記者陳立驌/高雄報導

近期日本跨境代購平台Bibian比比昂疑似發生個人資料外洩事件,引發消費者對電商平台資訊安全及個資保護的高度關注,也讓主管機關面對資安事件的監理機制再度受到檢視。學界指出,隨著電子商務快速發展,資安風險已成為企業營運的重要課題,政府除應督促企業強化防護措施外,更應建立一致且透明的事件處理標準,讓企業與民眾都能有所依循,提升整體數位經濟的信任基礎。

PChome網路家庭旗下日本跨境代購平台Bibian比比昂,近日傳出疑似會員個資外洩事件。部分會員陸續收到疑似詐騙訊息,內容涉及姓名、電話、地址及訂單商品等個人資料,甚至傳出可能包含身分證字號等敏感資訊,事件曝光後引起社會廣泛討論,也再次凸顯電商平台在資訊安全管理及個資保護上的挑戰。

據了解,比比昂於6月10日首次公告疑似會員訂單資料遭未授權取得,並於6月16日進一步說明事件與內部系統遭入侵有關。其後網路更流傳疑似相關客戶資料遭放上境外論壇販售,但資料真實性、外洩規模及實際受影響人數,目前仍有待第三方專業鑑識單位進一步查證確認。

長期研究資訊治理議題的國立高雄大學資訊管理學系副教授楊書成表示,資訊安全事件具有高度複雜性,即使企業投入大量人力及資源,也無法百分之百杜絕遭駭或資料外洩風險。因此,主管機關更應建立完善且明確的事件應變指引,協助企業於事件發生後迅速採取標準化措施,降低損害並維護民眾權益。

▲國立高雄大學資訊管理學系副教授楊書成。(圖/高雄大學法學院永續發展暨企業治理研究中心提供)

楊書成指出,企業面對個資外洩事件,至少應建立「通報」、「稽核」及「揭露」三項基本機制,包括在合理時限內向主管機關通報事件、委託第三方專業機構進行鑑識調查,以釐清事件發生原因及影響範圍,同時向可能受影響的消費者說明風險內容與補救措施。他強調,這些制度設計並非以懲罰企業為目的,而是希望透過透明且一致的程序,協助事件快速控制,避免損害持續擴大。

他進一步表示,我國《個人資料保護法》第22條雖授權主管機關得進行行政檢查,但目前在啟動時機、查核範圍、調查程序及結果公開程度等實務運作上,仍缺乏一致性的標準。他建議,可參考歐盟《一般資料保護規則》(GDPR)所建立的72小時通報制度,結合國內產業環境及法制需求,建立更完善的資安事件應變與管理機制。

國立高雄大學法學院永續發展暨企業治理研究中心研究員祝正華則指出,目前企業最大的困境並非不願配合主管機關,而是缺乏明確的行政指引,導致業者在資訊揭露的範圍、時機及方式上,往往面臨法律責任與社會期待之間的兩難。

祝正華表示,數位發展部成立已超過三年,但至今尚未建立完整的電商個資外洩事件處置規範。他以日前EVERY8D簡訊平台疑遭駭事件為例,當時數位產業署迅速啟動行政檢查;相較之下,比比昂事件迄今尚未公布行政檢查進度及相關處理標準,容易引發外界質疑不同案件是否存在不同監理尺度,也影響社會對主管機關監理一致性的信心。

針對制度改善方向,祝正華建議,數位發展部可分兩階段補強現行制度。首先,應針對比比昂事件儘速啟動行政檢查,並適度公開查證進度,包括資料外洩規模、企業內部控制缺失及後續改善要求等內容;其次,應於三至六個月內建立適用全產業的資安事件處理指引,內容涵蓋事件分級、通報期限、第三方鑑識報告揭露原則、受害者通知義務及後續補救措施等重要規範,提供企業一致且可遵循的作業依據。

高雄大學法學院永續發展暨企業治理研究中心表示,比比昂事件雖然屬於單一個案,但其所反映出的監理制度與法規不足,已涉及整體電商產業資安治理能力。學界認為,若能藉由此次事件建立更具一致性、透明性與可預期性的資安事件處理制度,不僅有助於提升企業應變效率,也將進一步強化民眾對數位經濟與電子商務環境的信任,促進我國數位產業健全發展。