2018年暑假，21歲的偉峰（化名）還是大學生，剛從實驗室離開的他，原先想回宿舍休息一陣。忽然手機震動，他一如往常地接起電話，宣稱是「讀冊生活網路書店」的工作人員告訴偉峰，因為工讀生操作失誤而新增了50筆交易紀錄，為了更正，稍後郵局將聯繫他進行後續處理。

偉峰一開始半信半疑，接著手機響起顯示「台中郵政總局」，偉峰不疑有他將手機接起，跟隨手機另一頭人員的指引，往學校的郵局ATM操作。當操作完畢、掛上電話，他才驚覺不對，自己已被詐騙集團騙取4萬多元。

「他的電話不讓你有任何插嘴的時間，劈里啪啦一口氣講，告訴你應該怎麼做。」偉峰至今回想起4年前的案件，仍歷歷在目，甚至無法相信當時竟隨著電話另一頭的陌生人操作，主動將自己戶頭中的存款轉帳給詐騙集團。

像偉峰受詐騙的案例在台灣並不罕見。詐騙集團嘗試得到消費者在網路交易的個人資料，並竄改來電號碼、冒充商家客服或銀行人員，透過話術說服消費者該筆交易被誤設為連續扣款，要求民眾操作ATM，而這正是典型的「解除分期付款詐騙」案件。

根據內政部警政署統計，2021年所有詐騙案件類型中，「解除分期付款」占比第二高。此類型詐欺案件超過4,000件以上，受害者更高達上萬人，人數不見減緩趨勢。

「我其實只有在讀冊上訂過一本二手書，但也因為那次就接到了詐騙電話，」偉峰說。

「我們嘗試了各種解決策略，」儘管近期已不再被列為「高風險賣場」，讀冊生活董事長張天立回想起當時情景，受訪時仍無奈說道，「2020年初又發生了一次個資外洩，我們5月找了某家資安公司協助（處理），結果當年8月還是被駭。」

就算時間來到2022年，網路交易資料仍是駭客認為可以詐取消費者錢財的「可貴資產」，並持續攻擊台灣各個網路店家的網頁、竊取個資。統計2022年165反詐騙官網所列出的「高風險賣場」，其中就曾有129間電商上榜，出現週數前三名賣場分別為──博客來、誠品書局及蝦皮拍賣，皆是著名的電商龍頭。

記者嘗試聯繫2022年個資外洩最嚴重的博客來網路書店，但僅收到博客來的書面回覆：「內部持續加強資安管理，確保交易流程無異常，並取得資安最高認證，同時持續積極配合檢調調查，以確保消費者權益。」顧及商譽與企業形象，部分企業不會主動談起內部網站漏洞，僅會宣稱事件皆已妥善處理。

刑事局科技研發科代理科長莊明雄認為，為求商業利益與成本考量，業者不會輕易承認自己個資外洩，或他們不一定有能力查找個資外洩的問題在哪，「如果承認就必須負起責任，接受被主管機關開罰的決定，或因個資外洩而受到的名譽受損。」

刑事局預防科祕書林明俊作為反詐騙165專線的第一線，深知一個特定店家或組織發生個資外洩，背後牽涉到的是一整條產業鏈，「這些組織、電商配合廠商非常多、非常複雜。」包含管理端、系統端、物流端等。每個步驟的資料拋接、人為操作、或電腦被惡意程式安裝後門，都可能發生斷點，若稍不注意，都可能發生個資外洩。

然而，個資外洩事件始終不減，難道政府無法可管？「為什麼解除分期付款詐欺在台灣橫行20幾年，而且一直沒辦法解決，甚至愈來愈多，那原因是什麼？因為對這些廠商來講，沒有後果啊！」作為第一線的執法單位，林明俊指出政府的管理力道不足，民眾依法求償也困難重重，就算業者發生個資外洩，也可能不會受罰或遭民眾求償。

其實行之有年的《個人資料保護法》（以下簡稱《個資法》）及政府各機關所訂定的子法，早已針對個資外洩事件處理訂定完整的標準流程。

以無店面的電商為例，過去主管機關為經濟部商業司，在2022年8月因應數位發展部的成立，主管機關與相關業務也移轉至數位發展部的數位產業署之下。

早在2015年，經濟部商業司便曾組成「網際網路零售商品之公司行號個資保護行政檢查小組」。從初步的訪視、稽查，到召開行政檢查、限期改善甚至執行裁罰，看似完善的流程，卻未降低個資外洩事件的發生。

