跳至主要內容

消費者個人資料不受保障,影響電子商務消費信心

看夜間新聞時得知PayEasy這個台灣電視廣告行銷做最多的購物網站被駭客入侵,這是我已知的第五起中大型規模的電子商務購物網站遭駭客入侵使消費者個人資料因此外洩的訊息。

這五起包括了:東森、富邦momo、博客來、金石堂、麗登網路藥妝館。最早是東森購物網站和購物頻道從九月開始陸續傳出會員資料外洩,有會員遭詐騙集團騙取更改帳號密碼甚至是詐騙金額。

其次是今年金馬影展,有會員透過博客來網路書局的劃位及購票系統在訂票後,發現不止一名客戶的個人資料及訂購記錄被夾帶在通知信件中。之後博客來網路書局在十一月八日緊急提供補救方案,發佈道歉聲明及處理方式:

博客來-金馬影展套票個人資料事件,博客來誠摯道歉(2007年11月08日)

會員資料流出已是事實,有不少人在此次事件後接到詐騙集團假冒是博客來網路書局的員工,要求在電話中依照指示更改帳號及密碼,有些民眾在接到電話後懷疑是詐騙集團並反駁後,反而遭到詐騙集團人員的羞辱:

  1. Smile Ursula:博客來購書資料外洩12/2版本
  2. 聯合新聞網(聯合報記者彭芸芳):博客來購書 交大女生個資外洩險遇詐
擁有網路及實體通路的金石堂,最近在網路商店的購物上也出現了資料外流的問題:
自由時報(記者蔡淑媛):個資外洩!網購書300元 遭詐6萬

我自己也經歷過同樣的事件,在十月底時,曾經在麗登網路藥妝館購物,在十一月底接到一通電話,自稱是麗登網路藥妝館的員工,本來以為是通知實體店面搬遷的事項,但聽到接下來的訊息,表示我雖然採用信用卡購物,但是因為我勾錯了,反而會變成分期付款,每次都會從我的帳戶中扣款,要我確認帳號資料並做一些手續。我十分訝異,大致上我了解整個購物流程,也確定我沒有勾錯任何表格,也知道這是詐騙集團的電話,但讓我害怕的是,詐騙集團已經知道我的電話、地址、身分證字號,甚至是購物金額及付款方式。我沒等對方說完就掛掉電話,並向麗登網路藥妝館的主持人求證是否有這樣的情況出現,得到的答覆也確實是詐騙集團,並保證由於刷卡資料是透過網路金流公司連出,所以卡號不會留在購物網站中。同時麗登網路藥妝館即時透過手機及網站訊息提醒會員注意詐騙訊息:

各警察機關新聞發布:假來電真詐財-眼見【來電顯示】不一定是真的
這些詐騙集手法都是偽裝為該電子商務網站的服務人員,並表示因消費者在購物時的操作錯誤,由一次付清的付款方式改為分期付款並且每個月都會向發卡銀行請款,所以要消費者依照其指示到自動提款機前做更正手續,並將金額匯入他人帳戶中。

往昔在台灣,出現網路詐欺新聞多屬於網路拍賣,在賣買雙方透過交易平台達成交易後,會出現所謂的「劫標信」中途攔截交易訊息,使買方匯錯金額至詐騙集團的人頭帳戶中或是使賣方將商品寄到詐騙集團所提供的地址,如今,這些中大型的電子商務購物網站甚至是購物頻道也出現了消費者的個人資料外流的情況,而這些訊息會減低消費者對於電子商務安全性的信心,影響電子商務的發展,即使各電子商務網站都保證網站的安全性以及保護客戶資料上的用心,也做出亡羊補牢的反應,例如更換資料庫、在網頁上提醒網站會員不要聽從詐騙集團的指示操作及撥打165專線檢舉詐騙集團,但消費者的個人資料遭到外流已是事實。有的電子商務網站將這樣的責任歸咎於消費者使用免費信箱,在登入信箱後開啟了詐騙集團所寄發的含有惡意程式的郵件,導致個人帳號資訊外流,然而,責任真的都在消費者的身上嗎?有多少電子商務網站也遇到同樣情形卻因為擔心影響消費者購物信心而選擇不公開這樣的警訊也不做任何提醒動作使該在網站購物的會員處於資料外洩的風險中?而這樣的詐騙手法已精細到客戶的訂單資料及付款方式、金額都能取得,網站資料庫設計者、網站主機商…等相關單位都不需負擔責任嗎?

