戶籍外洩案朝野抓錯重點？ 資安界：應增加電磁紀錄保管權責

全國2300萬筆戶籍資料自《民報》去年10月追蹤以來，和朝野立委聯合質詢下已促成內政部取消光碟資料交換、《個資法》即將修法等成果。然而，針對數發部只針對今年骨幹網路做清查，未處理協助追溯一節及國家發展委員僅就「非公務機關」提出個資外洩事件處理方法，朝野立委全未督促各部會給「對」答案。

目前至關重要的是，日前調查局已公開調查結果，雖鎖定不法人士使用的虛擬錢包地址，但很有可能只鎖定到車手（分贓人頭）。資安界人士已點出，此資料擁2300萬戶籍訊息，卻只賣15萬台幣，是因為此份為二手資料。我國真正戶籍資料還掉在某個人手中，但調查局卻因為「續查其他使用戶役政資料或介接機關，惟資訊系統、網通及資安設備，囿於稽核紀錄距107年間已逾最大留存限制，致乏追查數位跡證路線」無法追查。

而本報取得數位發展部「數位建設」預算1億5千8百萬元解凍報告中，也僅向立院報告經本部資通安全署檢視111年該3個機關（內政部、勞動部勞工保險局及臺灣證券交易所）資安事件，未有法遵辦理事項時逾限情形，亦無通報與資通系統個資外洩事件；另檢視政府骨幹網路流量偵測紀錄，該3個機關亦無連線惡意中繼站情形。但此報告可謂，敷衍了事，台灣2300萬筆戶籍資料流出時間，經白帽駭客追查是107年4月，數發部並未協助相關回溯的部分。

此外，內政部口頭報告中曾提及，107年有中央機關進入介接戶籍資料，但因為沒有log（電磁紀錄）檔，無法追查在何處出現漏洞，口徑與調查局一致。本報也詢問熟諳政府運作資安人士，他強調擁有全台戶籍資料系統的單位不只有內政部，包括衛福部、六都的幾座城市都有全國戶政資料，更誇張的是，這幾個部會、城市之間介接交換資料，都以「打招呼」方式處理，甚至不用行文。

該名資安人士說，這唯一處理的方法，就是一改現在由介接機關保存log檔，且保存時間不長的問題，增加相關預算，確保我國政府資料交換檔案紀錄能完整留存和追溯。資安界人士呼籲，應從四方面思考，包括：把公務機關也納入督管對象、優化我國政府資訊交換安全通道、增加資料交換電磁紀錄介接雙方責任並延長保管時間、並降低集體訴訟門檻。