勞動部就業網站遭駭 敲響公共服務的資安警鐘
《重點摘要》勞動部就業網站遭駭,3筆個資恐外洩,但仔細看官方新聞稿,就知道問題出在哪,因為在新聞稿上,官方直接指出自己是怎麼作業的,真的是輕忽了。並且再往下討論,您自己就可以判斷,官方是否有責任。 勞動部勞動力發展署對於民間公司利用該署「台灣就業通」網站為便利求職求才媒合所提供之平台,透過不正當手段取得網站會員資料之行為,予以譴責。
勞動力發展署於今年7月間,於監控「台灣就業通」網站系統時,發現有相同的電腦IP位置大量連線登入不同會員帳號,疑有會員資料被不當取得之情事,立即採取下列因應措施:
1.封鎖可疑IP位址,以阻斷會員資料持續被不當取得。
2.將被登入之會員密碼改為隨機亂數,需洽客服中心確認為本人時,始同意變更密碼。
3.修改預設密碼為隨機亂數,提高安全性。
4.通報檢調單位。
本事件經分析係肇因於求職民眾至就業服務站求職媒合時申請加入台灣就業通會員,隨即由服務站人員告知申請人預設密碼,並請求職人返回居所後應立即登入網站變更密碼。惟求職人於申請加入會員後並未再登入台灣就業通網站變更密碼,致有心人士有機可乘。
本案現已進入司法程序,勞動力發展署後續將配合檢調單位調查結果辦理。期間將持續監控系統使用狀況,以確保資料安全。勞動力發展署強調,透過網站加入之會員,因係由民眾自行設定密碼,非使用預設密碼,因此不會受本事件之影響。
我認為不是主動移送嫌犯,或是歸咎民眾沒有變更密碼,就可卸責了。這個事件,算是敲響了公務機關資安與公共服務的警鐘,尤其未來的世界越來越數位化,公部門的能力如何快速進化追上,並且彌補數位落差,會是一個很大的課題。
我想問幾個小問題:
1、民眾到就業服務站,申請求職媒合時,被加入「台灣就業通」會員。這是否有取得民眾同意?民眾是否確實知道加入該系統的用意?當然口頭詢問同意也可以的。但需要盡到告知的責任,雙方所承擔的責任與風險與簽署書面資料一樣。這邊很容易卡在法律知識、數位資訊使用能力不足夠的民眾,官方如何盡到保護他們的責任?
2、幫民眾開通這個服務,申請了網路帳號,就預設了求職民眾家裡有電腦可用,有網路可用,而且會線上更改密碼,等同於會「上網技能」了。但有許多求職者,根本家裡沒電腦,也沒網路可用,卻要求他上網改密碼?
曾經去過就業服務站的朋友都知道,有許多在那邊尋求媒合的民眾,很多都是屬於電腦技能上相對弱勢的族群,有的甚至並不具備使用電腦或是上網能力,所以才需要到現場去尋求協助。相信勞動部看內部系統資料就清楚人力資源屬性的分佈了。只要你去現場待一兩個小時,就知道民眾求職情況與人力資源屬性,與一般的人力市場不一樣。
(這是我自己的經驗去觀察到的現象,所以沒有完整的數據驗證,當然,真正知道人力資源屬性分佈,勞動力發展署自身的系統最清楚)
3、為什麼去就業服務站,尋求媒合,就一定要加入「台灣就業通」會員,不能只在內部系統媒合,透過其他方式告知嗎?例如:電話、傳真、簡訊,或是親自回到就業服務站洽詢?「台灣就業通」網站是否有要衝會員數的 KPI ? 但不管有沒有這個 KPI,這個時代能用網路資訊系統去媒合,效率一定會高很多。
我寧願相信,「為了更快讓民眾找到工作」,這是就業服務處協助民眾加入系統的本意,但應該要考量到數位落差的問題。 對於沒有數位處理能力的民眾,你得保護他,甚至不該給他一個預設密碼都是固定「12345678」的網路帳號。
例如,在內部系統媒合,廠商端仍然可以看得到求職者的資訊,但是求職者並不需要一個帳號,求職者每次要看媒合結果,都得回到就業服務站,這樣的確會加重就業服務處的負擔,但是對於沒有電腦、不會使用網路的求職者,這不就是公部門該提供的功能嗎?
