專家：電視/ 網路購物業者應確實保護客戶資料

針對日前媒體報導，東森購物因客戶資料外洩而導致消費者遭詐騙，專家建議電視及網路購物業者，若要留存消費者的個人資料，就應確實做好保護措施。

刑事局科技犯罪防治中心主任李相臣指出，現在企業對駭客竊取資料的技術、手法都沒有足夠的了解，例如惡意程式、木馬程式等行為。他認為企業應該要更積極更新保護資料的方法，如果自身沒有足夠技術，就應該找專業資安顧問協助。

李相臣也建議企業，不需要留存客戶的完整資料，可以選擇部分隱匿的方式，例如隱藏身分證字號的幾個號碼。尤其現在企業資料庫被入侵的案例太多了，要留存客戶資料就必須善盡保護責任。他也提到，現行的個人資料保護法必須要受害人自行舉證，才能夠向企業求償，但是舉證太困難，「我從來沒聽說過求償成功的案例。」他說。

本週三（9/13）聯合報報導，有歹徒假借東森購物人員名義進行詐騙。根據警政署165反詐騙諮詢專線資料，從9/1到9/11十天之間，就接到150位以上的民眾反映，接到假借東森購物名義的詐騙電話。在這十天內，被詐騙的民眾就超過30位。

刑事局犯罪預防科警務正常金蘭表示，歹徒冒名東森購物進行詐騙的案件，在時間上非常集中，十天就有150多位民眾舉報，最高詐騙金額達十四萬，被騙十萬元以上的共有八位。據報案民眾指出，歹徒確切掌握了他們的電話、購物時間、購買物品及金額等等，顯示資料應是從東森購物內部流出，且並非只是個案。

東森購物發言人則以忙碌為由拒絕接受採訪，東森購物媒體公關部公關王心怡則表示，目前一切還在內部進行調查中。至於東森購物如何保護消費者個人資料，以及資料可能透過何種管道外洩，他表示這關乎企業機密，不方便透露。

刑事局目前歸納出資料外洩的兩個可能性，一是東森的電腦資料庫遭到駭客入侵，或者是有內部員工和歹徒串通，竊取客戶資料提供詐騙集團。根據刑事局統計，從今年一月到八月底為止的資料，共有5972人在網路購物遭到詐騙，總損失金額超過兩億元。

常金蘭表示，像電視、網路等購物方式，對消費者來說都非常沒有保障。他表示，之前刑事局也曾建議Yahoo!奇摩，希望可以發信給所有賣家告知資料保護的重要，「不過Yahoo!奇摩後來還是沒有做。」他說，現在個人資料保護法規定不清，很難對洩漏資料的企業課責，因此對企業來說並沒有強制力。

此外資安專家還建議企業必須落實對資料保護的安全政策，以降低資料被非法存取的風險。賽門鐵克台灣區技術顧問總監王岳忠表示，針對資料保護，企業可以在伺服器上做中央集中控管，利用正面表列的方式設白名單，設定只有被允許的應用程式可連線，阻止其他危險程式進入。

另外即使企業實施身分管理，但王岳忠認為，這只能確定人是對的，但不能保證電腦也是對的。必須透過密碼、認證的方式，來確定存取資料的電腦本身是否安全，「不可能用一台有木馬的電腦來存取客戶資料。」他說。企業除了要制定安全政策，限定只有特定員工可接觸資料，但必須落實才是重點。

「現在台灣的個人資料大概滿街都是。」王岳忠說，現在需要的資料保護技術，資安廠商一定都做得到，但是要看企業對個人資料的重視程度及政策。他表示，因為解決方案需要一定費用，在沒有法規強力約束下，企業並不見得有意願制定並落實完善的安全政策。