港灣新聞網／從比比昂事件看監理漏洞！專家籲建立統一資安事件處理標準

圖： 比比昂個資外洩事件被視為檢視臺灣電商資安治理與監理制度的重要案例
(圖/高雄大學法學院永續發展暨企業治理研究中心提供)

港灣新聞網／高雄報導

PChome網路家庭旗下日本跨境代購平台Bibian比比昂近日爆發疑似個資外洩事件，引發社會高度關注。部分會員陸續接獲疑似詐騙訊息，內容涉及姓名、電話、地址、訂單商品等個人資訊，甚至傳出疑似包含身分證字號等敏感資料，再度掀起外界對電商資安治理及個人資料保護制度的討論。

據了解，比比昂於6月10日首次公告疑似會員訂單資料遭未授權取得，並於6月16日進一步說明事件與內部系統遭入侵有關。後續網路上更流傳疑似相關客戶資料遭放上境外論壇兜售，但相關資料的真實性、外洩規模及受影響人數，目前仍有待第三方專業鑑識單位進一步確認。

長期關注資訊治理議題的國立高雄大學資訊管理學系副教授楊書成表示，資安事件具有高度複雜性，即便企業投入大量資源，也無法完全避免資料外洩風險，因此主管機關更應建立完整且明確的事件處理指引，讓企業於事件發生後有所依循。

楊書成指出，企業面對個資外洩事件，至少應落實「通報」、「稽核」及「揭露」三項基本機制。包括在合理時限內向主管機關通報、透過第三方鑑識確認事件範圍與原因，以及向受影響民眾說明可能風險及補救措施。他認為，這些制度並非單純懲罰企業，而是協助事件快速控制，並保障民眾權益。

圖： 國立高雄大學資訊管理學系副教授楊書成表示，企業面對個資外洩事件，應建立通報、稽核與揭露三大機制。(圖/高雄大學官網)

楊書成進一步表示，我國《個人資料保護法》第22條雖授權主管機關得進行行政檢查，但在啟動時機、查核內容及調查結果公開程度等實務操作上，仍缺乏一致性標準。他建議，可參考歐盟一般資料保護規則（GDPR）72小時通報制度，建立符合臺灣產業環境的資安事件應變機制。

另一方面，國立高雄大學法學院永續發展暨企業治理研究中心研究員祝正華指出，目前企業最大的困境不是不願配合主管機關，而是長期缺乏清楚的行政指引，導致企業在資訊揭露程度上經常陷入兩難。

圖： 國立高雄大學法學院永續發展暨企業治理研究中心研究員祝正華呼籲，主管機關應儘速建立電商資安事件處置指引。(圖/祝正華提供)

祝正華表示，數位發展部成立至今已超過三年，但尚未建立完整的電商個資外洩事件處置規範。他以日前EVERY8D簡訊平台疑遭駭事件為例，當時數位產業署迅速啟動行政檢查；然而面對比比昂事件，主管機關至今尚未公布行政檢查進度與處理標準，容易讓外界質疑不同案件之間的處理標準是否一致。

祝正華建議，數位發展部可分為兩階段補足制度缺口。首先，針對比比昂個案啟動行政檢查，並適時公布查證進度，包括資料外洩規模、內部控制缺失及改善要求；其次，應在三至六個月內建立全產業適用的資安事件處置指引，涵蓋事件分級、通報時限、第三方鑑識報告揭露程度、受害者通知義務及補救措施等重要內容。

高雄大學法學院永續發展暨企業治理研究中心表示，比比昂個資外洩事件雖屬單一個案，但所凸顯的監理與制度問題，已牽動整體電商產業資安治理能力。學界與業界共同期待，主管機關能以此事件為契機，建立具一致性、可預期性的資安治理框架，提升民眾對數位經濟及電子商務環境的信任。