公報發言紀錄

發言片段

lineno: 707

發言片段: 0
洪委員申翰:(11時26分)最近發生非常多起重大資安事件,我就不多說了,不只是上個禮拜,甚至電子發票的問題從民間的駭客發現以後,也一段時間了,包括上週又發生YouBike系統有2.1萬筆會員資料外洩的事情。這些事情都會讓大家很懷疑,我們到底是不是真的有落實所謂資安就是國安這樣的原則?根據資通安全管理法第五條,寫得很清楚,主管機關需要對公務機關資通安全維護計畫實施情形進行稽核,還有資通安全發展的方案,所以我找了資安署做的公務機關資安稽核概況報告來看。我在報告裡面看到,資安署對於財政部的稽核有107年跟109年兩次,107年資安署在8到9月的稽核過程,有針對現在財政部財政資訊中心,也就是這次電子發票服務整合平臺出包的這個中心進行技術檢核跟實地稽核;109年則是針對財政部的文書檔案管理系統,並不是針對全機關。
電子發票整合服務平臺從民國96年就上線,所以107年當時針對財政部資訊中心稽核,這個平臺其實已經上線,並不是稽核後才上線。我們從報導也看得出來,這應該是長達7年以上的問題,也就是107年稽核的時候就存在。但從當初的稽核概況報告看不到對個別機關的稽核結果,看到的是共同發現的待改進事項,所以107年你們就針對資訊中心稽核過,但5年後的現在發現這個錯誤,看起來有兩種可能:第一種可能是當時稽核的時候,問題沒有被偵測出來的;第二種可能是當時稽核有偵測出來,但機關沒有改善。部長,狀況是第一種,還是第二種?
發言片段: 1
主席:請數位部唐部長說明。
發言片段: 2
唐部長鳳:委員好。以我所知,比較可能是第一種,當時技術面的結合有看到有密碼管理的policy,也有要求使用者初次登錄改密碼等等,但是並沒有實地看到兩個使用者給的密碼相同。
發言片段: 3
洪委員申翰:為什麼稽核的時候沒有偵測出來?是稽核方法還存在漏洞跟缺失,還是稽核的設計太高估了行政部門的資安能力?
發言片段: 4
唐部長鳳:這就是為什麼我們今年特別在技術面把它放大,做一個叫韌性巡檢,就是希望能夠事先找出這些共通元件上常見的共通樣態問題。
發言片段: 5
洪委員申翰:可是這次的巡檢還是靠民間的駭客巡檢,不是行政部門自己巡檢!
發言片段: 6
唐部長鳳:有一些民間駭客加入資安院,即將發布巡檢。
發言片段: 7
洪委員申翰:但是這次的發現不是在政府的計畫裡面。
發言片段: 8
唐部長鳳:我同意。
發言片段: 9
洪委員申翰:我現在的問題是,為什麼你們稽核的作法看起來還沒有辦法阻止問題發生?也就是稽核的項目跟範圍是不是必須擴大?
發言片段: 10
唐部長鳳:所以這一次我們有把這個樣態特別加到未來稽核的項目裡。
發言片段: 11
洪委員申翰:這部分可不可以在兩週內給我們一個報告?針對這次的事件,我們在稽核的範圍跟擴大強度上要做出什麼調整?我們不希望我們再去檢查之後發現結果還是一樣,沒有發現問題,兩週內可以給我報告嗎?
發言片段: 12
唐部長鳳:已經改好了,所以兩週內應該可以。
發言片段: 13
洪委員申翰:我接下來想繼續問財政部另外一個問題,其實電子發票整合服務平臺不只這一次發生狀況,民眾在消費的時候,掃完財政部的手機條碼、完成發票歸戶以後,其實這些電子發票就會存在財政部的系統裡面,請問財政部,這些發票跟消費紀錄會保存多久?
發言片段: 14
主席:請財政部財資中心張主任說明。
發言片段: 15
張主任文熙:目前法規定消費紀錄是7年。
發言片段: 16
洪委員申翰:保存7年是不是?所以它會一直留著,包括保存紀錄、電子發票的號碼、交易明細、交易金額、店家統編,但問題來了,一般民眾要上系統查的時候,只能查到自己近半年的資料,但這個資料會保存在你們系統裡7年是不是?
發言片段: 17
張主任文熙:就是法規查證的時間,但是……
發言片段: 18
洪委員申翰:但是我的理解是會永久保存的,7年以前的資料還是會持續保持,現在沒有任何一個機制會把過去存在這個系統裡面的資料給刪除掉,是不是這樣?我們現在是不是連7年前的資料都保存著?
發言片段: 19
張主任文熙:主要是一開始96年使用的那時候,沒有消費者的電子發票,詳細的時間可能是100年以後才有所謂的……
發言片段: 20
洪委員申翰:所以我現在問你,到底這些消費紀錄跟發票資料,包括交易金額、店家統編等所有的交易資訊都會被保存在財政部的系統裡面,請問會保存多久?
發言片段: 21
張主任文熙:就是7年以上。
發言片段: 22
洪委員申翰:以上是到什麼程度?什麼叫7年以上?
發言片段: 23
張主任文熙:因為之前……
發言片段: 24
洪委員申翰:就我理解是永久,因為你們沒有刪除的機制。
發言片段: 25
張主任文熙:是。
發言片段: 26
洪委員申翰:其實就是永久嘛!我有一個問題,為什麼民眾只能查自己近半年的資料,可是行政機關卻會永久保存?
發言片段: 27
張主任文熙:主要是兌領獎的關係。
發言片段: 28
洪委員申翰:兌什麼?
發言片段: 29
張主任文熙:兌領獎,就是……
發言片段: 30
洪委員申翰:兌領獎的關係?都領完了,為什麼還要保存這麼久?為什麼要永久保存?
發言片段: 31
張主任文熙:因為領獎有……
發言片段: 32
洪委員申翰:十年前我的消費如果中獎了,我現在還能再領獎嗎?
發言片段: 33
張主任文熙:因為領獎有三個月的期限,所以我們剛才有講……
發言片段: 34
洪委員申翰:照理來說應該只要保存三個月、頂多一倍變成半年,為什麼保存期限是永久?所以十年前的消費如果中獎了,我今天還可以領獎的意思嗎?
發言片段: 35
張主任文熙:不行,這個我們會來做檢討。
發言片段: 36
洪委員申翰:那你為什麼要永久保存?
發言片段: 37
張主任文熙:這個我們會再做檢討。
發言片段: 38
洪委員申翰:所以今天如果有正當的理由,有法規的授權,你要保留多久,這可以討論,但現在看起來你講不出理由來啊!連民眾都只能查到自己近半年的資料,但我們卻永久保存,甚至現在財政部的資安是這麼不受信任的狀況之下,為什麼不設一個明確的期限,到底正當的理由是什麼,我們就保存多久,時間到就該刪除,這是在資安的概念裡面應該有的事情。
發言片段: 39
張主任文熙:是,這部分我們會再檢討,之前主要有……
發言片段: 40
洪委員申翰:兌領獎只有三個月。
發言片段: 41
張主任文熙:兌領獎是我們這邊……
發言片段: 42
洪委員申翰:你拿兌領獎來講,那我們只該保存三個月。
發言片段: 43
張主任文熙:因為還有稅務的問題……
發言片段: 44
洪委員申翰:所以到底有什麼正當的理由,你們拿出來講OK,可是不應該永久保存這些資料啊!
發言片段: 45
張主任文熙:我回去整理後再跟委員報告。
發言片段: 46
洪委員申翰:所以我想問財政部,可不可以在兩個月內研議出正當的理由跟正當的期限是什麼,期限一到就應該刪除這些民眾在電子發票整合服務平臺上面的電子足跡,兩個月可以嗎?
發言片段: 47
張主任文熙:是,我們依照委員指示辦理。
發言片段: 48
洪委員申翰:兩個月提出相關的機制跟報告,好不好?謝謝。
發言片段: 49
主席:請李委員貴敏發言。