曾研究電商個資外洩實務事件與法規的東吳大學法律學系研究所畢業生蔣哲宇認為，業者沒意識到個資外洩的嚴重性，且不了解違反《個資法》可能的風險與代價；主管機關並不會主動公布這些裁罰情形，可能是業者忽視資訊安全的一大原因。舉例而言，經濟部商業司過去有許多積極作為，但相關網站幾乎看不到這些行政檢查結果與裁罰情形。

此外，林明俊也提到，目前《個資法》所規定的2萬至20萬元裁罰金額對電商而言「不痛不癢」，業者並不會因此有所警惕。記者透過行政院訴願決定查詢系統，試圖爬梳過去是否有電商業者因不服主管機關裁罰，而向行政院提起訴願救濟。以讀冊生活過去2次訴願為例，警政署在2016年至2020年期間共將其移送主管機關查處6次，並召開5次行政檢查會議，先後因個資外洩事件遭經濟部裁罰4萬、6萬、10萬及8萬，總計僅28萬元，但根據媒體報導，單是2020年1月至8月，因讀冊生活個資外洩所造成的詐騙案件財物損失卻超過2,200萬元。

「裁罰還是主管機關做認定，但移送100件可能也只會裁罰3、4件，而且罰的金額可能只有幾萬，但一個電商造成的詐騙案件（財損）合計可能上億元，」林明俊感嘆，裁罰案件數少且裁罰金額低，企業並不會在意。

不過企業方如讀冊生活則認為，他們過去嘗試各種資安解決方案，認為已經確實按照主管機關要求改正事項並提出報告，尚無法完成的部分也正持續努力，主管機關卻仍不採納，並祭出裁罰。讀冊生活董事長張天立認為重點是解決問題，而非裁罰，「我們當然也是行禮如儀，一定要跟他講說我做了哪些，他們不高興會覺得我們做得太慢，那我也沒辦法。」他無奈表示，裁罰並不一定能解決問題，讀冊生活仍須持續努力布建完整的資安建置。

負責偵辦科技犯罪、資安鑑識的刑事局科技研發科代理科長莊明雄觀察，過去真正進入裁罰的業者比例極低，2021年過後並沒有任何電商遭到裁罰。然而他認為祭出裁罰才是有效的做法，「如果開罰能讓業者重視，我覺得是好事。我們要讓業者付出商譽上的代價，他們才會注意到資安。」

若是消費者發現個資外洩、或因此遭到詐騙，以現行實務狀況來說，消費者雖可向警方報案，但多數難以追回款項，逮捕罪犯也不容易。儘管如此，警政署仍會投入調查並與銀行合作，監測異常銀行帳號，試圖抓到領錢的車手，一旦罪證確鑿，消費者便可向其索取賠償，但並非每次都會這麼幸運，實務上要獲得全額賠償更是難上加難。

幸運的是，警方在偉峰遭詐騙的案件中成功抓到車手，偉峰和其他受害者共提訴訟，「和解的時候，原本是想要拿2萬（損失金額的一半），這樣應該不為過吧？」這樣的想法卻在調解時遭調解委員痛斥：「看在對方也很可憐的分上，你們有沒有一點良心啊！」他才發現，車手不僅和自己年紀相仿且懷有身孕，其實也是被詐騙集團所利用。最後，偉峰僅討回原本受騙款項的四分之一，以1萬塊和解金作結。

除了向詐騙集團的車手索賠之外，無論是否受騙，若該企業有個資外洩的事實，其實消費者可向業者求償。

2017年，雄獅旅行社電腦主機遭駭客入侵，詐騙集團藉此詐取消費者錢財，該起個資外洩事件，約有36萬筆消費者個人資料遭外洩。財團法人中華民國消費者文教基金會（以下簡稱「消基會」）後續協助被害者向雄獅旅行社提起全國第一起個資外洩集體訴訟，一審敗訴，但消基會仍持續上訴，最終在2020年7月以調解告終，雄獅承諾給予賠償金。

此外，訴訟中也爭辯業者在個資外洩事件中是否有「過失」，但法官認為該次外洩事件是第三方的惡意攻擊，而雄獅已依主管機關要求，提出個人資料檔案安全維護計畫。判決書中寫道，「被告公司⋯⋯已採行合於《個資法》所定之安全措施」，法官認為雄獅有善盡管理責任，一審宣判消基會敗訴。

「主管機關是否有針對業者提出的個資防護計畫，去查核有沒有落實、有沒有查？我們也不知道。我們是外圍中的外圍，有很多困難點，」徐則鈺感嘆，「事實上業者一定有過失，不然為什麼駭客會駭進你那邊？」

