這兩天資安界最大條的新聞之一,就是「勞動部就業網站遭駭3萬筆個資恐外洩」。新聞內容是這樣的:
新北市一間國際資產管理公司涉嫌自今年7月起入侵勞動部勞動力發展署「台灣就業通」網站,竊取3萬多筆民眾個資,勞動部向新北市調處報案。新北地檢署今天指揮市調處人員發動搜索,約談該公司劉姓營運長、王姓人事經理,釐清竊取個資用途。
檢調指出,勞動部勞動力發展署今年7月間進行網站系統監控,發現有相同的IP位址,利用不同的會員帳號(即身分證字號)登入「台灣就業通網站」,並盜取民眾個人資料,勞動力發展署發現後,封鎖該IP位址並變更登入方式,向新北市調查處報案。
仔細讀讀官方新聞稿就知道問題出在哪,您自己就可以判斷,官方有沒有責任了。
勞動部勞動力發展署對於民間公司利用該署「台灣就業通」網站為便利求職求才媒合所提供之平台,透過不正當手段取得網站會員資料之行為,予以譴責。
勞動力發展署於今年7月間,於監控「台灣就業通」網站系統時,發現有相同的電腦IP位置大量連線登入不同會員帳號,疑有會員資料被不當取得之情事,立即採取下列因應措施:
- 封鎖可疑IP位址,以阻斷會員資料持續被不當取得。
- 將被登入之會員密碼改為隨機亂數,需洽客服中心確認為本人時,始同意變更密碼。
- 修改預設密碼為隨機亂數,提高安全性。
- 通報檢調單位。
本事件經分析係肇因於求職民眾至就業服務站求職媒合時申請加入台灣就業通會員,隨即由服務站人員告知申請人預設密碼,並請求職人返回居所後應立即登入網站變更密碼。惟求職人於申請加入會員後並未再登入台灣就業通網站變更密碼,致有心人士有機可乘。
本案現已進入司法程序,勞動力發展署後續將配合檢調單位調查結果辦理。期間將持續監控系統使用狀況,以確保資料安全。勞動力發展署強調,透過網站加入之會員,因係由民眾自行設定密碼,非使用預設密碼,因此不會受本事件之影響。
「台灣就業通」使用現場的實情
我想問幾個小問題:
第一,民眾到就業服務站,申請求職媒合時,被加入「台灣就業通」會員。這是否有取得民眾同意?民眾是否確實知道加入該系統的用意?當然口頭詢問同意也可以的,但需要盡到告知的責任;雙方所承擔的責任與風險與簽署書面資料一樣。但是遇到民眾法律知識、數位資訊使用能力不足時,官方如何盡到保護他們的責任?
第二,幫民眾開通這個服務,申請了網路帳號,就等於預設求職民眾家裡有電腦可用,有網路可用,而且會線上更改密碼,具備足夠的上網技能」。但事實是許多求職者,根本家裡沒電腦也沒網路可用,卻要求他上網改密碼?
許多尋求就業媒合的民眾,無法使用電腦上網,幫他們開帳號反而增加風險。
曾經去過就業服務站的朋友都知道,有許多尋求媒合的民眾屬於電腦技能上相對弱勢的族群,有的甚至不會用電腦或上網,所以才需要到現場去尋求協助。勞動部只要看內部系統資料就能清楚人力資源屬性的分佈,甚至不用看系統資料,只要到就服站現場待上一兩個小時,就會看到求職民眾的人力資源屬性,與一般的人力市場不一樣。這是筆者自己的觀察,並沒有完整的數據驗證,勞動力發展署自身的系統最清楚人力資源屬性分佈。
強迫數位技能不足民眾使用系統,只是增加風險
第三,為什麼去就業服務站尋求媒合,就一定要加入「台灣就業通」會員?不能只在內部系統媒合,透過其他方式告知嗎?例如:電話、傳真、簡訊,或是親自回到就業服務站洽詢?
「台灣就業通」網站是否有要衝會員數的KPI ? 但不管有沒有這個KPI,這個時代能用網路資訊系統去媒合,效率一定會高很多。我寧願相信就業服務處協助民眾加入系統的本意是為了更快讓民眾找到工作,但應該要考量到數位落差的問題;對於沒有數位能力的民眾,你得保護他,甚至不該給他一個預設密碼都是固定「12345678」的網路帳號。
例如,在內部系統媒合,廠商端仍然可以看得到求職者的資訊,但是求職者並不需要一個帳號;求職者每次要看媒合結果,回到就業服務站就好。這樣雖然會加重就業服務處的負擔,但是對於沒有電腦、不會使用網路的求職者來說,這不就是公部門該提供的功能嗎?
這有點像是你去銀行開戶,但你如果不會使用提款卡、不會使用網路,但卻申請了提款卡,申請了網路帳號,就多了一份風險。你會發現很多年長者習慣直接到櫃台,不相信 ATM、不相信網路,而且也不會操作這樣的資訊系統。就算你跟他說 ATM 多方便,網路多好用都沒用,他們不會、也不相信那個系統。因為這是要處理錢,很重要的。
如果銀行讓客戶簽提款卡申請書、網路銀行開通申請書,但客戶不知道該怎麼使用,也不知如何保護自己,不就是提高客戶帳戶的風險嗎和紛爭可能嗎?金錢的處理,大家都非常謹慎,然而個人資料呢?在這個時代可能比金錢更重要!
