公報發言紀錄
發言片段
lineno: 932
| 發言片段: 0 |
|---|
| 高委員嘉瑜:(12時11分)本席要請教唐鳳部長,最近財政部的電子發票整合平臺發現竟然歷時13年都沒有更換密碼,所有公司都用同一組預設的密碼,就被一位所謂白帽駭客踢爆說有130家以上上市公司的名單都在裡面,其中也包含會員資料、有發票往來的廠商、交易明細與發票金額等等,這些問題請問數發部之前知道嗎? |
| 發言片段: 1 |
| 主席:請數位部唐部長說明。 |
| 發言片段: 2 |
| 唐部長鳳:是我那位白帽駭客朋友告訴我才知道。 |
| 發言片段: 3 |
| 高委員嘉瑜:對,所以我的問題就是,像政府現在有很多類似這種資安問題的事情,數發部有沒有在做這樣子的一個稽核?去查核哪邊有問題,怎麼幫大家去找出問題來?還是現在對於資安的部分,各部會還是自行其政啊?數發部對這件事情到底是不是需要介入去協助瞭解狀況?你們有沒有再去做這樣子的一個瞭解呢? |
| 發言片段: 4 |
| 唐部長鳳:有的,我們今年所謂的韌性巡檢,由全國各職司的這些機關純粹就技術面去找到共通元件的問題,也有一些民間的白帽駭客朋友,為了要做這件事情加入我們資安院。 |
| 發言片段: 5 |
| 高委員嘉瑜:我要瞭解的地方是,數發部是從今年開始,現在正在做,請問一下,現在公部門有這麼多龐大的資料庫,在各個地方都有可能會發生像這樣的問題,所以資安院完全是不知不覺、完全是後知後覺,還要別人幫忙去盤點、去找出問題,這樣子的一個公務機關,第一個,數發部如何協助他們,多久之內可以把這些問題全部找出來?保證以後不會有問題。 |
| 發言片段: 6 |
| 唐部長鳳:對,我想這一次已經做了一個教案,我們透過今年的巡檢累積出類似的這種態樣,年底前會有一個共通態樣的通報。 |
| 發言片段: 7 |
| 高委員嘉瑜:所以年底前數發部會針對公務機關全面對資安做稽核,找出問題、發現問題、解決問題,然後今年年底之後就不會再有類似的問題發生,是這樣嗎? |
| 發言片段: 8 |
| 唐部長鳳:就是以我們所偵測到的這些共通元件,以及共通的問題態樣,我們會優先針對這些來解決。 |
| 發言片段: 9 |
| 高委員嘉瑜:不是只是這些問題,而是你到底多久之內可以把現在公務機關所面臨資安外洩的風險,先把自己做好,不要一直讓別人來發現我們的問題,這樣大家就會把問題丟給數發部說,數發部到底在幹什麼?如果你們今年沒有辦法做好,你們要多久可以做好? |
| 發言片段: 10 |
| 唐部長鳳:不過委員剛剛提到的就是守望相助,民間所謂See something,say something.這個是…… |
| 發言片段: 11 |
| 高委員嘉瑜:不是守望相助,資料已經被外洩了還在守望相助,現在的問題是,有多少資料被外洩也是一個問題哦!數發部對於這件事情,今天報告的內容也是請財政部、請相關的單位來報告,做案情的分析,但是完全沒有做後續的處理,包括這些廠商、上櫃公司他們想要知道,我到底資料有沒有被外洩?我有沒有被其他人登入?這個登入紀錄在哪裡?這些公司到現在不得而知耶!因為依照我們的個資法,如果我個資外洩了,這些公司、這些主管機關應該要通知個資被外洩的人員等等,這個是依照資安法的規定,也必須要通報。現在財政部的電子發票平臺很明顯已經是外洩的狀況之下,有多少人的個資已經外洩了?多少個資外洩的事情完成不知道,數發部可以協助他們建置一個登入紀錄的查詢功能跟e-mail的登入通知,讓這些被盜用的公司、機密外洩的公司知道嗎? |
| 發言片段: 12 |
| 唐部長鳳:這個本來他們就有做資安通報,我們也有做必要的輔導,不過…… |
| 發言片段: 13 |
| 高委員嘉瑜:因為現在是沒有登入紀錄的查詢,就是我們有資料庫知道某家公司的電子發票系統有哪些人登入,但是我作為商家的、公司的,我想要知道哪些人登入我的帳號,我沒辦法查詢。 |
| 發言片段: 14 |
| 唐部長鳳:有,資安署也有請財政部再加上這個功能,如果上次不是你登入,他是從哪裡登入的等等,IP位址都有。 |
| 發言片段: 15 |
