據刑事局分析165反詐騙諮詢專線民眾報案資料發現,近期駭客以假冒「蝦皮拍賣」、「旋轉拍賣」等C2C交易平台網頁進行釣魚網站攻擊,主要係為盜取大量民眾網路交易個人資料,然後進行解除分期付款詐騙,這兩個平台已蟬聯5週高風險賣場第1名、第2名。
對此,數位部周一(3/13)指出,這類高風險網路零售業者數位部已經處分限期改正,未改正將會予以裁罰。根據《個資法》第48條未改正者,將按次處新台幣2萬元以上20萬元以下罰鍰。
刑事局表示,台灣民眾愛用的網購平台「蝦皮拍賣」、「旋轉拍賣」係屬新加坡外商公司所有,在國內僅少數行政管理人員,更無設置專業資安團隊協助民眾帳號、密碼遭到入侵後防護。
根據刑事局統計,去年6月至今年2月為止,警方已函送數位發展部、衛生福利部、交通部、教育部、經濟部、文化部、通傳會等7部會共計上百家疑似外洩個資之電商,但發動行政檢查要求改善者僅約占少數1成,且近1年來均無裁罰紀錄,對於罔顧資安之不肖電商業者並無約束力。
反觀,個資外洩造成的解除分期付款詐騙案,光2個月發生件數可高達近千件,財損超過新臺幣1億多元,與電商投資之資安成本大相逕庭,雖行政院3月2日已定調未來個資法修法及提高裁罰額度,但在個資法尚未修法之前,刑事局亦持續促請各目的事業主管機關共同協力監督電商,並加速違規業者行政裁罰以改善資安,共同防堵詐騙事件發生。
對此,數位部3/13發布新聞稿表示,對於經濟部移撥及刑事局來文有關網路零售業者個資外洩報案資料均積極依規定處理,亦於去年第4季陸續接獲後,隨即依個人資料保護法(下稱個資法)相關規定,已在1月27日發函各業者提出說明,並要求業者改善資安及個資保護措施,另針對緊急案件、社會矚目案件、顯無改善或六個月內頻傳外洩之案件,數位部產業署即邀集刑事局、資訊及法律專家進行行政檢查。
數位部表示,經行政檢查認定有違反個資法情形業者,數位部產業署已分別依個資法第12條、第27條第1項及第48條第2款及第4款規定,對各家違法業者各作出限期改正處分,數位部產業署對於限期改正的業者,持續關切改正進度。
數位部指出,改正期限為2個月,因此等到3月底會再針對違法業者進行檢查,若檢查後發現仍未改正,就會進行裁罰,也嚴正提醒業者逾期未改正或改正未如預期者,數位部產業署將依個資法第48條及第50條裁罰,將可以按次連續處罰罰鍰到業者改正為止。
數位部表示,除持續針對本部所管網路零售業者洩漏個資事件進行行政檢查外,為提升網路零售業者的資安防護能力,主動對所管業者進行資安健檢,輔導改善資安系統,媒合資安業者進行資安測試及紅隊演練,檢視系統是否有資安漏洞,輔導與督促業者投資改善資安。
數位部並召集主要電商業者、無店面公會等產業公協會等討論改善資安措施,同時要求業者與檢、警、調共同建立資安聯防情資分享及通報機制平臺,分享駭客手法、詐騙情資、可疑的會員帳號或假地址等等,以利業者因應。數位部提醒民眾注意高風險電商,避免透過漠視個資保護電商網站進行交易或合作,以保障個資安全。