國際新興勒索軟體組織Settra日前於暗網公開一份長達12頁的滲透報告,點名PChome網路家庭旗下拍付國際資訊股份有限公司(Pi拍錢包),宣稱掌握約102GB資料,內容涉及約350萬筆會員個人資料、近9年營運紀錄,以及Pi拍錢包、PChomePay支付連、PayLink等支付服務相關系統文件與API串接技術資料,引發國內電商與支付產業高度關注。對此,國立高雄大學法學院永續發展暨企業治理研究中心表示,近日比比昂會員資料外洩及此次PChome支付事業遭Settra點名事件,不僅反映企業面臨的資安挑戰,更凸顯我國電商及支付產業在監理制度與資安治理仍有精進空間。

不過,目前外界所流傳的內容仍屬駭客組織單方面宣稱,實際資料是否遭外洩、外洩規模及內容真實性,仍有待拍付國際資訊股份有限公司、PChome網路家庭及主管機關進一步查證與第三方資安鑑識結果確認。根據PChome網路家庭於6月30日公開說明,並未發現主網站或核心系統遭入侵,而旗下拍付國際資訊股份有限公司則證實已收到勒索訊息,除依法通報數位發展部外,也同步委請第三方資安鑑識機構進行獨立調查,以釐清事件影響範圍。

全站首選:投書》評比敬陪末座、違規強推載客!撕開Uber與Grab的「股權套利」面具

值得注意的是,同屬PChome集團旗下的日本跨境代購平台比比昂(Bibian),亦於今年6月16日公開承認發生獨立會員個資外洩事件。短短一個月內,集團旗下不同服務接連爆出資安事件,使外界再次聚焦我國電子商務產業及數位支付平台的整體資安治理能力。

國立高雄大學法學院永續發展暨企業治理研究中心研究員祝正華指出,目前業界最大的困境並非主管機關介入過多,而是在不同案件中,行政介入的速度、深度及標準缺乏一致性。他以近期資安事件為例指出,EVERY8D簡訊平台疑遭駭時,主管機關迅速啟動行政檢查,然而比比昂事件及此次PChome支付事業事件,截至目前仍未見主管機關公開行政檢查進度或相關處理標準說明。

祝正華表示,相同性質案件若採取不同處理模式,容易讓守法企業產生差別待遇的疑慮,甚至可能降低企業主動通報資安事件的意願,不利於整體資安治理文化建立。他認為,主管機關應建立透明、可預期且一致性的監理制度,才能兼顧企業配合意願與社會信任,產學界也共同期待,數發部能藉由此次事件建立透明且可預期的資安治理框架,提升企業資安韌性,同時增強民眾對電子商務、數位支付及數位經濟環境的信任感。

當前熱搜:譴責中國民族團結法遭藍白封殺!綠委轟:中共同路人!連守護台灣人民都不敢表態

針對制度改革方向,祝正華建議可參考歐盟《一般資料保護規則》(GDPR)72小時通報制度,以及《網路與資訊系統安全指令》(NIS2)多階段事件通報機制,建立符合我國電子商務與數位支付產業需求的資安事件處理流程;主管機關可分為兩階段推動:第一階段,儘速對外說明比比昂事件及PChome支付事業事件的查證進度與行政立場,第二階段,建立適用全產業的資安事件處置指引,包括事件分級、通報時限、第三方鑑識報告揭露程度、資料主體通知義務及補救措施等五大重點。