這有點像是你去銀行開戶,但你如果不會使用提款卡、不會使用網路,但卻申請了提款卡,申請了網路帳號,就多了一份風險。
你會發現,其實很多年長者習慣直接到櫃台去處理,不相信 ATM、不相信網路的,而且也不會操作這樣的資訊系統,就算你跟他說 ATM 多方便,網路多好用都沒用,他們不會、也不相信那個系統。因為這是要處理錢,很重要的。
如果銀行讓客戶簽署了提款卡申請書、網路銀行開通申請書,但這個客戶他都不知道該怎麼使用,或是保護自己,這是相對是提高了客戶帳戶的風險啊,常常會惹來不少紛爭。
例如客戶說從來沒用提款卡領過錢,可是銀行端的紀錄顯示,已經每個月都被領走10萬元,那是誰領走的呢?一定經常聽過這樣的故事吧。
甚至銀行也有一種提款卡+信用卡的複合卡片,我都認為對不理解這種產品的人而言,只是增加他帳戶與個人信用的風險而已,但是簽署了申請書、同意書,銀行端的確是排除了責任也賺到了業績。(有去銀行或郵局,換過提款卡的都可能有過這種經驗,有些窗口會積極推銷提款卡+信用卡的複合卡)
但是這樣的方式,是否適用於官方?我認為就算官方完全沒有法律責任,但是政府仍然有絕對的責任與義務,得想盡辦法保護民眾,尤其缺少某些能力的民眾,這是政府存在的意義,也是民眾依賴政府的信任啊。
金錢的處理,大家都非常謹慎,然而,個人資料呢?在這個時代,這可能比金錢更重要!!
4、你知道為什麼官方的就業服務站會有那麼多求職者的資料嗎?因為「就業保險失業認定作業原則」。
如果你沒被資遣過,可能不會知道,為什麼就業服務處很重要。當你「非自願失業」,要請領失業給付的時候,就必須要就業服務處填寫資料,並且每個月經過「公立就業服務機構執行失業(再)認定之推介就業」失敗,找不到工作,每個月才能領到失業給付。
所以,如果我猜測,曾經去就業服務處找工作,被就業服務處協助加入會員的民眾,當密碼都是預設的狀態,沒有更改過,個資都可能外洩,因為用個小爬蟲程式,一下子所有個資都被完整的抓走了。
- 我們來看看《個資法》第十二條:
本法第六條第一項但書第二款及第五款所稱適當安全維護措施、第十八條所稱安全維護事項、第十九條第一項第二款及第二十七條第一項所稱適當之安全措施,指公務機關或非公務機關為防止個人資料被竊取、竄改、毀損、滅失或洩漏,採取技術上及組織上之措施。
前項措施,得包括下列事項,並以與所欲達成之個人資料保護目的間,具有適當比例為原則:
一、配置管理之人員及相當資源。
二、界定個人資料之範圍。
三、個人資料之風險評估及管理機制。
四、事故之預防、通報及應變機制。
五、個人資料蒐集、處理及利用之內部管理程序。
六、資料安全管理及人員管理。
七、認知宣導及教育訓練。
八、設備安全管理。
九、資料安全稽核機制。
十、使用紀錄、軌跡資料及證據保存。
十一、個人資料安全維護之整體持續改善。
是否有做好《個資法》中的「保護措施」。
再者,「就業服務業 」是特許行業,勞動部自己有一個辦法:「人力仲介業個人資料檔案安全維護計畫及處理辦法」,總共 25 條,這是用來管「私立的人力仲介業者」,但勞動部的就業服務處是否自己有「自主管理」與「自願性」遵守好這個辦法呢?這個辦法當個資外洩的時候,是可以追溯到專職機構,以及負責的專人。
另外,公立的就業服務處,是透過「公立就業服務機構設置準則」而設立的。並有「公立就業服務機構就業諮詢及職業輔導實施辦法」,在說這個機構做些什麼事情。
除了個資法以外,還翻不到相關就業服務處該遵守的個資相關法令。所以,目前就查找到資料看來,官方受到的規範好像比民間還少。
如果,公立的就業服務機構,不用遵守「人力仲介業個人資料檔案安全維護計畫及處理辦法」,那真的令人擔心,因為公部門不是應該比民間更嚴謹嗎?
