2023-05-08 數位身分證卡關，10億元誰賠？政院回應了！專家實測指出資安問題所在
雖然內政部長徐國勇曾說，「卡片的晶片是台積電做的」，請大家安心，但民眾黨立委高虹安指出，
數位身分證會產生的資安問題，不是只有晶片本身，背後還牽涉到後端的資料庫、讀取系統，以及傳送民眾個資的過程及保存，都需考量資安風險。

在「公開區」存有姓名、統一編號、出生日期、戶籍地址等資料，透過輸入卡號或機讀碼即可讀取個資，
且無連錯3次鎖卡的保護機制，「當駭客只要用超強功率的無線電，透過暴力破解，就可以知道你家裡住哪裡、叫什麼名字，這是蠻高的資安風險。
」查士朝經重重測試，才發現此漏洞，不過要一般人要破解沒這麼容易，光是取得設備可能就需要數百萬元以上。

查士朝提到，由於銀行需KYC驗證（Know Your Customer，認識你的客戶），需要出生地資料，
若是代繳父母保費，還要身份證配偶資料，但這些資料都存在晶片內「加密區」，必須插卡讀取，無法感應讀取。
這意味過去翻開身分證就可驗證的資料，但變成數位身分證後，只能臨櫃插卡讀取，
「若不用手機，哪叫什麼先進的技術？」查士朝說。

不只如此，加上開發程式需要時間，甚至是無法使用手機感應讀取，都對金融業產生頗大的衝擊，無法達到公私部門合作的效果。

未來若還要繼續推動數位身分證，KPMG安侯數位智能風險顧問公司董事總經理謝昀澤建議，
導入歐盟的資料隱私衝擊分析（Data Protection Impact Assessment，DPIA），
在做數位推動時，應先設計資安加隱私保護的架構，再去設計系統、實測並上線，
而不是先開規格，才加入加密、防火牆等設計，先具有邏輯性資安風險分析的方法與架構，
才能在該框架下做資安評估討論，否則資安的問題永遠討論不完。

Re: [新聞] 數發部次長疑似「備詢打瞌睡」
https://disp.cc/b/Gossiping/g0Va

數位身分證卡關，10億元誰賠？政院回應了！專家實測指出資安問題所在
https://www.bnext.com.tw/article/62...mation-security

如果只是父母及配偶名字有必要加密嗎?

2021-06-04 【圖解】數位身分證停擺百日總檢討！拉近數位國家的距離，台灣還差什麼？
原因一：資安疑慮，難以建立社會信任

但數位身分證不只是從紙本變成塑膠卡，還橫跨科技與法律的討論，以及牽涉後端大量的資料管理。
當數位身分證變成一把「鑰匙」後，不只可取得政府所有資料，也容易成為駭客攻擊的目標；
而民眾的數位足跡也有被搜集的風險，在網路上從事的所有活動或行為，都有留下個資的風險。

參與內政部進行數位身分證測試任務的台科大資安中心主任查士朝表示，數位身分證的晶片技術行之多年，
要被攻破不是容易的事，但晶片有NFC（近距離無線通訊技術）功能，無線讀取確實有風險，
「當駭客以超強功率的無線電，透過暴力破解就可以知道你家裡住哪裡、叫什麼名字。」

整個數位身分證推動過程，政府最大問題是無法建立社會信任，
「 老的官僚體系沒辦法體認到現在的數位身分證有很多資安疑慮外，對數位轉型的了解不夠深入， 」
民進黨立院黨團幹事長劉世芳認為，在使用端，要有完善的法治基礎，才能保障數位人權、資安；
從政府治理來看，關於資料治理的法案、法條仍不夠，接下來除了內政部，還要納入國發會、科技部、數位發展部等跨部會討論。

2023-05-10 藍委：美偵破台個資被駭案 我未聯繫
不過，國民黨立委賴士葆表示，日前發生有全台兩千三百萬筆全民個資遭駭客在網路上兜售事件，
美國已經偵破此案件，三月十五日主事者已在美國紐約被抓，且美方根據法律，已通知說可協助受害者主張權利，
但據他所知，中華民國官方至今沒有聯繫美國法院，「是睡著了嗎？」

賴士葆表示，台灣詐騙案頻傳，至今被詐騙陳情案仍接不完，日前爆發有駭客在網路論壇上，
兜售台灣人民兩千三百萬人個資，全部只賣五千美元，美方三月破案、逮到論壇主嫌後，四月法院發出公告通知，
讓被害者可請求協助、主張權利等，但政府到現在為止，都沒聯繫美方。