由於東森購物及其他購物頻道、網站的客戶資料外洩情況嚴重,台灣的法務部目前研擬修法要將客戶資料外洩改為公訴罪,在協商賠償上限金額待立法院三讀通過後,只要民眾能舉證受害就能求償,目前還未有賠償上限的金額,所以在通過個資法之前,一個是消極的減少網路購物的機會,另一個消極的作法是在接到詐騙電話後不要理會詐騙集團,能留下電話錄音並主動打165檢舉是一個好方式,但也記得避免對方的人身羞辱。

隨選歷史閱讀:
Powered by Stuff-a-Blog

留言

此網誌的熱門文章

法制追不上AI:缺乏台灣AI基本法子法,公務員使用生成式AI的五大風險

昨晚看新聞,現任台北市長拋出一個政策宣示:未來公務員將配給自動化的AI工具,讓台北市政更「前進」。台北市資訊局也已快速推出 CiviClaw,目標是 2027 年讓每位公務員都能無門檻使用 AI。 這樣的政策方向讓我感到憂心。長期觀測各國個資保護規範的我清楚知道:台灣的個人資料保護主管機關至今仍是「籌備處」,尚未正式運作;《個人資料保護法》的修法呼聲雖久,AI相關條款卻付之闕如;《人工智慧基本法》已於今年1月施行,但高風險AI認定標準的子法至今仍是空白。 有網路、有 IoT 不等於智慧城市,有 AI 當然也不等於智慧城市,應該重視制度能否承接工具帶來的責任。 歐盟已明確禁止業者使用 AI 推測員工或學生的心理狀態;美國聯邦政府要求採購 LLM 時廠商必須提交模型卡與資料卡;韓國 AI 基本法的子法早已配套生效。這些都是台灣政府在推動配給公務員 AI 之前,必須正視的制度差距。 以下我與大家分享長期觀測的內容,由AI協助整理資料: 歐盟:從禁令到揭露義務的多層規制體系 歐盟的AI治理框架是由多部法律疊加起來的立體架構,最底層是2018年施行的 GDPR,處理的是個人資料如何被蒐集、儲存、使用的基礎規則,再來疊是2024年生效的《人工智慧法》(EU AI Act,下稱 AI 法),建立不同風險等級分類管理AI系統,從禁止使用到高強度監管、再到一般透明度義務,形成不同層次。最新的一層則是仍在立法程序中、但主要架構已確立的 Digital Omnibus ,試圖修補 AI 法與 GDPR 之間的規範衝突。 AI 法第50條是最直接影響生成式AI服務的條款,自2026年8月2日起全面適用。根據這條規定,凡是讓使用者與AI系統互動的業者,必須主動告知對方「正在與 AI 互動」,而不能讓人誤以為面對的是真人。AI生成的文字、影像、音訊等內容,還必須以機器可讀的格式加上標記,使平台與監管機關得以溯源辨識。與此同時,AI法第14條要求高風險AI系統必須設計成「可由自然人有效監控」的形式,確保機器的決策不會在缺乏人工審核的情況下直接作用於當事人。 AI法所稱的「高風險 AI 」,涵蓋的場景比一般想像的廣。依該法附件三列舉,生物辨識系統、關鍵基礎設施管理、教育與職業篩選、就業與人員管理、信貸與社會福利申請審核、執法、移民邊境管制,以及司法審判輔助,都在高風險範疇之內。這些場景的業者必須進...

