韓國酷澎(Coupang Corp.)去年發生大規模個資外洩事件,日前確認波及台灣帳戶。數發部數產署今天表示,酷澎台灣個資管理存有缺失,這是重大案件,行政檢查報告近日將送行政院,同時,盡速通知酷澎台灣陳述意見,數產署將召開委員會評估裁罰事宜。
韓國酷澎去年11月發生個資外洩事件,數產署指出,今年2月底,酷澎台灣取得資安公司麥迪安(Mandiant)調查結果後,通報說明經第三方鑑識確認,攻擊者透過2000多個不同的IP網址,登入並接觸20萬4552名酷澎台灣用戶的個資,包括姓名、電子郵件、電話號碼、配送地址及部分訂單紀錄等。
數發部今天舉行新春媒體交流會,就酷澎台灣一案,數產署長林俊秀指出,依先前酷澎台灣表示,台灣與韓國的用戶資料庫有區隔,但檢查結果發現,不同資料庫的備援金鑰係相同,使用同一備援金鑰即可存取。此外,酷澎未刪除離職員工的權限及定期更換備援金鑰,離職員工仍可以原取得的備援金鑰進行資料庫存取。
林俊秀說,每年會行政檢查20家電商,也曾有裁罰案例。媒體關注是否會對酷澎台灣開罰,他指出,此案屬重大矚目案件,按照程序,行政檢查報告將送行政院,同時,數產署會盡速通知酷澎台灣陳述意見。
他說,後續數產署將召開委員會,邀集資安專家、刑事警察局等出席,依違失情節輕重、業者強化措施等,並參考過往案例,綜合評估裁罰事宜。
數發部長林宜敬強調,希望所有電商改善個資防護,包含技術與管理層面,數發部近期發現許多個資外洩源於內部人員,政府會給電商一些壓力,也會給予協助,提升資安韌性。
至於未來電商資料是否必須落地台灣,林宜敬表示,世界貿易組織(WTO)先前希望各國不要去要求資料落地,在國安考量下可例外。不過,現在美國態度有點改變,近年美國會要求軟體公司的資料要到美國落地,台灣會根據狀況做相應調整。
新聞
