公務員個資外洩 監院糾正北市府
為處理轄下機關、學校、議會人員薪資發放、考績等業務,台北市政府斥資自行開發設計「薪資發放管理系統」,卻未妥善保護個人資料,致部分公務員之姓名、薪資、考績等資料曝光於網路,監察院內政及少數民族委員會7日通過糾正。
監委高鳳仙、江綺雯表示,台北市政府於2017年1月間爆發員工個資外洩事件,使4萬餘名台北市政府員工陷於個資外洩風險中,且因190筆薪資報表檔案連結外露,其中18張報表連結疑遭23個外部IP連結或下載,實際受影響之員工數達2,313名。
監委也指出,「智慧支付平台 pay.taipei」及「單一陳情系統 Hello Taipei」資安事件,係因採用國家發展委員會GCA SSL憑證進行加密,惟該憑證當時與Google Play尚不相容,該府未能及時督促得標廠商改採其他商業電子憑證,以致短期間連續爆發2件因未採用Https加密技術,而致個資外洩爭議,核有疏失。
監委認為,台北市政府近3年來,共編列約2億1千餘萬元之資安防護預算,卻發生至少19起資安事件,其中17起有「系統漏洞且有明確事證可證實已發生資料遭洩漏」、「系統或資料遭竄改」等情事,高達12起係肇因於「應用程式漏洞」或「軟硬體漏洞」,2起個資外洩,6起遭外部有心人士實際入侵,違失情節明確。