＃1922疫苗登記預約平台發生個資外露問題
＃人民隱私權被侵犯政府是否準備賠償
＃關貿號稱最大最專業為何出包不斷

民眾黨立委邱臣遠辦公室日前接到民眾投訴，號稱由天才IT大臣唐鳳設計規劃，並委託關貿網路公司製作的「COVID-19 公費疫苗預約」網站，因為網站設計有疏漏，明顯侵害民眾隱私權，任何人只要握有對方身分證資料及手機號碼，就可以直接在1922網站知道對方想預約哪種疫苗、是否已打過第一劑、已打過何種疫苗、打過第一劑的未來第二劑預約時間及種類。平台從7月6日上線已足足兩個月，民眾個資早就通通外洩！

#號稱天才專業卻犯個資外洩嚴重錯誤
「COVID-19 公費疫苗預約」網頁設計相當簡單，進入首頁後僅有「意願登記」及「預約接種」兩大項目，也僅有「查詢」、「登記/修改」、「預約」共3個按鍵。
民眾進行「登記/修改」、「預約」時都需要輸入雙證件或是身分證加收手機一次性OTP密碼，唯獨在「查詢」這項只要輸入身分證字號和手機號碼就可登入，
網路設計時為何要獨漏「查詢」無須雙重認證，實在令人不敢相信出自天才IT之手。

檢舉民眾非常恐慌公司人資就擁有這兩項個資，若有心人想查，資料不就被看光光！再加上國內詐騙集團手段不斷翻新，之前就常傳出大型網站被駭會員資料外流，若詐騙集團手上本就擁有民眾基本個資，更可以偽造1922網頁誤導民眾點擊，讓民眾有可能被網路釣魚和被植入勒索病毒。

#關貿公司得標無數卻出包不斷誰在包庇
關貿公司員工500人，每年都拿到高達數億政府公標案，並多為限制性招標。官網上這樣自我介紹：「展現卓越的團隊能量與深厚的專業實力，成功在短時間內整合金流、物流與商流，提供口罩實名制預購系統、振興三倍券、藝FUN券APP等服務，協助政府達到科技防疫與振興經濟之目標。」

關貿同時號稱自己是國內最大之應用軟體服務（ASP）供應業者，然而光是一個「COVID-19 公費疫苗預約」網站從上線之後就常常系統壅塞當機，現在再加上洩漏個資的嚴重錯誤，實在看不出號稱最大最專業的實力何在。

盤點「COVID-19 公費疫苗預約」幾次大出包事件
✅7/13開放第九類以及18歲以上民眾進行意願登記時，該系統網站與手機健保快易通都大當機
✅有民眾接獲1922簡訊後，已於7月16日到打完第一劑疫苗，7月27日開放第四輪疫苗預約接種，竟然又再度收到1922簡訊
✅7/27第四輪公費疫苗對象登記，原本預告會發送疫苗接種簡訊，給符合資格的民眾上網登記接種；因為PTT爆料「沒收到簡訊，符合資格直接預約就可以了」民眾大呼不公平
✅7月30日有民眾至新竹縣仁慈醫院欲施打第一劑AZ疫苗，未料現場醫護人員通知「1922平台出包，並未得到相關接種名單，衛生局也沒有配發到AZ疫苗」
✅8/9因系統錯誤不符預約資格的1500人意外搶到莫德納第二劑
✅8/14號稱太多人預約高端疫苗開放10分鐘內即當機

有媒體還透露，去年由關貿公司承攬的三倍券的系統開發光是驗證系統開發等等就耗費1億，如今五倍振興券上路確定，若同為關貿公司設計，就不應該再編列巨額開發預算，其他類似案件亦然。蔡政府從前瞻計畫到紓困預算處處浪費大撒幣，已經花掉人民一兆七千六百億，要知道這些錢都是人民辛苦工作的納稅而來，這個執政黨政府一路荒腔走板，人民歷歷在目，就算選舉快到了蔡政府才會醒過來假謙卑傾聽民意，人民的記性真的沒有那麼差！

