盾;針對近來國內公、私部門發生幾起重大個資外洩事件,政府亦已就個資保護規劃短期強化方案,並研議修正《個人資料保護法》,以提高罰則及建立個資保護獨立監督機制。鄭文燦指出,過去6年多來,台灣投入數位建設的經費遠勝以往,而數位部於去年8月成立後,下轄數位產業署及資通安全署等機關,更致力推動數位培力、資安保護及數位韌性等工作,再加上今日成立的國家資通安全研究院,更是集「武林高手」之大成,將成為數位部在資安政策、產業及相關服務上最堅強的後盾。鄭副院長也特別感謝蘇貞昌前院長於任內核定國家資通安全研究院的人力與預算,使該研究院今日得以順利掛牌成立。「資安即國安,加以國人近年來對於個人資料保護極為重視,因此政府部門必須採用新觀念來維護國家關鍵基礎建設及大型資訊系統,使台灣資訊安全及個資保護更臻完善。」鄭文燦說,行政院長陳建仁上任後,特別重視《資通安全管理法》與《個人資料保護法》,已指示他協助落實;此外,蔡總統亦已請行政院在資安軟硬體預算、專責人力及資料存取標準作業流程等方面建立新制度,他相信數位部定能有效達成此一任務。鄭文燦說,近來國內公、私部門發生幾起重大個資外洩事件,如iRent客戶個資外洩一案,政府已依照蔡總統指示,必須強化事前防護、事後處理,以迅速、有效的方式因應。行政院對於強化個資保護,短期做法是責成各機關及其主管事業,在發生重大矚目事件時必須立即通報,並由個資行政檢查小組會同數位部、國家資通安全研究院於3日內進行行政檢查,10日內完成檢查報告,2週內提報到行政院政務委員所主持的專案會議進行報告,以利後續處分決策。鄭文燦對中長期的做法表示,因為《個人資料保護法》已有一段時日未修正,國家發展委員會及數位部皆認為違反個資法處新台幣2萬元以上20萬元以下罰鍰之罰則太輕,因此後續將推動修法工作,提高罰則。此外,針對憲法法庭判決提及,政府需建立個資保護獨立監督機制,並應自判決宣示之日起3年內,制定或修正相關法律。所以在建立個資獨立監督機制的部分,政府也會在後續個資法修法中落實。
2300萬戶政資料全外洩 立委批行政院還在睡
立法委員邱顯智、王婉諭今(9)日舉辦「2300萬戶政資料全外洩、行政院還在睡?」記者會指出,今年10月媒體揭露,我國戶政資料遭駭客於外國論壇公開兜售,然而訊息揭露後,相關部會僅說明該批個資均是舊資料,否認由戶政系統外洩,並無後績作為。王婉諭表示,有匿名人士提出在這批上網兜售的資料中她與家人的個資,證明外洩情況嚴重,呼籲行政院除說明目前國人個資遭外洩的情形外,也應有積極作為。王婉諭說,媒體十月揭露戶政資料外洩後,相關機關曾說明經初步比對,此資料早在2020年即在其他暗網遭兜售,但經過民間匿名人士提供資料顯示,今年駭客所販售的資料,卻包含超過2300萬筆不重複之身分證字號,已幾乎是全體國人數目,且此次項目鉅細靡遺含括了姓名、身份證字號、戶號、生日、婚姻狀態、親屬關係、原民註記、地址、出生地、兵役狀況、配偶與父母姓名及身分證字號等各項資訊,遠超過2020年遭兜售的資料,除政府部門外,恐沒有民間單位有能力掌握到如此完整的資訊。王婉諭說,近日匿名人士聯繫她與邱顯智辦公室,提供該批外洩資料中邱、王委員及其所有家屬之戶政資料,相當震驚也相當令人遺憾的是,經檢視後亦證實其正確性。王婉諭表示,事件發生後,包含內政部及數發部,均僅回應「格式與戶政系統差異大」、「是舊資料拼湊而成」、「資料均存在內網並未洩漏」等說詞,否認資料是由戶政系統流出。但縱使該批個資未必「直接」由戶政系統流出,但政府面對此類重大個資外洩事件,有絕對的責任進行調查,並且應向國人完整說明這將造成怎樣的風險,才能讓人民得以提高警覺。邱顯智表示,該事件發生後,政府部門做的第一件事,是用似是而非的說詞,來轉移焦點、推卸責任。只推託資料並非由政府部門流出,但對於這批個資會否被不肖之徒應用,使國人遭詐騙集團進一步肆虐,也讓國人人身安全令人憂慮。邱顯智強調,一個月過去了,到底是哪個環節洩漏了資料,政府部門調查的結果,應盡快對外界說明,不論外洩源頭何在,政府是一體的,行政院應該承擔責任,將現行個資遭外洩程度與內容,向全國人民說明個人資料被侵害之事實及已採取之因應措施。邱顯智也說明,根據銓敘部統計,2021年全國公務人員僅有不到百分之一,約3500人屬於資通安全專業,又此類人員長期短缺,導致政府部門資安防護大量仰賴委外辦理。然而,從此次戶政資料外洩個案來看,該國外論壇尚有駭客兜售我國高達2811萬筆勞保資料、168萬筆證券交易資料,均一再凸顯我國政府部門資通安全須再加強。