{"id":146451,"url":"https://ivod.ly.gov.tw/Play/Clip/1M/146451","video_url":"https://ivod-lyvod.cdn.hinet.net/vod_1/_definst_/mp4:1MClips/fb8541ce0ddce242319f6e50a827e9087c65646afd52459e48972c8b5eddc47711ba3abc993e12c25ea18f28b6918d91.mp4/playlist.m3u8","委員名稱":"何欣純","委員發言時間":"10:23:34 - 10:35:41","影片長度":"00:12:07","會議時間":"2023-05-22T09:00:00+08:00","會議名稱":"立法院第10屆第7會期交通委員會第11次全體委員會議（事由：一、邀請數位發展部及財政部就「『電子發票整合服務平台』登入系統出現資安缺失，如何就全國政府部門各系統進行資安系統盤點及改善」進行專題報告，並備質詢。二、審查委員賴品妤等36人擬具「資通安全管理法部分條文修正草案」案。三、繼續審查委員陳以信等16人擬具「資通安全管理法第二條條文修正草案」案。四、審查台灣民眾黨黨團擬具「資通安全管理法第三條及第七條條文修正草案」案。\n五、繼續審查委員林楚茵等18人擬具「資通安全管理法第十一條條文修正草案」案。(以上5案合併詢答，第二至五案進行詢答及逐條審查)（5月22日、24日及25日三天一次會））","meet":{"tmpMeeting":null,"term":10,"type":"委員會","sessionPeriod":7,"sessionTimes":11,"committees":[23],"id":"委員會-10-7-23-11","title":"第10屆第7會期交通委員會第11次全體委員會議"},"date":"2023-05-22","duration":727,"end_time":"2023-05-22T10:35:41+08:00","start_time":"2023-05-22T10:23:34+08:00","features":["gazette"],"type":"Clip","gazette":{"lineno":440,"blocks":[["何委員欣純：（10時23分）部長，我剛剛聽了一個早上，每次發生資安事件之後，我們在調查期間能不能把資安漏洞及時補起來？我剛剛聽到財政部電子發票整合服務平台的這件事情，我們慢了一個禮拜才解決這個資安漏洞，原因之一是怕影響營業稅的報稅，但我們的緊急應變也可以延長報稅的時間啊！第一要件是什麼？應該要把資安漏洞補起來，部長你同不同意？"],["主席：請數位部唐部長說明。"],["唐部長鳳：委員好。當然同意，所以他們第一時間有通知所有受到影響的人。"],["何委員欣純：只有通知啊！問題是資安系統上的漏洞沒有補起來。"],["唐部長鳳：對，當然應該要強制變更。"],["何委員欣純：我要問部長全國矚目的誠品事件，誠品連續2年名列警方的高風險賣場，今天很多委員都有提到，提到之後大家都在問，目前誠品的事情調查得如何？"],["唐部長鳳：對，我們現在是採同樣的作法，就是10天會寫報告，14天會做出處分，而且會讓大家知道是怎麼樣的處分。"],["何委員欣純：除了時間點之外，我們目前在調查期間，系統上的資安漏洞解決了嗎？問題還存在嗎？"],["唐部長鳳：這個是否請副署長跟您說明？"],["主席：請數位部產業署林副署長說明。"],["林副署長俊秀：我們上次到現場行政調查時有請偵九隊協助，偵九隊有要求一些Log的資料，誠品正在提供給偵九隊做進一步的分析。"],["何委員欣純：所以現在正在提供資料……"],["林副署長俊秀：我要去確認一下……"],["何委員欣純：意思是說在調查跟提供資料的這段時間，所謂的資安漏洞還是沒有解決？"],["唐部長鳳：這是兩件事，我們是個資的主管機關，但是因為誠品也有報案，所以刑事局那邊即時的聯防，包含跨國的偵查等等，是兩線在進行。"],["何委員欣純：所以部長我請問你的專業啊！