公報發言紀錄
發言片段
lineno: 418
| 發言片段: 0 |
|---|
| 劉委員建國:(10時59分)謝謝主席。今天是副秘書長,那就由你來吧!有件事情就快速地向你請教。剛剛我聽到委員在垂詢的時候,我有聽到你的答復,但是我有再做一些double check,我請副秘書長要慎重地答復我,以免有些不好的狀況發生。 |
| 你們司法院在8月份有主機遭受到駭客入侵,被報導出來的時候,貴院是在11月13日用290字的新聞稿回應這樣的重大事件。新聞稿的重點大概是這樣:「受駭主機為民眾查詢機主機,內容係屬各法院提供民眾查詢相關服務之公開資訊,各法院管理者之帳號密碼則僅用於維護前揭公開資訊,該主機不提供民眾註冊帳號,亦不儲存裁判書。本院檢視前所外洩資料,尚未涉及機敏部分,並持續嚴密監控。」這是你們的新聞稿,應該沒有錯啦!有沒有錯? |
| 發言片段: 1 |
| 黃副秘書長麟倫:跟委員報告,沒有,當時的新聞稿確實是這樣。 |
| 發言片段: 2 |
| 劉委員建國:我個人是覺得這份新聞稿騙外行可以,內行的你哪騙得過去?所以副秘書長,你到底是內行還是外行?我先請教你。 |
| 發言片段: 3 |
| 黃副秘書長麟倫:跟委員報告,當然我本身不是資訊…… |
| 發言片段: 4 |
| 劉委員建國:所以是外行,沒有關係,所以司法院副秘書長是外行,就不曉得秘書長是內行還是外行?你們司法院上上下下應該也會有幾位是內行的嘛!而且主責這件事情的人也應該要非常清楚,所以我覺得這個新聞稿的說辭都把你們騙倒了,還是我不曉得司法院連內行的人都沒有提醒你們,發這樣的新聞稿是有問題的?存心要欺騙你們這幾位主責的? |
| 發言片段: 5 |
| 黃副秘書長麟倫:跟委員報告,因為那時候的新聞稿是說:到當時為止發現的。後來才發現說…… |
| 發言片段: 6 |
| 劉委員建國:你講的,到當時的時候發現,也就在11月13日之前,你們就開始去釐清調查,對不對?所以你才會回答我這句話:那個時候發現,對不對? |
| 發言片段: 7 |
| 黃副秘書長麟倫:那時候還沒有發現有那一個裁判因為那個關鍵系統設計…… |
| 發言片段: 8 |
| 劉委員建國:我還沒有講到那個地方去啦,我現在是確認清楚,到底他要發這個新聞稿之前,副秘書長知道嗎?已經清楚了,對不對? |
| 發言片段: 9 |
| 黃副秘書長麟倫:跟委員報告,是。 |
| 發言片段: 10 |
| 劉委員建國:他講的,應該這麼說,如果你們都知道了,但還沒有審視過就讓這樣的新聞稿可以發出來,我覺得你們都有相關責任,包括你跟秘書長都一樣。你知道那種資訊服務機,我們立院有好幾臺,裡面確實不會有重要的資料啦,只要能連線到資訊服務機,它就有可能有跳板可以開始往內部網域去入侵了,這個邏輯不用專業也應該要知道,這種機器的維修軟體或主控系統難道可以跟你們司法院的資訊系統完全切割開來嗎?司法院在13日的新聞稿說你們是8月發現,但依據媒體的報導,駭客組織在4月3號就已經發布取得司法院內部資料最高管理員的權限了。也就是說司法院的系統整整被看光光將近4個月,而且也有可能已經被潛伏更久的時間,司法院才發現,但發現之後我覺得你們也認為無關緊要,所以13號你們才會輕描淡寫說只是一台資訊服務機被駭而已。 |
| 發言片段: 11 |
| 黃副秘書長麟倫:是主機,不是那一臺服務機,是資訊查詢的主機被駭。 |
| 發言片段: 12 |
| 劉委員建國:資訊查詢的主機被駭,那就更嚴重了!那就更嚴重了!來,副秘書長,你看一下這張圖,這是媒體爆料的,駭客手上的判決書資料,我具體去驗證過了,透過上面的暗號都能在判決書系統查到相對應的判決書。判決書雖然是公開的,但個人資訊要被遮蔽、遮蓋,尤其未成年的也一定要加以遮蓋,但是媒體透露的這份資料已經完全揭露一起家暴案件的當事人姓名,尤其有未成年子女姓名也完全曝光,你們要怎麼解釋? |