第四:大家知道為什麼官方的就業服務站,會有那麼多求職者的資料嗎?因為根據「就業保險失業認定作業原則」,當你「非自願失業」,要請領失業給付的時候,就必須要就業服務處填寫資料,就業服務處會根據「公立就業服務機構執行失業(再)認定之推介就業」幫你從「台灣就業通」中找兩個職務缺給你應徵,應徵失敗後才能領到當月的失業給付;而且如果一直找不到新工作,就得每個月到就業服務站再進行認定、推薦、應徵,直到找到新工作或失業給付申領期限屆滿為止。
所以筆者猜測,曾經去就業服務處找工作,被就業服務處協助加入會員的民眾,因為都是採用預設密碼「12345678」,個資都可能外洩。用個小爬蟲程式,就能一下子所有個資完整抓走了。
政府單位的法律責任
我們再來看看個資法第十二條:
本法第六條第一項但書第二款及第五款所稱適當安全維護措施、第十八條所稱安全維護事項、第十九條第一項第二款及第二十七條第一項所稱適當之安全措施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施。
前項措施,得包括下列事項,並以與所欲達成之個人資料保護目的間,具有適當比例為原則:
一、配置管理之人員及相當資源。
二、界定個人資料之範圍。
三、個人資料之風險評估及管理機制。
四、事故之預防、通報及應變機制。
五、個人資料蒐集、處理及利用之內部管理程序。
六、資料安全管理及人員管理。
七、認知宣導及教育訓練。
八、設備安全管理。
九、資料安全稽核機制。
十、使用紀錄、軌跡資料及證據保存。
十一、個人資料安全維護之整體持續改善。
依這條法條的規定來看,發生這麼嚴重的低級錯誤,台灣就業通是否有做好「保護措施」?
再者,「就業服務業」是特許行業,勞動部自己有一個內部辦法:「人力仲介業個人資料檔案安全維護計畫及處理辦法」,總共 25 條,這是用來管「私立的人力仲介業者」,但勞動部的就業服務處,是否在「自主管理」與「自願性」方面遵守了這個辦法呢?依據這個辦法,當個資外洩的時候,可以追溯到專職機構,以及負責的專人。
另外,公立的就業服務處,是透過「公立就業服務機構設置準則」而設立的;另外還有「公立就業服務機構就業諮詢及職業輔導實施辦法」,說明並規定這個機構作些什麼事情;除了個資法以外,還翻不到相關就業服務處該遵守的個資相關法令。以目前查到的資料來看,官方受到的規範比民間還少。
官方就業機構受到的法律規範,比民間還少。
如果公立的就業服務機構,不用遵守「人力仲介業個人資料檔案安全維護計畫及處理辦法」,那真的令人擔心;因為公部門不是應該比民間更嚴謹嗎?
以這個事件來說,勞動力發展署跟涉嫌入侵的某公司,兩方的法律責任是不一樣的;也不是單純的一個加害者跟受害者的關係,真正的受害者應該是眾多個資外流的民眾。但我們先不談求償或是法律責任吧,先來看一下《個資法》「第四章 損害賠償及團體訴訟」 ,例如第二十八條的內容:
公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所
致者,不在此限。被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。
依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。
對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益
超過新臺幣二億元者,以該所涉利益為限。同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。
第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者,不在此限。
三萬筆個資多不多?洩漏內容嚴重嗎?不妨去「台灣就業通」網站申請加入會員,就知道要填寫多少欄位了。既然這個網站跟你要這麼多資料,資料外洩時你擔不擔心?
[caption id=”attachment_80143" align=”alignnone” width=”517"]
註冊「台灣就業通」的「部分」畫面。[/caption]
亡羊補牢
官方絕不能自認自己是這個事件的「受害者」,或是系統「被入侵」的角度來看這個事件。真正的受害者是資料外流的求職民眾,遭受損害的是人民啊!如果這個事件是發生在民間的人力仲介業,那會引起多大的風波呢?
也不能單純以系統資安的角度來看這個問題。這個事件牽涉非常多條法令(絕對不只上述的法令),除了追究相關的法律責任外,更重要的是通盤檢討這環環相扣的公共服務品質,到底哪些環節出了問題。
官方不能自認是這個事件的受害者,真正的受害者是資料外流的求職民眾。
就業服務處是一個很重要的服務機構,基層的服務人員處理各種業務也非常辛勞,筆者殷殷期盼勞動部可以更加全面檢討這個問題。我仍然相信台灣就業通設立的宗旨,就是為了加速民眾求職的媒合效率,讓更多失業者儘快找到工作,降低失業率。但是這個公共服務系統的確出了漏洞與問題,絕不是改了帳號密碼原則後就沒事了。管理規範的不足、課責對象不明、負責的層級不夠高,破口仍然存在,未來可能還會出事。
另外,如果單純將這件事限制在「資安」領域檢討,行政院等級的「國家資通安全會報」與「資通安全處」,再加上排在優先法案,打算年底通過的「資安管理法」,對於類似這樣發生在公務機關身上的資安事件,將會如何處理?這個案例可以當成一個模擬試題,值得相關單位深思。