#紓困 #防疫 #防詐騙

行政院昨(3)日宣布「紓困4.0」方案，相關紓困申請及發放時程將分成三波，第一波個人的紓困現金將於明（4）日起發放；第二波個人及事業紓困申請及貸款等將於下周一 （7日）起開始申請；第三波孩童家庭防疫補貼、勞工紓困貸款等將於6月15日開始進行發放及申請。

現在疫情仍未趨緩，每天仍有數百確診案例，全國仍在三級警戒，因此，仍要注意避免群聚及沒必要的接觸，建議儘量線上申請，以免增加染疫風險。本次紓困4.0凡去年申請過、符合資具存摺資料，且今年符合資格的民眾，自今（4）日起，會直接撥款匯入帳戶，而去年未申請的民眾，各部會將在下週一（6月7日）起，以線上申請的方式提供服務。

要提醒的是，詐騙案件層出不窮，據刑事警察局統計，今年1至5月，發生的詐騙案件就有9,339件，受 #詐騙金額高達18億元，因此，申請紓困記得查詢正確資訊再行辦理，凡是來電通知可以辦理紓困要求提供姓名、出生年月日、身分證字號等個資、提供銀行帳戶資料或需先匯款才能辦理的很可能是詐騙，凡接到可疑電話可撥打 #165 反詐騙諮詢專線 查證。

同時也要提醒行政院及相關各部會，應提供民眾清楚詳細申請流程圖及明確關鍵資訊，避免詐騙集團利用相近話術內容讓民眾混淆受騙。

【學生個人資料保護，不只是規定，更是義務】
　
上個月12日，中正大學發生了一場資安事故。有一份包括8,495位、橫跨五個學年度學生的身分證字號、手機、本地僑外生、身心障礙、原住民身分註記等資料的檔案，被寄給220位學生。
　
這是一次個人資料大量外洩的事故。
　
依據中正大學的說明，事件的原因，是因為中正大學通識中心一位還在試用期的承辦人員，「不慎」在信件中，「夾帶」了「用於查詢作業」的學生個資檔案。
　
然而，在這個案件中，學生個資通通放在單一未加密的文件裡面，除了難以避免未授權的存取，更不會有使用紀錄、軌跡資料，無從掌握個人資料的處理及利用情況。而且，這位新進職員取得資料目的只在於「取得e-mail通知講座訊息」，檔案卻包括身分證字號、手機、身心障礙等資訊，範圍顯然遠遠超過業務所需。
　
顯然的，整件事情不是單純個人疏失，更是制度性的問題。
　
在星期一的質詢中，中正大學馮展華校長，也證實該份個人資料檔案，是通識中心違規保存的歷年新生入學檔案彙整而成，並給未受學校個資保護相關訓練的試用期間人員使用。事後，學校也進行了懲處與通盤檢討。
　
我也在質詢中點出，事實上教育部早在2007年就定有「教育體系資通安全暨個人資料管理規範」，2019年和今年8月也有修正。然而，中正大學的「個人資料保護管理要點」，最後一次更新在2018年，從檢討看來，案發前也沒有落實相關的保護規範。
　
學生個人資料保護，不只是紙上的規定，學校更有積極作為的義務。
　
質詢的最後，則是一個濫用知識和地位不對等，不願意承擔責任的故事。
　
法律規定得很清楚：依據個人資料保護法第28條規定，公務機關違反個資法而侵害當事人權利時，就要負包括非財產損害的損害賠償責任，並且，在實際損害不易或不能證明的時候，法院可以依情節決定500元至2萬元的賠償。
　
然而，中正大學法學院卻在10月19日的臉書貼文，特別tag #基於有損害始有賠償之法理、#防止有心人士興訟。也有同學和我反應，有校方人員和他們說這次的個人資料外洩沒有造成任何損害，無需賠償。
　
學校外洩學生的個人基本資料、聯絡資訊甚至入學身分等，顯已侵害學生的資訊自主權，也造成學生擔心害怕的精神損失。但竟然有人向想主張權利的學生表示，學生不能求償？！這難道是面對過錯應該有的態度嗎！
　
只有面對問題、勇於承擔，才能真正建立防患於未然的處事文化。而除了學校，教育部也責無旁貸，應該以此為鑑，督促各級學校落實個人資料保護措施，防患於未然。
　
🎥質詢影片：https://reurl.cc/14Wl2m