| 發言片段: 13 |
| 黃副秘書長麟倫:跟委員報告,當時的這一個檢視,因為這些東西在那個主機上面確實可以查得到。當初4月份流出去的這一包裡面有21萬筆,我們初步檢視是說人民的主機可查的可能應該都是可以被看的,當然後來發現這21萬筆裡面有幾筆出現了像剛才委員所講的這個情形,也有判決書。其實這一個外洩主機跟我們的內部裁判系統,所謂他們講的最高權限其實是有落差的,這個是單純那個主機,我們確實有這幾筆的主文裡面出現這個,我們也即時做事後的補救,請法院就這一部分…… |
| 發言片段: 14 |
| 劉委員建國:不是、不是,副秘書長,你這樣答復我的意思就是說你們檢視完之後確實是有這回事,但是應該不是這麼嚴重,確實也有幾筆,對不對?可能沒有遮蓋掉,然後就被這樣駭出去,也檢視過了,你們都很清楚,就跟委員會做個說明,總共有幾筆像我剛才講的案例? |
| 發言片段: 15 |
| 黃副秘書長麟倫:是,跟委員報告,清查到目前為止,我們現在依照個資法已經要去做相關這些通知了,目前大概是九百多筆,但情形都不一樣,像這個主文裡面有未成年人的,其實都是在定會面交往這種案子,少數這種案件才會有,大部分可能都是一般姓名跟出生年月日這部分的個資,我們會依相關規定處理。 |
| 發言片段: 16 |
| 劉委員建國:好,我只針對未成年的名字沒有被遮蓋的,你們檢視完之後有幾筆? |
| 發言片段: 17 |
| 黃副秘書長麟倫:這部分我們要再…… |
| 發言片段: 18 |
| 劉委員建國:所以你還不知道? |
| 發言片段: 19 |
| 黃副秘書長麟倫:全部總共九百多筆裡面是各種情形。 |
| 發言片段: 20 |
| 劉委員建國:是啊!有各種情形,我問你,可能的話,我希望把傷害降最少的範圍,所以我請教你,針對未成年的、沒有被遮蓋的有幾筆?你們有檢視過應該非常清楚。 |
| 發言片段: 21 |
| 黃副秘書長麟倫:跟委員報告,因為我現在手上還沒有,我只知道現在…… |
| 發言片段: 22 |
| 劉委員建國:你後面的幕僚都沒有人馬上可以提供這樣訊息給你? |
| 發言片段: 23 |
| 黃副秘書長麟倫:因為我們可能要去查,因為我們今天資訊處…… |
| 發言片段: 24 |
| 劉委員建國:簡單講啦!你們已經有923件個資外洩,應該是這麼說,對不對?我問到最小的範圍,你都沒辦法答復我,這樣就不對了。你再看,你們原本是13號,21號又再發出新聞稿,從290個字增加到594個字,你們開始有在緊張了,「本部近日再度檢視前所外洩資料,發現有部分案件之主文公告含有裁判書理由內容,另部分主文公告含有個資,目前發現923件個資外洩」,所以我才單獨問你,把範圍再縮小一點到那些未成年的。「本院將儘速請各法院確認,並依個人資料保護法第十二條及個人資料保護法施行細則第二十二條規定通知個資所有人」,你要怎麼通知?未成年你要怎麼通知?沒有被遮蓋掉的這些個資外洩的當事人,你怎麼通知?然後你們司法院只善盡到通知的責任而已嗎? |
| 發言片段: 25 |
| 黃副秘書長麟倫:跟委員報告,依照個資法的要求,我們會去做這部分。當然事後的這些檢討,我們也會去做,然後也通知法院,這些不適合的要去做遮掩或是下架等相關規範,而系統現在我們也重新再重置…… |
| 發言片段: 26 |
