上個月7日(2023年2月7日),與同學上學期採訪寫作課的期末專題終於在報導者刊登了。
歡迎大家先點選閱讀:
必須老實說還是有許多不足,但我們也共同努力、也盡力了。
2月8日報導者粉專推播我們的文章過後,截至目前為止,電商個資外洩篇逾千讚、NGO個資外洩逾百讚。
不過有趣的是下面的留言,不少的批評與迴響,算是讓我又驚又喜,也有一點點無奈,因此也在這篇順道一併述說。
專題的起心動念:為什麼電商個資外洩如此重要?
在一開始專題報題階段,電商個資外洩真的是洗澡時忽然靈光一閃的題目,也沒有想過是否可行(甚至發現受訪者超級難找時覺得相當不可行),但最終老師認為值得一做,就也硬著頭皮做了下去。
電商個資外洩為何如此重要?
根據內政部警政署統計,近年來解除分期付款詐騙居高不下。
所謂「解除分期付款詐騙」,就是詐騙集團嘗試得到消費者在網路交易的個人資料,並竄改來電號碼、冒充商家客服或銀行人員,透過話術說服消費者該筆交易被誤設為連續扣款,要求民眾操作ATM。
因此,雖然我們無法確知真正「個資外洩」的數字,但可以從「解除分期付款詐騙」的數字中有所推論。
這時我們開始好奇,為什麼「解除分期付款詐欺」的數字始終不減,且長年是165詐騙專線關注的詐騙手法之一,為何無法杜絕?而這些電商發生個資外洩時,難道都不用付出一點代價?
如何解讀「高風險賣場」數據?
此外,既然我們知道了這樣的詐欺樣態嚴重性後,我更想知道的是「到底哪些電商發生個資外洩」?
透過資料爬梳後我們發現,並沒有任何一個專責機關或主管機關有這樣的統計,也無從得知這些電商個資外洩過後的處理。
這也是我們遇到的第一個瓶頸,出事的電商當然不會大張旗鼓地說自己的過錯,但政府也惦惦不說,消費者的個資悄悄的遭外洩,卻無法全盤得知國家整體的狀況為何?
正當我們煩惱之餘,我們發現作為報案的反詐騙165專線,他們其實會做初步的統計,詢問受害者(或接到詐騙案件的民眾)是接到詐騙集團假冒哪個商家、掌握哪個商家的資訊。而每週165將這些數據統計後,公布在165網站與臉書粉絲團,稱其為「高風險賣場」。
細部理解165宣稱的「高風險賣場」的定義,我們發現,單週五件(解除分期付款詐騙或假網拍報案)以上才會達到高風險賣場的標準。
然而,這樣我們仍然無法知道這些電商的個資外洩分別造成的詐騙到底有多少,除了少量刑事局公開的案件數以外,實際上多少外洩案件其實無從得知。
因此,我們僅能從少少的數據當中爬梳出大概的趨勢,我們花時間將從刑事局165網站上爬到的所有2022年高風險賣場圖表並人工統計數量,做出一張「根據上榜週次次數」而製成的2022年高風險賣場排名。
這時就有人質疑,我們的數據並無法呈現現實,甚至是誤導。
遭質疑誤導 1:圖表不能告訴你這個電商到底外洩程度有多嚴重
必須說當然是這樣沒錯,但用統計推論跟常態分佈來看,其實仍可以看出「嚴重性」。
什麼意思呢?當作大家打電話去165是一種抽樣,如果母體數高(也就是詐騙集團取得大量資料,並開始打電話給當事人),那可能民眾去165報案的量就會多,因此我們認為高風險賣場仍然可以一定跟案量是正相關。
簡而言之,基本上如果一周案量高,那也可能代表著它個資外洩的程度也高,較多民眾受害。
(但這樣的統計推論我們當時並沒有在報導呈現出來。)
有網友舉例:「假設有一家電商,叫做『深海的大鳳梨』。『深海的大鳳梨』連續40週,每週都有4個案件,那它的受害者件數其實跟假設中的博客來案件數一樣,都是160件,時間甚至更長。......事實上『深海的大鳳梨』永遠不會成為報導者所謂的『前20大』高風險賣場。」
這位網友確實說得有道理,我們無法知道是否真的存在「深海的大鳳梨」這樣的電商,但是根據前述的統計推論,以及我們與165採訪的結果,這樣的狀況我認為微乎其微。
換個角度想,每週五件其實達成機率很高,如果詐騙集團打了五通電話,這五通都去報案,那他有有機會上榜。試想,詐騙集團掌握了一大筆資料,但僅能每週打五通電話,投報率實在相當低。
但確實上述也只能是我們的猜測與推想,但仍然必須肯認這樣的圖表統計仍有一定的意義。
不過,這張圖表中的 1,代表著上榜過一週,而上榜過一週到底是多少案件其實並不一定,很可能是1000件,很可能是5件。這也是一些網友所質疑的。
我必須說這確實是一個好的質疑,因此我們仍要強調我們這份圖表能知悉發生問題嚴重性高低的推論,但實際到底是幾件,內政部警政署並沒有每件都公佈,有時三個月會公佈一次,有時一年會公佈一次。
以近期來說,警政署公布了2022年全年度的高風險賣場排名「件數」,確實也跟我們上述圖表中的狀況是一致的,這也代表著我們的圖表確實有一定的參考價值。
但是仍然要說,我仍希望警政署能公佈更多的數據去凸顯詐騙的嚴重性。這些數據有多少程度能反應現實,還是其實比數據上呈現的更加嚴重,仍需要打上一個問號。
遭質疑誤導 2:讀冊為什麼沒上榜?是不是跟讀冊有利害關係?
