因個資外洩造成的社會詐騙層出不窮,為了因應此一問題,刑事警察局持續藉由公布高風險名單,包括網購平臺、商家或組織,通知業者疑個資外洩情事發生,並提醒民眾注意相關詐騙,但仍有許多人上當,在1月22日刑事警察局發布的最新公告中,揭露了2021年全年前5大高風險賣場名單,前五名分別是:誠品書店、東森購物、蝦皮購物、婕洛妮絲、金石堂,而且,光是警方受理這些商家的件數,就逼近3千。
對此,大家須再提高警覺,因為自2021下半年開始,警方接獲民眾報案件數,開始出現大幅增加情形,而且,臺灣社會資料外洩嚴重的問題,不只發生在網路購物平臺,還包括實體通路餐飲業王品集團,以及多個公益慈善機構,他們本身都擁有大量的會員資料,以及捐款者資料。
2021個資外洩情形比往年嚴重許多,報案件數大幅增加
根據刑事警察局統計,2021年解除分期詐騙的5大民眾通報高風險賣場中,誠品書店有940件、東森購物有868件、蝦皮購物有500件,三者的情況最嚴重,民眾通報件數都在5百件以上,前兩名更是都將近1千件,超越警方歷年公布的年度統計資料,相關個資外洩及詐騙風險達到前所未見的程度。
回顧2020年,當時刑事警察局統計出來的高風險賣場,第一名為383件,第二到第五名都是2百多件,對比之下,2021年通報件數的確處於暴增狀態。
不僅誠品網路書店、東森購物等網路購物平臺屢屢上榜,以實體店面為主要經營環境的王品集團也值得關注。而在長期追蹤之下,我們發現這樣的狀況,根據警方每週公布解除分期詐騙案的結果,該集團旗下持續有多個餐飲品牌入榜,這段時間通報案件應該不少,對此,我們向警方徵詢更多資訊,這當中涵蓋的餐廳有:西堤牛排、王品牛排、陶板屋,以及夏慕尼、品田牧場、原燒、聚北海道鍋物、和牛刷與其他等,總共有587件。
若以此數量來看,該集團僅低於誠品書店與東森購物,堪稱全年度通報件數第三多。
對於詐騙件數暴增的主要原因,刑事警察局預防科偵查員林奕辰表示,主要是2021年疫情關係,網路購物興盛,以及外洩資料太多而導致,儘管警方長期不斷提醒小心這樣的詐騙手法,宣導ATM並不提供解除分期功能,希望民眾接獲相關電話應主動求證,但至今仍有民眾上當。由於警方提醒多年,因此民眾若被騙本身亦有責任,應注意詐騙集團使用的話術會不斷轉變,因此民眾須具備資安與防詐意識。
內政部警政署刑事警察局165反詐騙於1月22日,公布2021年全年前5大高風險賣場名單,分別是:誠品書店、東森購物、蝦皮購物、婕洛妮絲,以及金石堂。其中誠品書店、東森購物兩者快要千件最為嚴重。警方呼籲民眾要避免被騙,也督促電商強化資安。
在2021年警方每周公布的高風險賣場中,王品集團旗下多個餐飲品牌出現在榜上的次數不少,雖然品牌多呈現也很分散,但同一集團同時入榜的狀況,也引發關注。舉例來說,在2021年5月的一周,陶板屋、聚北海道鍋物與夏慕尼入榜,在11月的一周,有西堤牛排、王品牛排與陶板屋入榜。我們向警方取得相關統計資訊,王品集團旗下餐飲品牌的加總件數為587件。
警方持續公布高風險賣場揭露疑個資外洩商家,業者是否找出根因受關注
究竟這些業者的個資外洩是何種狀況?從2021年最嚴重的三家業者來看出端倪。
以誠品書店而言,警方是在2021年4月間,接獲多位受害者遭詐騙報案,許多網友當時也都在網路上發文指出,對方不僅假冒為誠品的客服人員,而且相當清楚客戶的訂單內容、日期、金額與住址等資訊,甚至,詐騙集團還會再假冒金融機關人員來電。對此誠品雖然發布防詐騙電子郵件與公告,但遲遲並未針對個資外洩事件詳細說明他們調查的結果。
後來,這樣的情形還是持續發生。在2022年1月6日,立法委員劉世芳因接獲相關陳情,而召開「誠品資安有漏洞,消費者權益誰來顧?」記者會,列席的刑事局科技研發科科長林建隆指出,誠品書店的會員民眾遭受詐騙後,向警方報案,集中在4月、6月、8月到12月,但該公司並未有效找出這個資安事件個資外洩的根因,因此,他建議業者需要假設某一天會被入侵的思維,才能解決問題。
面對這些廠商無法改善的狀況,政府是否該採取更積極的行動?經濟部商業司專委蕭旭東表示,他們將依照個人資料保護法第22條規定,先啟動行政檢查,若該公司仍無法達到個資法或主管機關的要求,再依個資法第48條規定,令業者限期改善,若無法達成保護消費者個資的要求,將可執行行政裁罰。
另一家民眾通報件數僅次於誠品書店的東森購物,他們是從2021下半年,開始被傳出資料外洩事件,但民眾通報件數竟迅速升到全國全年度第二。警方是在2021年8月後密集接獲民眾報案,9月曾有網友發文表示,他們曾接獲冒名東森購物客服人員的電話,對方竟能與其核對姓名、購買日期及購買內容等,可見業者個資洩漏的欄位並不少。更受關注的是,單看第四季而言,就有453件民眾通報,以這段期間而言,狀況可能比誠品書店更為嚴重。