停不下來的更新

一直更新Blog的版型,我必須承認是一件很無聊的事,不過這次除了版型的更動外,連分類和文章內文也做了變動。 先說分類吧!在Blogger叫做Label,不過,Blogger在分類上有一些bugs,只能使用英文,以前這裡的分類大多都是中文分類,結果在link上就是一堆亂七八糟的亂碼,所以我把它改成英文,同時細分一些項目,把出版的文章和一些教學的文章分開來,雖然已經很久沒寫新的,不過既然放上來就做個分類。然而就在新舊label移轉之後,發現中文的label還會存在,而且還會出現莫名奇妙的幽靈數字,Blogger知道這是個bug,不過似乎一直沒有修復的跡象。所以在分類上就出現了如右圖一般的情況,在英文標籤裡會有文章,但是在中文標籤裡是沒有文章出現的,但奇怪的是,有些中文標籤已經不見了,然而在Beauty-Beta這個部落格裡,我也做了分類上的變動,由於以前用英文開頭的Label,所以在label的變動上倒是不用擔心會有這樣的情況。 再來是文章的內容,把以前的文章重新分類,標題前面的一些全形符號或是分類刪掉,除了一些比較特殊的,我會留著,例如壹陸壹,因為在label裡為了統一,我留著原本的E61,但人家的店名是壹陸壹,所以留下文章標題前面的中文分類,另外像是Entertainment項目裡,可能有音樂,可能有電影,就會在前面留下中文分類。 前簡單的CSS和HTML改成現在的XML,這無疑是讓我們再多學些東西,能有時間鑽研當然是好事,可是轉換後,我一直沒有時間去改,當然多半也是因為懶,到現在也是拿別人做好的版型去改配色而已,所以像裡面的設定、安裝的widget和analytics的javascript都要一個一個重新裝,上個星期幾乎每天都弄到天亮才睡,只為了整理這個blog。也因為之前在blog裡放了technorati的分類,所以還要修改以前的文章,把它們加入technorati,還有裡面的語法要更改,所以這個星期甚至下個星期都會一直收到這裡的更新訊息,對於不斷收到訊息干擾的朋友們,在這裡說聲抱歉。 在版面上因為blogger系統在feed接受上的更新,所以還有四個東西沒加進去,分別是最近的文章(Recent Post)、Comments(目前是用別人寫的widget)還有GVO的feed訂閱顯示、Beauty-Beta的訂閱顯示也都還沒放上去。 在Feed訂閱上,以前bl...

哪個應用、服務、平台可以代表台灣?

大概 2003、 2004 年,我還是個大學生,那個時候「電子商務」是一門選修課,那個時候台灣還在所謂的電子商務泡沫化中復甦,很多熱極一時的「電子商務」就像今天大家看到的 FTX 事件一樣,一點都不真實,很多執行長、總裁瞬間就失業了,也有很多投資人的錢拿不回來。 看過歷史上的鴻源事件、經歷過電子商務的虛無飄渺時期,再看到 FTX,其實也不會太驚訝。通常泡沫消散後,未來才會到來。 回到大學課堂,穿著輕便但言語犀利的老師談到當時的 Amazon 網路書店,他問大家對 Amazon網路書店的看法,那時的Amazon一直被看壞,所有的媒體都不看好它。甚至會有各種市場傳言,覺得 Amazon會被賣給哪家公司或哪家公司、網路書店會主動併購它。 最後老師說,不會,Amazon書店不會那麼輕易就垮掉,它有其代表的意義。 這個答案給了我很深的印象,我常會問自己,台灣有哪個服務會具有這樣的意義? 偶爾我會問身邊的朋友、同事,對於台灣的哪個服務,會覺得有不能輕易垮掉、要支持它的?我列一下自己所接觸過的,這個世代的應用: 通訊服務:ICQ、MSN Messenger、LINE、Cubie Messenger(台灣,已無服務)、Google Talk、WhatsApp、Telegram、Skype、Signal,還有一些台灣可能較少聽到。 社群平台:Twitter、Facebook、LinkedIn、無名小站(已停止服務,它雖然是Blog,但比較像社群)、Plurk、PTT、Dcard、Instagram、AKASHA、Pinterest Blog平台或架站:Blogger、Wordpress、Drupal 共享書籤 : HemiDemi(已沒有提供書籤服務)、美味書籤delicious 叫車服務:UBER、55688 、呼叫小黄、LINE Taxi、yoxi  當然還有很多是我沒接觸過的,請原諒我的見識不夠廣泛,忽略了哪一個平台、應用或服務。一時想到的大概就這些。有一些服務已經消失或在被併購後就消失了,我也忘了名稱,至於 TikTok 和小紅書,是我不想碰觸的應用服務。 在韓國有 Kakao,日本有 LINE、PayPay,東南亞國家有Grab,中國有自己的網路應用,那台灣呢?之前 KaKao 中斷服務,造成民生應用的線上服務也幾乎中斷,過度集中依賴在一個服務上的確是一個缺點。在和...