| 劉委員建國:不是,副秘書長,我剛才的問題很單純、也很簡單,你要答復我,發生這樣的事情,你們只是依照個人資料保護法第十二條及施行細則第二十二條去通知個資所有人,如此而已嗎?司法院要負的責任就只有這樣而已嗎?一個犯罪決定的最高司法機關現在發生這種事情,就這樣處理而已嗎? |
| 發言片段: 27 |
| 黃副秘書長麟倫:沒有,當然這個新聞稿是講說我們這邊的補救,內部的檢討我們其實都在進行。 |
| 發言片段: 28 |
| 劉委員建國:內部的檢討、懲處是必然吧?但是針對相關當事人的個資背景因為這樣被外洩,連未成年的這些資料都也被外洩,司法院只有承擔起通知被外洩的個資所有人而已? |
| 發言片段: 29 |
| 黃副秘書長麟倫:依照相關規範的法律要求,我們都會去做啦! |
| 發言片段: 30 |
| 劉委員建國:你要知道相關法律的規範怎麼要求,你想一下,我覺得司法院這樣是太恐怖了,13日新聞稿說安全無虞,21日說「有923件個資外洩」。然後21日還說「近日再度檢視前所外洩資料」,但13日新聞稿說8月就已經成立專案小組清查,所以你們的專案小組是什麼問題?你們專案小組的成員要不要公告一下?我跟你講,副秘書長,今天應該是秘書長來才對,你要來也沒辦法,就是遇到了,你也跑不掉。駭客中有白帽、黑帽、灰帽,據相關訊息及我的理解,白帽是屬於駭客中相對正派的,他們會攻擊系統,當發現系統漏洞後也會通知系統主。也因此報載在10月3日白帽駭客就透過管道傳達給司法院,靜待司法院修補網站弱點後,民報再進行報導。民報在7日致電司法院得到的回應是還在瞭解狀況,8日的時候司法院坦承他們不清楚出現什麼問題,所以民報再提供部分外洩資料截圖給司法院,10月9日下午你們再回復民報資安無虞。記者再進一步詢問,因為駭客是一次性攻擊,是否有確認過弱點修復?司法院對此解釋是已查核資安無虞,這是前次。我不曉得你們的專案小組是什麼時候成立,8月,那應該也是這個專案小組去做相對應的回應吧?也就是4月的時候其實白帽駭客或媒體都已經告訴司法院,外面已經有一包判決書資料被駭出去了,司法院怎麼可以在13日還發出這種新聞稿?然後媒體把證據整個掀出來,你們在21日的時候才說確定有923件資料外洩,司法院怎麼可以做這種事情? |
| 發言片段: 31 |
| 黃副秘書長麟倫:跟委員報告,因為在21萬筆外洩資料清查的過程中,我們確實有檢討的空間,裡面包含這些不同種類的個資九百多筆,當時的情形是還沒有發現這21萬筆資料裡面夾雜這些東西,所以當時才會作這樣的回應,我們確實有檢討的空間,我們事後也在反省。因為當時認為這21萬筆本來都是在查詢主機可以看的,它是一個比較獨立的系統,並沒有真正連結到司法院內部的這些裁判製作主機,所以當時並沒有發現有一部分的判決流出去,然後主文裡面也包含這一部分的個資,因為原來的一包裡面有二十幾萬筆,清查的過程中確實有發生應該要再檢討的這些空間,跟委員報告。 |
| 發言片段: 32 |
| 劉委員建國:你們在8月就成立專案小組,對不對?白帽駭客也特別提醒你們可能在4月就已經開始了,被看光光是在3月、4月左右的時間。他什麼時候提醒你們,我不清楚,或許你們也不當一回事,但是你們如果自己審視,這件事情就不應該會有這樣前後新聞稿的回應。你們的司法系統到底出了什麼問題,我不清楚,這件事你們有沒有向數發部求救? |
| 發言片段: 33 |
| 黃副秘書長麟倫:當然也有依照規定跟數發部報告。依照規定,發生資安事件本來就要報告,當然如果能夠得到他們那邊的協助……但是之前報告了以後,他們是沒有進一步的說明,只是表示應該要依照個資法去做通知。因為我們已經把整個系統重置了,就像剛才委員講的,雖然我們是8月發現,但是我們確實有去檢視4月那一包二十幾萬筆,一整個封包被駭客取得之後,事後在4月到8月之間還有沒有發生,我們的資訊單位表示目前並沒有發現。因為那二十幾萬筆…… |