就先簡單問到這邊吧,這個事件來說,勞動力發展署,跟涉嫌入侵的某公司,兩方的法律責任是不一樣的,也不是單純的一個加害者跟受害者的關係,因為牽涉到眾多的民眾,但我們先不提求償,或是法律責任吧。不過可以參考一下《個資法》第四章損害賠償及團體訴訟,例如第二十八條 :
公務機關違反本法規定,致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者,負損害賠償責任。但損害因天災、事變或其他不可抗力所致者,不在此限。
被害人雖非財產上之損害,亦得請求賠償相當之金額;其名譽被侵害者,並得請求為回復名譽之適當處分。
依前二項情形,如被害人不易或不能證明其實際損害額時,得請求法院依侵害情節,以每人每一事件新臺幣五百元以上二萬元以下計算。
對於同一原因事實造成多數當事人權利受侵害之事件,經當事人請求損害賠償者,其合計最高總額以新臺幣二億元為限。但因該原因事實所涉利益超過新臺幣二億元者,以該所涉利益為限。
同一原因事實造成之損害總額逾前項金額時,被害人所受賠償金額,不受第三項所定每人每一事件最低賠償金額新臺幣五百元之限制。
第二項請求權,不得讓與或繼承。但以金額賠償之請求權已依契約承諾或已起訴者,不在此限。
但你說三萬筆個資多不多?洩漏內容嚴重嗎?去「台灣就業通」網站,申請加入會員,就知道要填寫多少欄位了,可以簡單推斷,當你這樣的資料被外洩,擔不擔心了。
這個事件,官方不能自認自己是「受害者」,或是系統「被入侵」的角度來看,受害者是這些求職民眾,遭受損害的仍是人民啊!如果這個事件是發生在民間的人力仲介業,那會引起多大的風波呢?
官方不能自認自己是「受害者」,受害者是這些求職民眾,遭受損害的仍是人民啊!
而且這不能單純以系統資安來看這個問題,單單這個事件就牽涉非常多條法令(絕對不只上述的法令),更是要通盤檢討這環環相扣的公共服務品質,是怎麼一回事。相信您應該也有看到,哪個環節出了漏洞吧。
就業服務處是一個很重要的服務機構,基層的服務人員也非常辛苦在處理這些業務,殷殷期盼勞動部可以更全面的檢討這個問題。
我仍然相信,原本的目的,就是為了加速民眾求職的媒合效率,讓更多失業者儘快找到工作(如果一個想領滿6個月的失業給付者不在此限),降低失業率,所以才幫民眾加入「台灣就業通」系統。
但是這個公共服務系統的確出了漏洞與問題,絕不是改了帳號密碼原則後就沒事了,管理規範的不足、課責對象不明、負責的層級不夠高,破口仍然存在,未來可能還會出事,其他的公部門也要借鏡這次的事件,積極的保護民眾個資。
另外,如單純將範疇限制在「資安」領域,以這個官方發生在自身真實的資安事件,行政院等級的「國家資通安全會報」與「資通安全處」,並加上排在優先法案。打算年底通過的《資安管理法》,未來對於類似這樣發生在公務機關身上的資安事件,會不會降低呢?會不會改善未來公務機關的資安體質呢?
這個案例,是可以當成一個模擬試題,也是一個很好對民眾說明新法案的好機會。
公共服務要做的好,難就是難在,不能只提供一元化的服務,因為公部門不能預設民眾得具備特定的技能啊,例如你的服務只提供 網站、App、甚至 VR 好了,沒有這些能力的民眾,你是否要將他排除在公共服務網之外呢?
