國立成功大學  研究發展處
BANYAN
第十卷 第六期 - 2009年九月十一日
加入書籤 RSS 訂閱『榕園』
評論
楊永年
織起網購安全網
文摘
羅裕龍
無孔徑型掃描式近場光學顯微鏡之外差干涉調變訊號分析
許進恭
利用主動層部分摻雜及電流侷限孔徑結構製作高速氮化鎵綠光發光二極體
朱聖緣
ZnO:Mg/LiNbO3拉福波元件之研究
文摘
吳華林
凝血酶調節素的類凝集素功能區專一性的與路易士Y抗原結合以中和脂多醣誘導的發炎反應
新聞消息
新聞
成大駐校藝術家義賣作品賑災、台達電子與成大打造災區綠色生態小學
榕園論壇
機會
活動
編輯室
織起網購安全網
楊永年

成功大學政治系教授、研究發展處企劃組長兼 副研發長


本文原刊於2009-06-15 中國時報

昨驚爆東森購物網站外漏八千筆個人信用卡交易資料,在網購愈來愈頻繁的現今,讓社會大眾感到十分不安。特別是許多被害人,接到詐騙電話且被騙後才知道,原來個資已被廉價「賣」給歹徒,甚至可能更多被害人不知道個資遭歹徒不當運用。個資可能被歹徒用來詐騙、綁架、勒索或其它不當用途,造成被害人身心遭受嚴重創傷的社會問題。然而,造成個資嚴重洩漏的原因在那裡?誰該負責?

首先,業者既然有心投入網購,原本就應同時投資網路安全,不應該那麼不負責任,讓購物網站如此輕易就可以被歹徒安裝木馬程式,使得消費者的個人資料曝露在如此不安全的環境。業者透過網購營利,就有義務提供純淨安全的購物環境。就像一般購物商店,如果無法提供純淨安全的消費空間,會漸被消費者唾棄。換言之,個資外洩,業者要負最大的責任,就像公司必須為其產品瑕疵負完全責任的道理一樣。業者必須投資軟硬體設備與網羅資訊安全人員,積極改善網購個資安全保護(我們很少聽聞網路銀行業者有個資洩漏問題,原因即在於他們存在危機意識),否則類似個資洩漏問題將層出不窮。

但業者卻認為他是受害者,因為網站被放木馬程式側錄個資,他們可能不知道(當然也可能知道)。媒體報導顯示,東森網路個資洩漏不是今天才發生,過去就經常發生,顯然業者沒有反省能力,或作者懷疑業者根本沒有誠意(願意花錢投資網路安全維護)解決問題。鼓勵消費者抵制不負責任的業者,若無政府強制規範成效恐怕有限。因此,另一個問題是,如何強化政府規範黑心網購商店的管制機制?

簡單說,目前個資洩漏問題的直接原因是政府監督不足,背後可能因為網路安全缺乏主管機關,才使得個資洩漏問題得不到解決。因此除了業者,政府也有責任健全管制機制。但那個政府部門應該負責?行政院設有資通會報,但類似這樣的個案,可能上不了資通會報,因為這與國家安全不直接相關。或即便上了資通會報(因只是任務編組),解決問題的能力有限,因為大家可能互推責任。所以還是要找到主管機關負責,但到底誰是管機關?

事實上,網路個資洩漏與網路詐騙發生後的處理,是(網路)警察的責任。然而,警察只管末端的犯罪問題,關於網路資訊安全的管理,就非警察權責能力所及。所以,就目前而言,NCC應該是網路購物的主管機關。只是,NCC可能因為缺乏法令或管制經驗,使得政府管制業者的功能不彰。目前政府對於業者在網路安全規範與監督,可以說呈現真空狀態,使得類似問題層出不窮。網購個資洩漏管制政策的釐訂,絕對是政府的責任,而最好是由熟悉業務的NCC主動出擊,提出法令解套或管理方案,這也才是正本清源的方法。

此外,如果承辦網路資訊安全相關案件的警察知道問題的嚴重性,也知道問題的源頭在NCC的管制政策,應該有機制讓屬於「上級」的NCC立即重視。但以目前的運作模式,這樣的聯繫或合作機制似乎並不存在,而這也是我們(政府)可以努力的方向。甚至,如果立法院能立即設計求償機制(法令),讓個資外洩的被害人可以向業者或主管機關「求償」,相信業者與主管機關馬上會動起來,讓民眾的個資獲得保障。

Copyright National Cheng Kung University