PChome網路家庭旗下日本跨境代購平台比比昂爆發個資外洩事件,業者已坦承外洩資料源自公司系統。不過,事件仍有多項疑點待釐清,包括外洩範圍、是否波及PChome集團其他平台,以及網路流傳的境外兜售資料與本案之間是否有關。台灣科技產業法務經理人協會常務監事、律師范國華表示,這起事件不只是單一平台資安事故,更凸顯主管機關面對電商個資外洩時,能否迅速查證、明快處分,並建立一致執法基準。
比比昂日前因多名會員收到假冒官方名義的詐騙信件,引發個資外洩疑慮。會員反映,詐騙信中出現真實姓名、聯絡電話、地址與訂單商品,甚至包括身分證字號等敏感資料。
針對相關情事,比比昂6月10日首度公告,稱「疑似會員訂單資料遭未授權取得」,並啟動資安調查;6月12日更新調查進度,表示已委請外部資安廠商擴大盤查;6月16日則進一步坦承,經調查確認外洩資料源自公司系統,並對未能妥善保護用戶個人資料致歉;比比昂並於6月18日公布補償方案,提供每位受影響會員合計2,500日圓購物折價券(無消費門檻),自6月23日起陸續發放,使用期限至2026年12月31日。
已坦承外洩 境外兜售疑雲仍待查
范國華指出,這起事件至少可分成兩個層次,第一層是比比昂已經坦承的外洩事實,第二層則是尚待主管機關查證的境外兜售疑雲。在比比昂正式坦承外洩前,網路上一度流傳疑似與PChome相關的客戶資料在境外論壇兜售;不過,相關兜售貼文目前不能直接下定論,賣家所稱筆數與內容仍屬單方說法,缺乏第三方鑑識確認,任何引述都不應被視為已證實的外洩規模。
他指出,問題在於,一邊是比比昂已坦承的外洩事實,另一邊是網路流傳但尚未釐清真偽的疑雲,兩者都指向同一集團。此時主管機關不能只等待業者最終調查結果,而應主動啟動行政檢查,釐清比比昂、PChome電商平台,以及集團內部不同系統之間,會員資料是否共用、後台是否串接、認證系統是否獨立。
若資料層次存在共構,比比昂事件可能不只是單一平台問題;若各平台資料確實獨立,主管機關也應盡快對外說明,避免市場與消費者陷入資訊真空。
企業鑑識要時間 主管機關不能空轉
企業面對資安事件時,初期確實可能仍處於蒐證、鑑識、影響範圍評估階段,無法立即對外說明完整外洩規模與項目。以比比昂事件來看,從6月10日疑似外洩,到6月16日確認源自公司系統,也反映資安鑑識需要時間。
但企業鑑識需要時間,不代表主管機關可以等到企業全部查完才動作。范國華認為,當外洩疑慮已經影響消費者,甚至出現假客服、假解除分期付款等詐騙劇本時,主管機關應同步啟動查證程序,對外發布權威查證快報,讓受害會員能及早判斷風險。
「對受害者來說,官方沉默帶來的不是中立,而是資訊真空。當個資是否外洩、外洩到什麼程度、後續詐騙是否與本案有關都沒有權威說法,民眾只能各自判斷風險,也讓未經證實的兜售數字更容易放大恐慌。」
數發部應說明執法標準
范國華也以近期資安個資事件作為對照。交通部觀光署對五福旅遊案,在事件發生後兩個多月內,以3月25日函文完成裁罰;對圓山大飯店遭駭事件,則是在業者主動通報並請法務部調查局協助後,由相關主管機關介入。相較之下,電商平台個資事件同樣涉及大量消費者資料,數發部應說明其行政檢查與處分標準。
值得注意的是,數發部並非沒有可循的近例。就在數週前,互動資通旗下EVERY8D簡訊代發平台疑遭駭、傳出用戶個資外洩,數位產業署即依《個人資料保護法》第22條要求業者提供資料,並於6月2日會同經濟部與國家通訊傳播委員會(NCC)進行個資實地行政檢查。既然簡訊代發業者疑似外洩可以即時啟動實地檢查,性質相近且業者已坦承的電商個資事件,主管機關更沒有按兵不動的理由。
范國華進一步說,個資外洩不分公私部門,也不分產業別,主管機關應有一套迅速、衡平、合於比例原則的處理SOP。迅速,是因為每延遲一天,受害消費者面對詐騙的風險就增加一天;衡平,是因為同類型案件不應因主管機關不同、業者不同而出現差別待遇;比例原則,則是處分強度應與外洩規模、資料敏感程度、企業補救情形相當。
他主張,數發部應針對比比昂已坦承的外洩事實,以及與PChome相關的境外兜售疑雲,啟動行政檢查並對外公布查證進度,包括外洩確認規模、企業內控缺失、補救要求與處分理由;至於先前另遭點名的松果購物,與網家並無資本關係,且業者主張外洩內容為約兩年前的舊資料、屬「舊資料重售」,性質與本案不同;但接連出現的電商個資疑雲,正凸顯主管機關面對不同業者、不同事件時,更需要一致而可預期的查證與處分基準。
迅速調查與明快處分,不是對企業過度苛責,而是對守法業者與受害消費者的必要交代。范國華指出,對守法業者而言,執法基準越早建立,資安投資越能聚焦;對受害消費者而言,主管機關每一次查證快報、行政檢查與裁罰決定,都是其權益能否實際回復的基礎。