因為我們一般人不懂啊！我們現在只關心從一般人的角度來看，我現在去誠品買書，在這個平臺或是系統上，有關資訊的安全與個資的安全有沒有受到保障？"],["唐部長鳳：謝謝委員給我們機會說明，我想任何人去剛剛您簡報提到民眾所通報的高風險賣場，都可能有一定程度的風險，這就是為什麼刑事局說它們是高風險賣場。我們現在主要的工作是確保我們找到原因之後根本解決這些事情。"],["何委員欣純：部長，我當然知道要找到根本原因、要解決事情，我現在就是在問你，現在調查的時間拖了這麼久，在這段期間，我所關心的是，如果我現在再去誠品買書，那我會不會也受到個資外洩、資訊安全、個資安全的影響？我現在要請你回答Yes or No，我們關心的是這個。在這段調查期間，所謂資安系統的漏洞到底有沒有被補足、被解決？有沒有暫停使用或怎麼樣？現在再去買書，會不會受到影響？就如同剛剛你回答的，為什麼那麼多人在關心蝦皮購物，還有很多電商平臺？因為每天有那麼多國人上網去買賣東西。問題是從數發部成立的到現在，我們所關心的是到底能為我們國人的資安把關到什麼程度？現在去蝦皮購物、去誠品買書，我的個資會不會外洩？"],["林副署長俊秀：跟委員報告，根據誠品的說明，它已經找了國內數一數二的資安公司來進行檢測，包括中華資安跟奧義智慧。"],["何委員欣純：那目前檢測的結果如何？"],["林副署長俊秀：目前他們的系統沒有問題。"],["何委員欣純：所以他們自己請了專業、一流的資安公司來檢測是沒有問題的，既然他們系統沒有問題，那為什麼還會發生問題……"],["林副署長俊秀：跟委員報告，資安還有很多的是供應鏈管理的問題，現正清查中。"],["唐部長鳳：就是它的物流或是金流相關的合作夥伴。"],["何委員欣純：請問現在你所調查的部分，你們調查了什麼東西？你要求誠品提供什麼東西？"],["林副署長俊秀：我們請誠品提供很多Log的資料，包括權限的管理、還有供應商管理的相關資料。"],["何委員欣純：到現在已經第8天，經過一個禮拜多的時間，你們應該有掌握到一定的事證，證明它到底有沒有資安的問題。到底有沒有？"],["林副署長俊秀：目前資料還在彙整當中。"],["何委員欣純：好，你說還在彙整當中，你也說誠品自己聘請所謂專業的資訊公司來查並沒有問題，但最後問題還是發生了，所以他們自己調查的算不算數我不知道。面對他們自己請專業的資訊公司來查驗系統說沒有問題，不知道數發部怎麼看？又部長對這件事的態度為何？"],["唐部長鳳：是，我們為什麼會要求他們提出整個供應鏈相關的紀錄檔（Log）？因為誠品自己請來的資安公司，它所查核的範圍不一定有及於全部的過程，包含後面的貨運或者是物流、金流等這些部分，所以我們現在所彙整的資訊，就是去看後面這些環節是不是有可能出差錯，以及誠品有沒有可能導入所謂的隱碼技術，確保其後面其實根本不需要接到客戶的手機，手機號碼也應該要能夠執行這些工作。"],["何委員欣純：所以這可能就是你報告裡面的重點。"],["唐部長鳳：是的。"],["何委員欣純：好，你說誠品這件事情是屬於重大資安事件，那你是如何界定的？是因為媒體爆料了，還是他們召開記者會了，所以你就把它界定為重大資安事件？那一般國人發生的一些事情，包括我剛才講的誠品、蝦皮，這些早就是所謂的高風險詐騙賣場，2023年就有委員開過記者會了，但都要等到個資外洩案件發生之後才開始調查，而且是屬於重大的資安事件才會去查嗎？"],["唐部長鳳：不是，我們大概都會去查，像剛才產業署所講的，包含我們找民間做紅隊測試等，都是照著委員前幾張簡報，刑事局列為高風險賣場的排序來進行工作，所以這部分我們並沒有輕忽。這一次是……"],["何委員欣純：你依照排序來查是怎麼查？你剛剛說按照刑事警察局所謂高風險賣場的排序來查，那你們查的內容是什麼？