| 發言片段: 34 |
| 劉委員建國:我的時間到了。副秘書長,我想是這個樣子,今天如果是各法院包含司法院法官的地址、手機或家人資料外洩,事情會變成怎麼樣?會變成怎麼樣?這是第一點。第二點,我剛才特別提到的是,怎麼會有這樣轉折的回應?你們審視的過程到底是出了什麼問題?也就是這個專案小組到底是不是真的很負責任地去做清查?現在發生這樣的事情,最後一個問題,針對這些個資被外洩的對象,還有未成年的對象,你們只有善盡通知,沒有其他相關的責任必須要承受、要承擔嗎?違反個資法最重可處兩年以下徒刑,併科罰金二十萬;如果違反兒少法的相關法律,可處三萬到十五萬以下罰鍰;依照個資法規定採行適當的安全措施,限期未改正也會有相對的罰鍰,但這好像對司法院不痛不癢,還是罰不到,還是沒辦法處理? |
| 發言片段: 35 |
| 黃副秘書長麟倫:跟委員報告,我們其實都在深切檢討整個事件的機制。 |
| 發言片段: 36 |
| 劉委員建國:我要再表達的是,司法院是我們國家犯罪確定的最高主管機關,對不對?應該是這樣說吧? |
| 發言片段: 37 |
| 黃副秘書長麟倫:我們負責個案的審判一直到確定。 |
| 發言片段: 38 |
| 劉委員建國:我的時間到了。副秘,我要求司法院能不能有更高階的……你不能只跟數位部報告,你應該邀請他們針對這個個案一起來做審視,全面清查你們的系統漏洞,一個禮拜內給委員會一個報告,好不好?針對我剛才特別提到的,這些已經洩漏出去的個資,應該不是只有依照個資法第十二條及施行細則第二十二條通知個資所有人,你們要怎麼去補救?相關的人員在過程裡如果有所疏忽,還是沒有盡到他該負的責任,你們要怎麼懲處?是不是一個禮拜內提供給委員會一份完整的報告?謝謝,謝謝主席。 |
| 發言片段: 39 |
| 主席:謝謝劉建國委員。 |
| 所有登記發言委員均已發言完畢,詢答結束。委員質詢時要求提供相關資料或以書面答復者,請相關機關儘速送交個別委員及本會。委員吳琪銘所提的書面質詢均列入紀錄,刊登公報,並請相關機關以書面答復。 |
公報詮釋資料
| page_end | 428 |
|---|---|
| meet_id | 委員會-10-8-36-22 |
| speakers | ["湯蕙禎","曾銘宗","鄭運鵬","謝衣鳯","林思銘","王鴻薇","江永昌","賴香伶","吳怡玎","陳椒華","林淑芬","劉建國","吳琪銘"] |
| page_start | 377 |
| meetingDate | ["2023-11-27"] |
| gazette_id | 1129201 |
| agenda_lcidc_ids | ["1129201_00004"] |
| meet_name | 立法院第10屆第8會期司法及法制委員會第22次全體委員會議紀錄 |
| content | 一、審查民進黨黨團擬具「立法院程序委員會組織規程第五條條文修正草案」案;二、審查委員 吳琪銘等21人擬具「行政院功能業務與組織調整暫行條例第十九條條文修正草案」案;三、審查 委員吳玉琴等18人擬具「公教人員保險法第十條條文修正草案」案;四、審查委員吳玉琴等17人 擬具「勞動事件法部分條文修正草案」案;五、審查委員張宏陸等20人擬具「司法人員人事條例 第四十條及第四十三條條文修正草案」案;六、併案審查(一)委員張宏陸等20人擬具「法官法第 七十七條及第八十條條文修正草案」及(二)委員黃世杰等16人擬具「法官法第七十七條、第七十 八條及第八十條條文修正草案」案 |
| agenda_id | 1129201_00002 |