比比昂個資外洩風暴延燒產學界籲數發部建立電商資安治理框架 | 生活

PChome網路家庭旗下日本跨境代購平台「比比昂(Bibian)」近日爆發個資外洩事件，引發外界高度關注。由於部分會員陸續接獲詐騙訊息，內容涉及真實姓名、聯絡電話、住址、訂單商品，甚至疑似包含身分證字號等敏感個資，使事件迅速延燒，也再度掀起國內對電商資安治理與個人資料保護機制的討論。高雄學界對此表示，主管機關應建立全產業適用的資安事件完整處理指引，讓業者遇事有所依循，也提升民眾對數位經濟與電子商務環境的信任。

據了解，比比昂於今年6月10日首次公告疑似會員訂單資料遭未授權取得，並於16日進一步坦承資料外洩源自公司內部系統。事件曝光後，網路上更傳出疑似與PChome相關的客戶資料遭放上境外論壇兜售，但相關資料的真實性與外洩規模，仍有待第三方專業鑑識單位進一步確認。

針對此次事件，長期關注資訊治理議題的國立高雄大學資訊管理學系副教授楊書成表示，資安事件具有高度技術複雜性，即使企業投入相當資源，也難保百分之百不會發生外洩事故，但主管機關應建立完整的處理指引，讓業者於事件發生後有所依循。

楊書成指出，企業面對個資外洩事件，至少應落實三項基本作業，包括「通報」、「稽核」與「揭露」，其中，通報是指在合理時限內向主管機關報備；稽核則需透過獨立第三方鑑識確認外洩範圍與成因；揭露則是向受影響的資料主體說明可能風險及補救建議。他強調，這些機制並非為了懲罰企業，而是協助事件快速收斂並保障受害者權益。

楊書成也提到，台灣《個人資料保護法》第22條授權主管機關得對個人資料檔案進行檢查，但在行政檢查的啟動時機、查核內容以及報告公開程度等實務操作上，至今仍欠缺一致性標準。他建議參考歐盟《一般資料保護規則》(GDPR)72小時通報制度，建立符合我國產業環境的資安應變機制。

另外，曾任企業法務、現為國立高雄大學法學院永續發展暨企業治理研究中心研究員的祝正華則指出，目前業界最大的困境並非不願配合政府，而是長期缺乏明確的行政指引，業者常陷入兩難，一方面擔心揭露過多造成恐慌，另一方面又害怕資訊揭露不足遭質疑隱匿事實。

祝正華認為，數位發展部成立至今已逾三年，卻尚未就電商個資外洩事件建立完整的處理指引。他也以日前EVERY8D簡訊平台疑遭駭事件為例，當時數位產業署迅速啟動行政檢查，然而面對比比昂主動承認系統遭入侵的事件，主管機關至今尚未對外公布行政檢查進度或相關處置標準，容易讓外界產生不同案件處理標準不一致的質疑。

祝正華進一步建議，數位發展部應分為兩階段進行補位，首先，針對比比昂個案啟動行政檢查並公布查證進度，包括外洩規模、企業內控缺失及後續改善要求；其次，應於三至六個月內建立全產業適用的資安事件處置指引，涵蓋事件分級、通報期限、第三方鑑識報告公開程度、受害者揭露義務以及補救措施等重要內容。

高雄大學法學院永續發展暨企業治理研究中心表示，比比昂個資外洩事件雖然屬於單一個案，但其所暴露出的監理空缺與制度問題，已牽動我國整體電商產業的資安治理能力。學界與業界共同期待數位發展部以本案為契機，透過積極執法與制度建構，建立可預期且具一致性的資安治理框架，提升民眾對數位經濟與電子商務環境的信任。