| 高委員嘉瑜:對,那是後來,過去的這些紀錄有沒有辦法協助這些公司去瞭解它的資料可能已經被外洩了,協助他們知道。 |
| 發言片段: 16 |
| 唐部長鳳:主動通知的部分,我們進一步跟財政部來處理。 |
| 發言片段: 17 |
| 高委員嘉瑜:好不好?這個部分需要有一個登入紀錄的查詢功能,讓公司知道他們的資料已經被外洩了。剛剛講如果連我們公務機關自己都做不好,怎麼去稽查啊?過去3年民間個資外洩的,我們所查到的只有32件,難道只有32件嗎?絕對遠遠不只。所以你們現在第一個,自己都自身難保了;第二個,如何去做民間的稽查,數發部如何來協助? |
| 發言片段: 18 |
| 唐部長鳳:不過委員剛剛提到的這個表格,我們上次備詢的時候委員有show出來過,當時我是說個資法三讀通過之後,右邊就不會變成只罰鍰3件,而是至少會跟左邊一樣處罰32件;接下來是,只要我們發現這個事實確實是有個資外洩,就先裁罰再要求改善,對於這些相關的電商來講…… |
| 發言片段: 19 |
| 高委員嘉瑜:現在是說源頭,我們不希望有個資外洩,不管你是裁罰或是什麼,這些都是新聞揭露以後我們才知道的,而且只有32件這才是問題,絕對遠遠不只32件,而是32萬件都不只。在這樣子的情況之下,我們現在就問數發部,你們是主管機關,如何去協助民間單位在資安、個資的部分去做好相關的稽核,你們有沒有定期稽查的人力?由數發部來協助各主管機關,定期針對各單位去做抽查等等,去瞭解他們資安外洩的風險和問題,而不是等到外洩之後再來開罰等等,這些都為時已晚了。 |
| 發言片段: 20 |
| 唐部長鳳:這個我完全同意啊!我剛才沒有講完,就是透過我們已知的這幾件案子,在行政調查的時候不是只知道發生什麼事情,而是知道它的根本原因。 |
| 發言片段: 21 |
| 高委員嘉瑜:所以現在的問題是怎麼做? |
| 發言片段: 22 |
| 唐部長鳳:知道根本原因之後,就可以像換防火建材一樣,去導入隱碼技術…… |
| 發言片段: 23 |
| 高委員嘉瑜:對,現在事先對民間單位的資安做行政檢查這件事情,我們想問數發部如何來做? |
| 發言片段: 24 |
| 唐部長鳳:剛才產業署已經有說,我們今年是40家次演練,也包含對裡面大家比較矚目的去做紅隊演練,就是實際請民間資安公司去進行攻擊,就像剛才白帽駭客一樣,搶先在黑帽駭客之前…… |
| 發言片段: 25 |
| 高委員嘉瑜:40家次是要演練到何時?現在民間公司、企業擁有這麼多個資的狀況,你們只針對40家演練,這個真的是不夠。 |
| 發言片段: 26 |
| 唐部長鳳:當然是就高風險的公司來進行,我們整理出這個態樣之後,也會請所有相關的電商,說你只要導入這些新的元件,就比較不會有下游不管是貨運或者金流的部分進一步洩漏個資的情況,這個就是從源頭來解決嘛! |
| 發言片段: 27 |
| 高委員嘉瑜:說實話啦!資安該做的是這些商家本身就應該要做,不是你們在教他們怎麼做,你們循循善誘說他們應該做好什麼什麼,他們有資安外洩就應該要有相關的賠償,甚至這個賠償包括相關的懲處,都應該讓他們感覺到現在不做好可能公司以後會破產等等…… |
| 發言片段: 28 |
| 唐部長鳳:這個罰金提高有幫助啊! |
| 發言片段: 29 |
| 高委員嘉瑜:但是目前的罰鍰真的對他們是不痛不癢啦!你處罰了3件也才罰多少錢而已,對於這些資安外洩所造成民眾後續的損失…… |
| 發言片段: 30 |
| 唐部長鳳:那是舊的個資法,新的個資法罰責已經提高了。 |
| 發言片段: 31 |
| 高委員嘉瑜:但是我們還沒有看到重罰的狀況啊!目前沒有啦?我的意思是,不僅我們自身目前沒有做好,對於民間的要求顯然也不夠,所以就這個部分,我們覺得數發部是難辭其咎,應該要負起責任。部長剛剛說,你們今年年底會針對所有公務機關的部分,先做好相關的共通元件或態樣去做適用,但是這樣子夠嗎?因為現在發生問題之後,數發部都要去承擔,尤其是蝦皮啦!蝦皮就像剛剛所講的,我們也質詢過很多次了,就是很明顯個資外洩的一個賣場,這個個資外洩的風險也被評比為最高,幾乎所有在蝦皮購物過的人都有立刻接到詐騙簡訊的經驗,所以我們要求數發部針對蝦皮要有相關的因應,結果現在是怎麼?蝦皮自己發一個免責聲明,說民眾自己要承擔資安的風險耶!叫民眾自己承擔喔。然後我們問數發部,你們有沒有去瞭解蝦皮個資外洩的狀況?到目前為止,你們說會請他們限期改善,沒有任何開罰的處分。大家質疑到目前為止,104家業者在網路上爆發資安外洩的狀況,但是只有3家被裁罰,尤其是電商洩漏個資完全沒有被裁罰。在這樣的狀況下,未來數發部到底要如何處理蝦皮? |
