北市府打卡系統疑用陸貨 議員：恐滋生資安問題

▲林延鳳（左）、顏若芳（右）用「習近平問候您，怎麼沒來上班？」嘲諷市府打卡系統恐有資安問題。（圖：議員辦公室提供）

台北市議員林延鳳、顏若芳十三日共同召開記者會，主題為「習近平問候您，怎麼沒來上班？」議員踢爆，北市府運用生物特徵辨識技術，作為上下班「打卡」之用，但竟有數個單位運用中國貨，而且外型與中資企業「熵基科技」（ZKTeco，原名中控智慧）或總部設於上海的Granding Technology所開發器材幾乎一樣，若確定使用中國貨恐有資安問題！

熵基科技早在過去就被揭露是曾與中共軍方合作廠商，倘若沒有做好把關工作，對公部門而言恐有資安疑慮，相關產品更在中國購物平台，比如「淘寶」、「阿里巴巴」能輕易找到。

議員林延鳳、顏若芳共同要求，北市府應全面清查，並對可疑機台加以汰換，徹查採購過程有無違失，也要檢討對職員工個資保護機制是否不足，並於未來優先運用其他未涉及敏感性個人資料，比如由市府自行開發「Taipei On」手機APP等管理差勤，而非再購置、運用有關器材，否則除了浪費公帑，還會產生資安疑慮！

林延鳳針對市府各級機關進行調查，總共一百二十三個公務機關或所屬單位差勤打卡，調查發現共有四十個部門會運用生物特徵辨識作為「打卡」，大約佔總數三成二以上，包含指紋、指形、人臉及手掌辨識等，藉此杜絕「代刷卡」情形發生，但卻有八個單位使用中國貨。

八個單位包括南港區公所、北投區公所、公園處、教育局青發家教中心、北市交響樂團、環保局稽查大隊、勞動局就業服務處及勞動力重建處等，而且從外觀看來皆與ZKTeco產品高度類似，其他機關則使用新加坡、泰國、美國、日本或台灣製產品。

值得一提的是，共有十一個單位，包含大地處、水利處、多個地政事務所、地政局開發總隊等所使用泰國製產品，外觀也與上述中國貨相仿，推測恐怕是同一批產品，甚至其中大地處、水利處使用的「Bio-OF900」聲稱來自泰國，卻在官網和通傳會（NCC）電信設備審驗合格清單中，被抓包就是來自ZKTeco，對於個資保存與公務網路資安存有高度疑慮。

顏若芳指出，過去衛工處在議會就曾被踢爆準備用ZKTeco臉部辨識產品來「打卡」，後經檢討後該處已無類似差勤紀錄方式，但市府未再檢視各單位相關措施，造成有關中國貨仍在市府各單位被使用，目前市府自行開發「Taipei On」運用手機APP在特定點打卡，已可消除泰半「代刷卡」疑慮，令人不解這些堅持要用臉部辨識或指紋辨識的機關，「為何要把員工當賊來防？」。

林延鳳指出，就在調閱資料過程中，公園處原本還準備耗資九十六萬元汰換二十四台「指紋臉型雙效功能機」，但適逢上會期總質詢期間，該處被她詢問後緊急下架標案，隨後信誓旦旦對她說，中國貨非屬資通安全署限制使用危害國家資通安全產品，她認為這是欺騙社會說法。

主要因為該規定清單所限制，就是「中國廠牌」而非「中國製」，但存取紀錄北市府職員工的指紋、臉部特徵等，又有對外連網功能，其與監視器功能本質並無不同，而依據行政院相關指導「具連網能力、資料處理或控制功能者皆屬廣義資通訊設備」都屬擴大盤點範疇，倘若只是因為屬「非中國廠牌」而不予管制，恐會無法因應「貼牌規避」情況發生，最後就會產生資安漏洞。

顏若芳認為，使用生物特徵辨識管理出勤，這是萬不得已做法，若是沒有提出具備必要性合理說法，不應任意使用這種辨識技術，她要求北市府應研議相關標準，訂定嚴謹規範，全面清查這些機台是否具有資安疑慮，一旦可疑就應立即汰換，確保市府職員工個人資料安全，而且還要追究當時採購過程是否人謀不臧？