「2萬，開玩笑！100個消費者裡面，看會不會有一個人會為了2萬塊去提告？」徐則鈺認為，現今求償數額過低，就算發生個資外洩，僅有極少數消費者願意為幾千、幾萬塊耗費精力與時間向企業提起訴訟。林明俊也認為訴訟成本高，在法律上換得的賠償金額卻極低，「大部分民眾不會提告。」

徐則鈺感嘆：「作為一個企業這麼容易被駭，難道不用負相當的責任嗎？」

因應數位發展部的成立，內政部警政署刑事局於2022年10月推動「網安專案2.0」，前端會先委請轄區警察局了解，刑事局科技研發科會視個案需求，透過實地訪視被列為高風險賣場的廠商，給予業者相對應的資安建議，同時與轄區警察局合作加強宣導資安概念，並偕同資安業者進行實地複查。

除此之外，刑事局與數位發展部每週進行會議交流，更即時將具體的訪視紀錄與第一線詐騙數據提供給主管機關認定，企圖及早遏止個資外洩發生所造成的危害，並防止電商後續再次發生個資外洩。

台灣科技產業法務經理人協會祕書長余啟民肯認，數位發展部對於處理個資外洩事件有所助益，過去資訊服務業者歸經濟部工業局管，電商則多為經濟部商業司主管，當發生個資外洩問題時，無法即時進行有效溝通。目前，這兩項業務都移到數位產業署，可以共同檢視個資外洩發生時可能牽涉到的相關產業鏈。莊明雄也期待，透過「網安2.0」的合作，加上數位發展部多為資訊人才，「盡可能去查找企業被入侵的原因，解決問題。」

「作為產業主管機關，我們是要做輔導的，要去解決問題，不是只有罰它，」林俊秀表示，數位產業署8月底委託資安公司針對40間特定高風險賣場所使用的系統進行資安檢測，並規劃建立電商情資分享平台，達到資訊交流及企業資安聯防效果。除此之外，數位產業署2022年10月以來也與刑事局進行合作，並認為已初步看到成效，部分著名的大品牌已經從高風險賣場名單上除名。

然而，莊明雄仍強調裁罰的重要性，「2.0就是加重力道，告訴數位發展部可以連續裁罰。」不僅僅是裁罰，關注個資外洩與電商法律實務的蔣哲宇則建議，「或許主管機關可以公布裁罰狀況，但不公布業者名字。這可以讓所有業者知道，違反哪些情節分別的裁處情形為何。」他認為，公布屢次違法的業者，也能有效警惕業者，要求對資訊安全加以注意和保護。

不過產業人士認為，駭客入侵有「時間性」，「可能3個月後又會再來侵入系統幾次。」網安專案2.0約上路3個月，成效是否顯著還待長期檢視。刑事局165專線偵查員林思妍也提到，165專線會持續監測詐騙數據，若該電商再次發生個資外洩所衍生的解除分期付款詐騙案件，仍會重啟後續一系列的調查流程。

此外，「網安專案2.0」當中，刑事局也規劃與消基會接洽，希望借助民間力量共同協助消費者進行團體訴訟。徐則鈺受訪時表示，尚不了解刑事局「網安專案2.0」的細節，但提及是否再次協助消費者承辦團體訴訟，他則認為以消基會現況而言，每年平均僅能協助1至2起訴訟案，民間資源實在有限。

蔣哲宇指出，不少電商忽略責任歸屬，「電商拿民眾的資訊去賺錢，那是不是應該要好好保護消費者的個資，是不是要採取一定的安全措施？」

讀冊生活於2016年至2020年間屢次發生個資外洩，儘管遭到主管機關裁罰，但仍嘗試許多資安防護作為。擁有資訊背景的張天立感嘆，駭客技術推陳出新，如此猖獗的行為實在難以防範，「要做到防毒滴水不漏，不容易耶！」

2020年9月，讀冊生活毅然決然砸重本使用英國資安公司Comodo的服務，即時偵測公司內部伺服器與所有職員的工作電腦程式行為是否異常，一旦發生異常，系統會即時進行妥善處理和排除。此外，也同時對公司員工進行教育訓練，叮囑使用工作電腦與手機都需格外注意。儘管讀冊生活不再列名為高風險賣場，張天立仍戰戰兢兢，「就算是有Comodo在，我們也還是要再努力改善，或是不斷再看看有沒有其他的漏洞。程式我們其實也一直在做修正，甚至系統架構也一直在調整。」

駭客攻擊猖獗，使台灣深陷電商個資外洩的風暴中，消費者始終是最弱勢的一方。當政府與企業揮開大旗，宣揚數位智能與電子商務的同時，如何建立資訊安全的社會，是企業與政府需共同肩負的責任。