| 發言片段: 32 |
| 唐部長鳳:不過依新版個資法,只要確定是他們的問題就會裁罰,之後委員應該會看到相當不同的狀況。 |
| 免責聲明內22.3的條款提到「您承認在法律容許的最大限度內」,這幾個字的適法性如何,剛剛產業署有說兩個禮拜之內會做出…… |
| 發言片段: 33 |
| 高委員嘉瑜:蝦皮現在還叫使用者做實名認證,要提供身分證及銀行帳戶等個人資料;這是最新的,5月3日要求民眾提供。 |
| 發言片段: 34 |
| 唐部長鳳:這個是防洗錢的部分吧! |
| 發言片段: 35 |
| 高委員嘉瑜:這樣的賣場你敢提供你的身分證、銀行帳戶等個資給它進行實名認證嗎? |
| 發言片段: 36 |
| 唐部長鳳:第三方支付因為涉及防制洗錢跟打擊資恐,這個是本來就需要做的。 |
| 發言片段: 37 |
| 高委員嘉瑜:對,問題是他們會把我們的個資外洩,沒有做好資安。現在到底是誰要負責任?是我提供給它,所以我自己要做好資安風險管理嗎?他們把責任都推給民眾,民眾自己要承擔,同時又要求提供身分證跟銀行帳戶。 |
| 發言片段: 38 |
| 唐部長鳳:這個是賣家,它如果要賣家提供的話,無形之中也是讓詐騙型態的賣家比較不會出現。 |
| 發言片段: 39 |
| 高委員嘉瑜:不管是賣家或是買家,其實在這個過程中都有個資外洩的風險跟疑慮。數發部針對蝦皮的問題到目前為止都沒有裁罰、沒有任何處理,讓大家覺得很…… |
| 發言片段: 40 |
| 唐部長鳳:我們兩個星期之內會給委員跟社會交代。 |
| 發言片段: 41 |
| 高委員嘉瑜:好。大家認為蝦皮其實是首當其衝,但是到目前都沒有任何處理,這是一個很大問題,數發部要負起責任。 |
| 發言片段: 42 |
| 唐部長鳳:我理解委員的意思。謝謝。 |
| 發言片段: 43 |
| 高委員嘉瑜:謝謝。 |
| 發言片段: 44 |
| 主席:請王委員婉諭發言。 |
公報詮釋資料
| page_end | 264 |
|---|---|
| meet_id | 委員會-10-7-23-11 |
| speakers | ["陳雪生","邱臣遠","林楚茵","陳椒華","林俊憲","陳素月","蔡培慧","李昆澤","邱顯智","何欣純","許智傑","游毓蘭","鍾佳濱","江啟臣","洪申翰","李貴敏","王鴻薇","劉櫂豪","魯明哲","鄭天財Sra Kacaw","高嘉瑜","王婉諭","張其祿","趙正宇","洪孟楷","陳歐珀","吳欣盈","傅崐萁"] |
| page_start | 189 |
| meetingDate | ["2023-05-22"] |
| gazette_id | 1125902 |
| agenda_lcidc_ids | ["1125902_00005"] |
| meet_name | 立法院第10屆第7會期交通委員會第11次全體委員會議紀錄 |
| content | 一、邀請數位發展部及財政部就「『電子發票整合服務平台』登入系統出現資安缺失,如何就全 國政府部門各系統進行資安系統盤點及改善」進行專題報告,並備質詢;二、審查委員賴品妤等 36人擬具「資通安全管理法部分條文修正草案」案;三、繼續審查委員陳以信等16人擬具「資通 安全管理法第二條條文修正草案」案;四、審查台灣民眾黨黨團擬具「資通安全管理法第三條及 第七條條文修正草案」案;五、繼續審查委員林楚茵等18人擬具「資通安全管理法第十一條條文 修正草案」案 |
| agenda_id | 1125902_00004 |