一個一無所有的學生要怎麼跟讀冊有利害關係?XD
但是,今年確實讀冊幾乎沒有上榜,反而在過去民國107年、108年居排名前十。
當時經濟部商業司多次針對個資外洩事件進行大規模的行政檢查,最終也根據個資法祭出多次罰鍰。讀冊並沒有因此沒付出代價,我們所投稿至報導者這篇文並不是業配文。
而讀冊也是少數我們知道它遭到罰款的金額、被行政檢查的次數多少。因為讀冊曾經對此申請訴願遭駁回。所有內情都剛好公告到網路上,可從行政訴願查詢網站可看到。
而在此之前,我們早已花了相當多的時間回覆那些在2022年曾經上榜的所有店家(甚至包含曾經上榜的店家),幾乎沒有一家願意公開表達自己發生了什麼狀況、採取什麼行動。而讀冊部分是在報導者的協助下,我們才有機會與讀冊董事長一談,因此成為了主線故事。然而我們報導並沒有遭到任何的干預。
(補充一下,也是因為製作了上面那張高風險賣場圖表,我們才能開始查找我們潛在的受訪者有哪些。)
此外,我們也嘗試訪博客來,他們僅希望以書面意見回覆,我們也如實陳述。
而在內容中也可以看到,報導內容也不僅僅是如此,我們也找到過去曾經因讀冊生活個資外洩的受害者,也找到了公部門針對體制的回應。事實也確實是讀冊近期努力了不少,但是否還會繼續存在問題,沒人能保證,我們也沒有保證。
採訪人數規模
這次專題採訪了超過20名受訪者,包含學者、公部門(數發部數產署、經濟部商業司、刑事局研發科、刑事局165)、受害者(王品APP、讀冊受害)、資安業者、開店平台業者、消基會、NGO、個資外洩的中小企業......,試圖拼湊出商家的「兩難」以及制度的「缺陷」。礙於篇幅,我們無法將所有故事都公諸於世。
那些來不及訴說,有待未來挖掘...
最後,仍然想分享幾個因為資料不足而捨棄的切角,但個人認為仍可能相當重要:
系統業者難辭其咎:老舊系統可能是中小企業個資外洩的破口
中小企業架起一個電商網站,可能委託架站業者、資料管理軟體業者、物流業者等,牽涉面向極廣。不願具名受訪的產業人士認為,許多業者內部使用的ERP系統,都來自於一些小型、古老軟體公司因軟體不再更新而導致資安漏洞百出。但因為實在無法接觸ERP業者求證,因此也無法好好書寫。
委外系統個資外洩,可能造成大規模個資外洩事件
2022年末發生最大的「開店平台系統商」個資外洩是 WACA,幾乎2022年下半年許多的電商個資外洩起因都是WACA所致。然而至今甚至沒有聽說這家平台商有被裁罰或被大肆報導。
原先欲採訪WACA也遭無視,而聽聞WACA似乎還激怒刑事局165,但這段故事為何,不知道未來有沒有媒體會報導了。
現行制度「基本上幾乎不罰」,就算罰了「也罰很少」
根據刑事局的採訪,近幾年幾乎沒有任何裁罰出現,因為幾乎主管機關仍會給予非常寬容的限期改善空間,只要改善得宜,就暫時不會有事。以近期的iRent個資外洩為例,根據鏡週刊報導,公路總局於2/9宣布將對和雲(iRent)開罰20萬元。
必須說這次處理的速度非常快,且也一定程度對業者究責。然而這樣「社會矚目」的案件會被關注,但其他電商呢?近期這些電商幾乎沒被罰,也未被究責。
而「罰很少」也是為人詬病之處,相較於歐盟法,臺灣所裁罰的數額,這些企業根本不痛不癢。
(根據udn報導,「行政院副院長鄭文燦10日表示個資法十年未修,現行的罰則…國發會跟數位部都覺得太輕,未來會推動修法,把相關罰則提高。」但願未來真的有機會修法)
個資專責機關到底在何處?
就算有了個資法主管機關國發會,但實際上的行政裁量仍放在主管機關。
「我們國家將整個程序切成好幾個在做,」採訪刑事局所聽到最貼切的話,也因為如此,電商的主管機關是數發部、實體店面的主管機關是經濟部、旅行社的主管機關是交通部、非營利組織的主管機關是衛福部...,這些單位是否有能力給予實際的協助,是否有能力針對個資法相關事項具體落實,其實是一大問號。
呼喊多年的個資專責機關何時設立、怎麼設立,是未來重要的課題。
「企業好大、消費者好小」
消費者自主求償在台灣更是非常少見。消基會與雄獅案的判例中更發現司法實務可能因此無法給予消費者保障。
此外,個資法給予的求償數額少、訴訟成本高,也使企業更可以好整以暇,對於個資外洩事件消費者的質疑與批評,四兩撥千斤就可以化解掉。司法實務上是否能給予消費者更大的權利、賦予企業更大的「責任」取管控資安,這是一大考驗。
文末感謝
最後,感謝雪莉、德琳老師給予的建議與指教,感謝三位超級carry的組員共同度過了這四、五個月的專題過程,總在自己最無助的時候給予鼓勵與支持。沒有他們,就沒有這篇的完成,感激涕零。