查的方式又是什麼？"],["唐部長鳳：對，好比客戶的手機號碼等等洩漏的話，我們會試著去溯源，甚至我們也會請紅隊模擬駭客攻擊一樣，試著在剛剛整個全部過程裡面找到破口等。這一件個案是因為誠品本身有報案，已經列為刑事調查的程度，所以當然媒體就會報導，但是其實這些高風險賣場我們平常都有在輔導，也有在巡查。"],["何委員欣純：那稽查的頻率有多少？"],["唐部長鳳：這個是不是請產業署說明？剛剛聽到是40家次。"],["林副署長俊秀：我們每年會做電商的健檢，40家次，由2個紅隊演練。"],["何委員欣純：每年多少時間內的頻率是40家次？"],["林副署長俊秀：從去年8月27日成立之後，我們就做電商……"],["何委員欣純：到現在為止嗎？"],["林副署長俊秀：對，今年還會有40家。"],["何委員欣純：好，今年還會有40家次。我認為要更頻繁，因為你看從110年到111年，這幾家一直都在民眾通報的高風險賣場裡面，那表示第一個，在上面交易的民眾使用率高。第二個，我相信這幾家掌握國人的個資量也最高。第三個，他們在報警、報案方面，是警方列管的高風險賣場。所以這個部分數發部應該要更積極提高稽查的頻率跟次數還有家次。我為什麼這麼講？因為我剛剛說一般人關心的是上網去買東西、訂東西，留下的個資到底會不會外洩？關鍵就在大家對政府要有信心，而可以幫他們把關的單位就是數發部。"],["唐部長鳳：我完全同意，而且剛三讀通過的個資法在這一點會有很大的幫助，因為之前如果是限期改善等，那個過程是沒有辦法裁罰的，而之前最多也只罰到20萬而已，所以從電商的角度來看，當然最主要的是商譽受損，但是罰金就有點不成比例。三讀通過新版本的個資法最高是罰200萬元，應該可以促使更多電商適當的投資，以解決根本原因的問題。"],["何委員欣純：我剛剛還有一個問題，你沒回答到，就是你如何界定重大的資安事件？因為我看到面對重大的資安事件，你們的速度就加快一點，之前在質詢你的時候，很多的行政調查是很慢的。"],["唐部長鳳：那是個資事件，我們資安通報是政府裡面自己的，重大矚目的個資事件這個在1.5綱領裡面……"],["何委員欣純：那你怎麼界定重大矚目的個資外洩事件？媒體爆料或有人開記者會，或是委員……"],["唐部長鳳：包含委員們或是媒體等，或者它影響的範圍非常大等，就是一次影響非常多人。"],["何委員欣純：我是建議啦，你要分級分類，而且要把效率、魄力、能力跟專業拿出來，這樣我們國人才會信任政府，也才會相信我們成立數發部是有用的。不然的話，很多國人到現在為止都還沒有感受到。政府對於詐騙、個資外洩的因應對策，或是資安系統的建置，這些都還沒讓民眾感受到。"],["唐部長鳳：對，這兩年境外攻擊力道大幅竄升，今年可能又會更多，我們相應的聯防以及根本原因的查處力道也必須等比例的上升。"],["何委員欣純：要加強、加強、再加強。你們除了稽查、行政調查慢，法案的推動也慢啊！最後再提醒你們，你剛剛講個資法已經修法通過，個資法修法通過才多久的時間？行政院的版本送到我們立法院三讀通過才75天，數發部成立到現在已經268天，我們卻還沒看到行政院版的資通法！"],["唐部長鳳：其實我們有一個版本正在跟地方政府協商，因為涉及地方政府與中央權限的問題，我們希望能儘快協商出一個共識。"],["何委員欣純：協商還要多久？"],["唐部長鳳：我們當然希望年底前……"],["何委員欣純：預計時程是多久？"],["唐部長鳳：我們希望年底前能提出院版，如果協商順利的話也許可以加速。"],["何委員欣純：我希望你們可以儘速於下會期提出，並在年底前三讀通過，不要告訴我年底前才能提出版本！"],["唐部長鳳：我們就請資安署的同仁……"],["何委員欣純：要加快速度，好不好？"],["唐部長鳳：是，儘量加速！"],["何委員欣純：個資法才花了75天就三讀通過！"],["唐部長鳳：理解。"],["何委員欣純：好不好？效率、能力、專業要讓人民有感，大家才會信任政府，才會相信成立數發部是有用的。"],["唐部長鳳：謝謝委員提醒。"],["何委員欣純：謝謝。"],["唐部長鳳：謝謝委員。"],["主席：現在處理臨時提案。