數位部產業署今(30)日表示,蝦皮跟誠品生活個資保護程序沒做好,委外廠商未落實監督管理等,已違反個資法第27條第1項規定,開罰蝦皮新台幣20萬元、誠品生活10萬元,這也是數位部成立以來首次針對個資保護缺失向企業開罰。
▲蝦皮因違反個資法遭罰新台幣20萬元。(示意圖/記者陳弋攝影)
數位部產業署今日透過新聞稿指出,針對蝦皮、誠品生活與旋轉拍賣等業者涉及消費者個資外洩事件,已辦理行政檢查,要求業者限期改正。
刑事局日前公布第1季高風險賣場名單,蝦皮購物居冠。在蝦皮涉個資外洩事件,數位部多次要求業者完善個人資料保護,並提出相關佐證資料,但是蝦皮在個資盤點上仍只有提供4筆盤點內容,明顯有缺漏;在風險評估分析上,對風險較高的流程未提供已採取矯正措施的佐證資料。
產業署指出,蝦皮對委外廠商未落實稽核,無法提供完整的安全管控執行、稽核紀錄等具體佐證資料,無法證實蝦皮對保有個資已採取適當的安全措施,依個資法第48條第4款併第50條規定,開罰業者併同負責人20萬元。
產業署表示,相關業者已經有多次紀錄,過去也多次要求改正,因此這次實際開罰。台灣蝦皮有委託新加坡蝦皮公司進行個資保護稽核部分,但2019年後都未執行稽核,也沒提供2019年後的稽核紀錄報告。
另外,誠品個資外洩事件,起因於台灣佇遮計畫副秘書長楊欣慈2月在誠品網購「阿共打來怎麼辦」一書後,竟接到自稱誠品的回訪市調電話,強調書的內容不恰當、中國武統是必然等語,遭外界質疑誠品個資外洩。
產業署指出,先前到誠品生活實地行政檢查,現場發現在帳號管理上執行未確實,另外要求事後提供的補充或佐證資料,誠品生活個資盤點資料仍不完整,加上未落實委外廠商監督管理,依據個資法第48條第4款併第50條規定處分,開罰業者併同負責人共10萬元。
誠品表示,充分瞭解資安是企業永續經營的關鍵能力,「誠品線上」採用NIST網路安全框架並投入大量資源與努力,2年多來不曾懈怠過,並會持續強化措施與防護宣導。
至於旋轉拍賣案,產業署說明,業者已依先前警政署等專家建議,強化網站防詐警示、登入採用雙重驗證機制,並禁止用戶利用對話功能傳送未經驗證的網址連結等,不過,業者仍未提供針對委外廠商整體制度稽核,仍有待改進,要求業者限期改正,如果未能改善仍將按次處罰。
產業署表示,未來針對電商,個資管理部分也會做更完整盤點,希望強化業者風險評估控管以及供應商管理等,希望減少未來相關通報案。
數位部強調,已要求業者落實個資法規定,並限期要求業者再改正,如果屆期仍未改正,將按次處分。同時數位部要求各電商業者務必重視個資保護,也會引入相關解決方案例如隱碼技術,與電商業者合作,持續強化個資保護措施。
個資法日前已修法三讀,提高裁罰金額上限,但還沒正式發布,因此目前適用的是現行個資法條文,開罰金額在2萬元到20萬元間。
5 顆 
10 顆 
15 顆 
20 顆