Bibian疑爆會員個資外洩風暴 PChome旗下跨境代購平台資安防線受檢視

Talknews說新聞/朱星明
3 分鐘前
05aebf40768854251a3ff52e57ca7996

【說新聞記者 王萓蓁/高雄 報導】PChome網路家庭旗下日本跨境代購平台Bibian比比昂近日爆出疑似個資外洩事件,多名會員接獲疑似詐騙訊息,內容涉及姓名、電話、地址、訂單資訊等個人資料,甚至傳出疑似包含身分證字號,引發社會關注。Bibian已兩度發布公告,表示事件疑與系統遭未授權存取及駭客入侵有關,目前正委託第三方專業單位進行數位鑑識,以釐清外洩範圍、受影響人數及資料真實性,事件也再度引發各界對電商平台資安防護與個資保護機制的高度檢視。

長期關注資訊治理議題的國立高雄大學資訊管理學系副教授楊書成表示,資安事件具有高度複雜性,即便企業投入大量資源,也無法完全避免資料外洩風險,因此主管機關更應建立完整且明確的事件處理指引,讓企業於事件發生後有所依循。

楊書成指出,企業面對個資外洩事件,至少應落實「通報」、「稽核」及「揭露」三項基本機制。包括在合理時限內向主管機關通報、透過第三方鑑識確認事件範圍與原因,以及向受影響民眾說明可能風險及補救措施。他認為,這些制度並非單純懲罰企業,而是協助事件快速控制,並保障民眾權益。

39eda742c04cc378a35f937d376520fc

楊書成進一步表示,我國《個人資料保護法》第22條雖授權主管機關得進行行政檢查,但在啟動時機、查核內容及調查結果公開程度等實務操作上,仍缺乏一致性標準。他建議,可參考歐盟一般資料保護規則(GDPR)72小時通報制度,建立符合臺灣產業環境的資安事件應變機制。

另一方面,國立高雄大學法學院永續發展暨企業治理研究中心研究員祝正華指出,目前企業最大的困境不是不願配合主管機關,而是長期缺乏清楚的行政指引,導致企業在資訊揭露程度上經常陷入兩難。

祝正華表示,數位發展部成立至今已超過三年,但尚未建立完整的電商個資外洩事件處置規範。他以日前EVERY8D簡訊平台疑遭駭事件為例,當時數位產業署迅速啟動行政檢查;然而面對比比昂事件,主管機關至今尚未公布行政檢查進度與處理標準,容易讓外界質疑不同案件之間的處理標準是否一致。

F3f85c8746e3def1e499c7dafc33b143

祝正華建議,數位發展部可分為兩階段補足制度缺口。首先,針對比比昂個案啟動行政檢查,並適時公布查證進度,包括資料外洩規模、內部控制缺失及改善要求;其次,應在三至六個月內建立全產業適用的資安事件處置指引,涵蓋事件分級、通報時限、第三方鑑識報告揭露程度、受害者通知義務及補救措施等重要內容。

高雄大學法學院永續發展暨企業治理研究中心表示,比比昂個資外洩事件雖屬單一個案,但所凸顯的監理與制度問題,已牽動整體電商產業資安治理能力。學界與業界共同期待,主管機關能以此事件為契機,建立具一致性、可預期性的資安治理框架,提升民眾對數位經濟及電子商務環境的信任。(相片來源/翻攝高雄大學官網)