調查局昨表示，在論壇出售個資的賣家，目前鎖定一陸籍青年，ＦＢＩ抓到的是駭客論壇的站長（管理員），
兩者研判應非同一人，但會循管道確認兩人間是否有關連。
法務部說，有管轄權的詐欺案由各地檢署偵辦，如承辦檢察官因辦案需透過管道取得相關資訊，即會依法處理。

去年十月，暱稱「ＯＫＥ」的人在國際知名駭客論壇BreachForums公開兜售二三五七萬餘筆台灣民眾戶役政資料，金額僅需五千美元。
「ＯＫＥ」表示，個資來源為中國民國內政部戶政司網站，並指定以虛擬貨幣付款，
「ＯＫＥ」同時提供了二十萬筆宜蘭地區國人親屬、教育及兵役紀錄等個資，取信購買者。

關鍵字: 「個人資料保護委員會」T-Road（政府資料傳輸平台）

再推數位身分證？ 唐鳳點名「這機關」接手
[
唐鳳指出，數位部正在推動「政府資料傳輸平台」（T-Road），
而民間與憲法法庭都認為，要有獨立機關來監督後端資料使用，
這部分國發會已提出個資法修法，接下來會在立院支持下，
推動成立個資獨立專責機關（個人資料保護委員會），今年下半年就會成立籌備處。
]

政府資料傳輸平臺管理規範
一、 國家發展委員會(以下簡稱本會)為提升跨機關資料安全傳輸服務機制，以政府骨幹網路(GSN)為基礎，
建立政府資料傳輸平臺(以下簡稱 T-Road)，並確保各機關在 T-Road 上資料傳輸之資訊安全及隱私保護，特訂定本管理規範。

二、 本管理規範之適用對象為政府機關，不包括國營事業、教育部所屬各級學校、國防部及其所屬機關(構)、醫療機構。

111-03-09 - 111年度「政府資料傳輸平臺(T-Road)維運及輔導機關介接委外服務案」

一、專案名稱
111年度「政府資料傳輸平臺(T-Road)維運及輔導機關介接委外服務案」(以下簡稱本案)

二、 專案緣起
行政院於 108 年 1 月 10 日核定「智慧政府推動策略計畫」，依據該計畫之基礎架構

2023-05-17 誠品個資外流 數位部兩週內處分
誠品疑似個資外洩，有讀者在誠品書店網購書籍，卻接到「統戰市調」電話；
數位發展部數位產業署昨邀集國家資通安全研究院、警政署及專家等人組成行政調查小組，
前往誠品進行實地行政調查，預計兩週內做出行政處分。數位產業署原預定昨晚說明調查進度，
晚間以「要再整理內容」為由臨時取消發布，擇期再向外界說明。

誠品昨日發出聲明表示，此次個資事件已進行報案，並全力配合主管機關調查，期盼藉由調查進一步釐清；
「誠品線上」相關資訊與數據並未串接至海外；誠品長期委託多家外部專業資安公司進行誠品線上檢測與防護，
近一年來已發送八百萬則簡訊及郵件提醒顧客防範，雙管齊下以降低詐騙風險。

對於民間企業個資外洩的處置，根據政院作法，三天內須由行政檢查小組會同資安院進行行政檢查，
十天內針對個資外洩作成調查報告，兩週內要做成處分決策。

2023-05-25 觀點投書：資安問題不是政治問題，而是民生問題！
一家企業資安外洩是企業問題，但如果是全台幾乎相同性質的企業都發生一樣的事情，
那就是結構性、國家安全性的問題，代表我們資安的規範、操作流程都有顯而易見、共通的漏洞，
這一部分是國家專責單位必須負起的責任。

近期，我們目睹了一連串關於資訊安全的爭議，其中包括誠品被政治團體點名涉及到『抗中保台』的意識形態中，
讓特定團體抨擊，但是在此之前同性質的資安問題一再發生，卻不見政府有任何措施，反倒是因為牽扯到敏感的中國因素，
政府才開始大做文章，筆者試問一下，之前就發生的博客來、讀冊同樣性質的資安外洩問題，難道不重要嗎？
為何將資安問題變成政治問題，而且試圖將問題泛政治化，凝聚既有支持者的意識形態，以我的資安專業來說，此舉非常不可取。

資訊安全的重要性不應該僅僅因為政治立場或意識形態而有所不同。
無論政府或組織的立場如何，我們都應該認識到，資訊安全的破壞將對整個社會和經濟體系造成嚴重影響。
無論是企業的商業機密、個人的隱私還是國家的機密信息，都可能成為攻擊者的目標。
只有在保護這些信息的安全和完整性方面取得進展，我們才能確保公民的權利和社會的穩定。