至於王品集團,在2021年3月,公告王品牛排所屬的「電子菁英會員」系統的顧客資料被盜,並持續向會員發布防詐騙簡訊與公告。
然而,王品集團旗下多個品牌的餐飲事業,也都出現客戶個資外洩問題,似乎未能解決,許多受害者報案,也有人曾接到詐騙電話。在11月底,桃園市前議員王浩宇也於臉書發文,指控王品集團旗下品田牧場發生個資外洩狀況,詐騙集團清楚知道他的用餐時間、餐點與金額。
就目前的狀況來看,警方已公開指出,誠品書店仍未找到資安事件根因,須設法改善,但王品集團與東森購物是否也出現同樣狀況,將是大眾另一個持續關注的焦點,而且,這些問題若不徹底解決,商家個資外洩引發的詐騙事件,仍可能會一再發生。
諷刺的是,這三家業者雖然都發布防詐騙公告,通知會員與消費者提高警覺,但僅有王品牛排坦承顧客資料遭盜竊,其他業者卻並未主動對外表達他們是否受害與處理狀況,有欺騙消費者的嫌疑。
面對這些事件的發生,各界都很關注來龍去脈。就結果而言,由於詐騙者清楚知道訂單明細與個資,但個資外洩究竟如何發生?問題出在消費者端,還是商家與其合作夥伴?商家真的進行調查了嗎?若是業者遲遲找不出原因,也還是必須對外說明,同時,民眾期望政府能為他們的權益把關,而能加強督導,勢必會加強監管企業的力道。
2021每季解除分期詐騙前5大高風險賣場名單
這幾年,刑事警察局每週公布高風險賣場名單與件數,並提醒民眾注意相關詐騙,根據2021年每季公布的資料來看,第一季與往年相差不大,但自第二季開始,解除分期詐騙的報案件數開始大增,甚至第四季光是東森購物的案件數,就逼近第一季前五名總和。
出現因大量捐款資料外洩引發的詐騙事件
除了上述業者遭遇個資外洩的資安事件,2021年還有個特殊現象,那就是:公益慈善募款機構的資料庫,也不幸被詐騙集團取得,並用於詐騙。
關於這類型通報案件,警方指出,自2021年7月27日至今,也就是大約半年的時間,詐騙集團假冒公益慈善機構進行解除分期付款詐騙,其報案諮詢加總為370件,並有多達數十家公益慈善機構都遇駭,因詐騙方掌握捐款人姓名、電話、捐款金額等資料,藉此取信被害人,再利用解除分期詐騙手法重新包裝話術,致使善心民眾上當。
這起事件的發生,讓多個慈善機構意識個資保護重要性,須關注系統委外合作的資安防護。因為這源於多個公益機構協會使用的資訊服務商網軟遭駭,後續網軟公司也已在自家網站發布了資安公告。
在此同時,非營利組織資安該如何做的議題,也因此受到外界更大的關注,畢竟在經濟能力與行政作業的完備度上,非營利組織仍與商業組織很大的差異,政府該如何協助與輔導也成議題。
違反個資法有公開判例可參考
關於電商業者因違反個人資料法遭法院判決或提起上訴,近期是否有相關公開判例,可供外界參考,對此,刑事警察局預防科提供了三個公開判例:
●臺灣士林地方法院 109 年度 湖簡 字第 1959 號 判決
●臺灣新竹地方法院 108 年度 竹小 字第 68 號 判決
●臺灣臺北地方法院 110 年度 北小 字第 1949 號 判決
解除分期詐騙手法不再只是針對網路購物平臺,「高風險賣場」一詞可能也要適時調整
刑事警察局每週公布高風險賣場名單已有多年,但隨著解除分期詐騙手法,現在已經不只針對網路購物平臺,還有包括擁有客戶資料庫的餐飲與服務業,甚至是擁有捐款者資料的公益慈善機構,這也讓使得「高風險賣場」一詞的適用性,可能有需要適時調整。
但要如何調整,這不僅考驗著執法單位,也反映了現實的局勢。雖然,過去資料外洩問題主要發生在線上購物平臺,不過現在的商家多朝向線上與線下整合發展。
舉例來說,以網購平臺而言,像是誠品網路書店有實體門市,也有線上購物;而非網購平臺而言,像是王品集團也發展線上會員,除了旗下個別品牌有會員系統,像是王品牛排的電子菁英會員,而集團本身也有像是「王品瘋美食」App的會員系統。再者,以2021年8月2日到8月8日的每週高風險賣場為例,當時詐騙集團非法取得捐款資料,運用解除分期詐騙手法,假冒公益慈善機構致電捐款者,由於使用手法相同,因此,遭民眾通報的公益慈善機構,也被列為高風險賣場。
如此看來,儘管「高風險賣場」一詞沿用多年,未來是否有需要調整,才不會讓民眾搞混,以為這些機構也在網路賣東西,是執法單位可以探討的面向。
熱門新聞
2024-12-10
2024-12-08
2024-12-10
2024-12-10
2024-11-29
2024-12-10
2024-12-11