數位時代

台灣購物網站大多發生過消費者資訊遭竊事件，其實業者不是不願保護消費者資訊，而是有無能力的問題──唯有聯合司法、檢警調、網路科技業者的力量，才能讓詐騙產業不再囂張。撰文=游士逸

從去年開始，台灣不論知名或不知名的購物網站，大多發生過消費者資訊遭竊而讓歹徒詐騙得逞的事件，除了讓業者全面掃除資訊安全死角，並努力宣導消費者不要到提款機去操作退款之外，政府也連忙將躺了有一段時間的「個人資料保護法」修正草案火速推動，希望能亡羊補牢。

個資法新法草案將所有持有消費者資訊的行業（不只是購物網站，連路旁的洗衣店、錄影帶出租店也算）都納入規範，同時可能將賠償上限提高至十億元的天文數字，希望用重罰來促使這些持有消費者隱私資訊的業者重視保管責任、遏止詐騙集團。然而，這樣的方法真的可以讓大眾痛恨的詐騙集團消失匿跡嗎？

要了解這個問題，得從了解詐騙集團的模式著手。電話詐騙取財手法雖然千奇百怪，簡單來說，不過是「取信受害者」、「指示受害者轉帳」兩件事。不論是假扮國稅局辦理退稅、中獎通知、購物網站處理錯誤付款，還是假扮黑幫綁架小孩，當歹徒可以說出受害者認為一般人不知道的真實資料（購物紀錄、個人家庭隱私），再加上以偽裝的來電顯示證明身分，沒有防備心的人就會聽從指示，走到提款機前操作，乖乖送上錢財而不自覺。

由前例可知，個資只是讓受害人相信歹徒的工具，才是問題的根源。

幾年前為了遏止磁條卡遭側錄盜刷，財政部有魄力地把所有金融卡都換上了無法複製的晶片金融卡，也意外帶出網路ＡＴＭ的新商機。甚至為了降低受害者損失，還設定轉帳與提款的上限金額。然而複製是遏止了，卻無法防止受害人自己操作提款機把錢奉上，金融卡轉帳這個「獲利」的源頭如果沒有有效把關，再怎樣的嚴罰，還是擋不了歹徒高超的話術。

想想台灣的金融卡轉帳真的是非常方便，只要輸入對方帳號和金額，錢馬上就離開口袋，也沒有反悔的餘地。

以一個非金融業的人來看，除了直接到帳之外，如果消費者還能選擇把錢先留在一個公正第三方的手上，等轉出方確認後再撥給對方，或是等個一天才能拿到手，斷除歹徒的取財工具，應該更能降低詐騙得手的機率。只是要改動金融體系的運作機制絕非易事，這方面還有待金融朋友們的努力才行。

網路商店、拍賣賣家及電子商務上下游業者（像供貨商、金流業者、物流業者等），由於與消費者有金錢交易，是歹徒最喜歡的高價值情報對象。技術高的，努力挖掘網站安全弱點，找到的話就駭得資料（這一類投入成本高、回報低，歹徒通常不愛用）；技術低一點的，運用客服人員必須對外開放、同時握有消費者資訊的特性，email木馬程式給客服人員，竊取網站管理帳號、密碼或側錄網頁瀏覽資訊；更低一點的，運用所謂「資料拼圖」技術，用工人智慧將四面八方蒐得的大量個資匯整，然後假扮消費者大量測試登入並查詢訂單資訊。

不管是哪一種方法，最重要的電話號碼一定要取得，其他就看拿到什麼就掰什麼，反正只要讓受害者相信就行了。即使是個小小網拍賣家，萬一客戶碰上詐騙，對賣家都不是件好事。況且新法通過以後，甚至還有賠償損失之責，因此身為賣家不論規模大小都應盡力保護自己、也保護客戶。

首先必須備齊防護工具，只有防火牆和掃毒軟體不足以將竊聽者排除在外，所有能接觸到個資的電腦都必須安裝反間諜軟體（Anti-Spyware），雖然很多時候歹徒會特製自己的木馬，讓坊間的反間諜軟體掃不到，但至少能先盡第一線防範之責。對於個資檔案的存放位置，必須有足夠的權限防護並且加密。而所有載有個資的紙本，結束使用以後應即以碎紙機處理。

最重要的是，務必建立一套安控程序並切實執行，包括後台操作人員的身分查核與權限控管。每一個操作人員都必須使用各自的帳號、密碼登入，並確實認證身分無誤以後才能進去系統，除了防範內賊洩漏個資，也有助於事件發生後的追查。

在新法上路後，商店如果可以證明無故意或過失責任，已經盡力採取必要的防護措施，但還是遭到有心人竊取，則商店可以免於賠償。萬一事情發生了，至少不用傾家蕩產，當詐騙集團的替死鬼。

其實業者並不是不願保護消費者資訊，而是有沒有能力的問題，這又要回歸個資法修法的議題。如果政府立委認為提高罰款就能促使業者保護個人資訊，其實是太過簡化問題的複雜度，唯有聯合司法、檢警調、網路科技業者的力量，才有可能讓獨步全球的台灣詐騙產業不再囂張。