公報詮釋資料

page_end 264
meet_id 委員會-10-7-23-11
speakers ["陳雪生","邱臣遠","林楚茵","陳椒華","林俊憲","陳素月","蔡培慧","李昆澤","邱顯智","何欣純","許智傑","游毓蘭","鍾佳濱","江啟臣","洪申翰","李貴敏","王鴻薇","劉櫂豪","魯明哲","鄭天財Sra Kacaw","高嘉瑜","王婉諭","張其祿","趙正宇","洪孟楷","陳歐珀","吳欣盈","傅崐萁"]
page_start 189
meetingDate ["2023-05-22"]
gazette_id 1125902
agenda_lcidc_ids ["1125902_00005"]
meet_name 立法院第10屆第7會期交通委員會第11次全體委員會議紀錄
content 一、邀請數位發展部及財政部就「『電子發票整合服務平台』登入系統出現資安缺失,如何就全 國政府部門各系統進行資安系統盤點及改善」進行專題報告,並備質詢;二、審查委員賴品妤等 36人擬具「資通安全管理法部分條文修正草案」案;三、繼續審查委員陳以信等16人擬具「資通 安全管理法第二條條文修正草案」案;四、審查台灣民眾黨黨團擬具「資通安全管理法第三條及 第七條條文修正草案」案;五、繼續審查委員林楚茵等18人擬具「資通安全管理法第十一條條文 修正草案」案
agenda_id 1125902_00004