【專題幕後】電商個資外洩問題一籮筐：還有哪些沒被好好述說？

專題的起心動念：為什麼電商個資外洩如此重要？

如何解讀「高風險賣場」數據？

遭質疑誤導 1：圖表不能告訴你這個電商到底外洩程度有多嚴重

必須說當然是這樣沒錯，但用統計推論跟常態分佈來看，其實仍可以看出「嚴重性」。

什麼意思呢？當作大家打電話去165是一種抽樣，如果母體數高（也就是詐騙集團取得大量資料，並開始打電話給當事人），那可能民眾去165報案的量就會多，因此我們認為高風險賣場仍然可以一定跟案量是正相關。

簡而言之，基本上如果一周案量高，那也可能代表著它個資外洩的程度也高，較多民眾受害。

（但這樣的統計推論我們當時並沒有在報導呈現出來。）

有網友舉例：「假設有一家電商，叫做『深海的大鳳梨』。『深海的大鳳梨』連續40週，每週都有4個案件，那它的受害者件數其實跟假設中的博客來案件數一樣，都是160件，時間甚至更長。......事實上『深海的大鳳梨』永遠不會成為報導者所謂的『前20大』高風險賣場。」

這位網友確實說得有道理，我們無法知道是否真的存在「深海的大鳳梨」這樣的電商，但是根據前述的統計推論，以及我們與165採訪的結果，這樣的狀況我認為微乎其微。

換個角度想，每週五件其實達成機率很高，如果詐騙集團打了五通電話，這五通都去報案，那他有有機會上榜。試想，詐騙集團掌握了一大筆資料，但僅能每週打五通電話，投報率實在相當低。

但確實上述也只能是我們的猜測與推想，但仍然必須肯認這樣的圖表統計仍有一定的意義。

不過，這張圖表中的 1，代表著上榜過一週，而上榜過一週到底是多少案件其實並不一定，很可能是1000件，很可能是5件。這也是一些網友所質疑的。

我必須說這確實是一個好的質疑，因此我們仍要強調我們這份圖表能知悉發生問題嚴重性高低的推論，但實際到底是幾件，內政部警政署並沒有每件都公佈，有時三個月會公佈一次，有時一年會公佈一次。

以近期來說，警政署公布了2022年全年度的高風險賣場排名「件數」，確實也跟我們上述圖表中的狀況是一致的，這也代表著我們的圖表確實有一定的參考價值。

但是仍然要說，我仍希望警政署能公佈更多的數據去凸顯詐騙的嚴重性。這些數據有多少程度能反應現實，還是其實比數據上呈現的更加嚴重，仍需要打上一個問號。

遭質疑誤導 2：讀冊為什麼沒上榜？是不是跟讀冊有利害關係？

一個一無所有的學生要怎麼跟讀冊有利害關係？ＸＤ

但是，今年確實讀冊幾乎沒有上榜，反而在過去民國107年、108年居排名前十。

當時經濟部商業司多次針對個資外洩事件進行大規模的行政檢查，最終也根據個資法祭出多次罰鍰。讀冊並沒有因此沒付出代價，我們所投稿至報導者這篇文並不是業配文。

而讀冊也是少數我們知道它遭到罰款的金額、被行政檢查的次數多少。因為讀冊曾經對此申請訴願遭駁回。所有內情都剛好公告到網路上，可從行政訴願查詢網站可看到。

而在此之前，我們早已花了相當多的時間回覆那些在2022年曾經上榜的所有店家（甚至包含曾經上榜的店家），幾乎沒有一家願意公開表達自己發生了什麼狀況、採取什麼行動。而讀冊部分是在報導者的協助下，我們才有機會與讀冊董事長一談，因此成為了主線故事。然而我們報導並沒有遭到任何的干預。

（補充一下，也是因為製作了上面那張高風險賣場圖表，我們才能開始查找我們潛在的受訪者有哪些。）

此外，我們也嘗試訪博客來，他們僅希望以書面意見回覆，我們也如實陳述。

而在內容中也可以看到，報導內容也不僅僅是如此，我們也找到過去曾經因讀冊生活個資外洩的受害者，也找到了公部門針對體制的回應。事實也確實是讀冊近期努力了不少，但是否還會繼續存在問題，沒人能保證，我們也沒有保證。

採訪人數規模

那些來不及訴說，有待未來挖掘...

系統業者難辭其咎：老舊系統可能是中小企業個資外洩的破口

中小企業架起一個電商網站，可能委託架站業者、資料管理軟體業者、物流業者等，牽涉面向極廣。不願具名受訪的產業人士認為，許多業者內部使用的ERP系統，都來自於一些小型、古老軟體公司因軟體不再更新而導致資安漏洞百出。但因為實在無法接觸ERP業者求證，因此也無法好好書寫。

委外系統個資外洩，可能造成大規模個資外洩事件

2022年末發生最大的「開店平台系統商」個資外洩是 WACA，幾乎2022年下半年許多的電商個資外洩起因都是WACA所致。然而至今甚至沒有聽說這家平台商有被裁罰或被大肆報導。

原先欲採訪WACA也遭無視，而聽聞WACA似乎還激怒刑事局165，但這段故事為何，不知道未來有沒有媒體會報導了。

現行制度「基本上幾乎不罰」，就算罰了「也罰很少」

根據刑事局的採訪，近幾年幾乎沒有任何裁罰出現，因為幾乎主管機關仍會給予非常寬容的限期改善空間，只要改善得宜，就暫時不會有事。以近期的iRent個資外洩為例，根據鏡週刊報導，公路總局於2/9宣布將對和雲（iRent）開罰20萬元。

必須說這次處理的速度非常快，且也一定程度對業者究責。然而這樣「社會矚目」的案件會被關注，但其他電商呢？近期這些電商幾乎沒被罰，也未被究責。

而「罰很少」也是為人詬病之處，相較於歐盟法，臺灣所裁罰的數額，這些企業根本不痛不癢。

（根據udn報導，「行政院副院長鄭文燦10日表示個資法十年未修，現行的罰則…國發會跟數位部都覺得太輕，未來會推動修法，把相關罰則提高。」但願未來真的有機會修法）

個資專責機關到底在何處？

就算有了個資法主管機關國發會，但實際上的行政裁量仍放在主管機關。

「我們國家將整個程序切成好幾個在做，」採訪刑事局所聽到最貼切的話，也因為如此，電商的主管機關是數發部、實體店面的主管機關是經濟部、旅行社的主管機關是交通部、非營利組織的主管機關是衛福部...，這些單位是否有能力給予實際的協助，是否有能力針對個資法相關事項具體落實，其實是一大問號。

呼喊多年的個資專責機關何時設立、怎麼設立，是未來重要的課題。

「企業好大、消費者好小」

消費者自主求償在台灣更是非常少見。消基會與雄獅案的判例中更發現司法實務可能因此無法給予消費者保障。

此外，個資法給予的求償數額少、訴訟成本高，也使企業更可以好整以暇，對於個資外洩事件消費者的質疑與批評，四兩撥千斤就可以化解掉。司法實務上是否能給予消費者更大的權利、賦予企業更大的「責任」取管控資安，這是一大考驗。

文末感謝