請議事人員宣讀。","1、","查財政部電子發票整合服務平台於112年5月中旬，被白帽駭客揭露，發給營業申請人同一預設密碼，存在資安漏洞，致使廠商營業秘密資料，有外洩之虞。","雖財政部於13日要求全面更換密碼、加強密碼強度，初步解決電子發票整合服務平台漏洞。惟該系統承包商仍有承作多項公私部門資訊系統，恐類似漏洞仍存在於其他政府資訊系統而未發現。為增進我國政府資訊安全考量故，茲爰請數位發展部：","(一)盤點該廠商所承攬之其他政府資訊系統，是否亦有類似漏洞，並於一個月內完成清點改善、提出報告。","(二)盤點政府各部門現有各類向民眾公開、提供民眾登入使用之「網路便民服務系統」登入驗證方式之安全性，並提出改善規劃，兩個月內提出初步盤點結果與改善規劃報告。","提案人：李昆澤　　何欣純　　許智傑　　鍾佳濱"],["主席：請問各位委員及行政部門有無意見？若無意見就照案通過。","進行第2案。","2、","查財政部電子發票整合服務平台於今年5月中旬，被白帽駭客揭露，發給營業申請人同一預設密碼，存在資安漏洞，致使廠商營業秘密資料，有外洩之虞。","雖財政部於13日要求全面更換密碼、加強密碼強度，初步解決電子發票整合服務平台漏洞。惟該系統承包商仍有承作多項公私部門資訊系統，恐類似漏洞仍存在於其他政府資訊系統而未發現。","查自然人憑證、工商憑證之安全性、驗證強度皆遠較帳號密碼登錄驗證為高，為增進我國政府資訊安全考量故，茲爰請財政部，檢視部轄現有向民眾開放、提供民眾登入使用之網路資訊系統驗證方式安全性，並研議以安全性較高、驗證強度較強之自然人憑證、工商憑證作為登錄驗證機制或其他方式提升安全性，於兩個月內提出檢討報告。","提案人：李昆澤　　何欣純　　許智傑　　鍾佳濱"],["主席：請問各位委員及行政部門有無意見？","請財政部財資中心張主任。"],["張主任文熙：第2行建議增加三個字，即「發給營業申請人」改為「發給營業人帳號申請人」，因為這是針對人……"],["主席：發給營業人，「申請」不要了？"],["張主任文熙：不是，增加三個字，改為「營業人帳號」。"],["主席：「發給營業人帳號」，增加三個字？"],["張主任文熙：對。"],["主席：各位委員有無意見？若無意見第2案通過。","請許委員智傑發言。"]],"agenda":{"page_end":264,"meet_id":"委員會-10-7-23-11","speakers":["陳雪生","邱臣遠","林楚茵","陳椒華","林俊憲","陳素月","蔡培慧","李昆澤","邱顯智","何欣純","許智傑","游毓蘭","鍾佳濱","江啟臣","洪申翰","李貴敏","王鴻薇","劉櫂豪","魯明哲","鄭天財Sra Kacaw","高嘉瑜","王婉諭","張其祿","趙正宇","洪孟楷","陳歐珀","吳欣盈","傅崐萁"],"page_start":189,"meetingDate":["2023-05-22"],"gazette_id":"1125902","agenda_lcidc_ids":["1125902_00005"],"meet_name":"立法院第10屆第7會期交通委員會第11次全體委員會議紀錄","content":"一、邀請數位發展部及財政部就「『電子發票整合服務平台』登入系統出現資安缺失，如何就全\n國政府部門各系統進行資安系統盤點及改善」進行專題報告，並備質詢；二、審查委員賴品妤等\n36人擬具「資通安全管理法部分條文修正草案」案；三、繼續審查委員陳以信等16人擬具「資通\n安全管理法第二條條文修正草案」案；四、審查台灣民眾黨黨團擬具「資通安全管理法第三條及\n第七條條文修正草案」案；五、繼續審查委員林楚茵等18人擬具「資通安全管理法第十一條條文\n修正草案」案","agenda_id":"1125902_00004"}},"transcript":null}