跳到主要內容

消費者個人資料不受保障,影響電子商務消費信心

看夜間新聞時得知PayEasy這個台灣電視廣告行銷做最多的購物網站被駭客入侵,這是我已知的第五起中大型規模的電子商務購物網站遭駭客入侵使消費者個人資料因此外洩的訊息。

這五起包括了:東森、富邦momo、博客來、金石堂、麗登網路藥妝館。最早是東森購物網站和購物頻道從九月開始陸續傳出會員資料外洩,有會員遭詐騙集團騙取更改帳號密碼甚至是詐騙金額。

其次是今年金馬影展,有會員透過博客來網路書局的劃位及購票系統在訂票後,發現不止一名客戶的個人資料及訂購記錄被夾帶在通知信件中。之後博客來網路書局在十一月八日緊急提供補救方案,發佈道歉聲明及處理方式:

博客來-金馬影展套票個人資料事件,博客來誠摯道歉(2007年11月08日)

會員資料流出已是事實,有不少人在此次事件後接到詐騙集團假冒是博客來網路書局的員工,要求在電話中依照指示更改帳號及密碼,有些民眾在接到電話後懷疑是詐騙集團並反駁後,反而遭到詐騙集團人員的羞辱:

  1. Smile Ursula:博客來購書資料外洩12/2版本
  2. 聯合新聞網(聯合報記者彭芸芳):博客來購書 交大女生個資外洩險遇詐
擁有網路及實體通路的金石堂,最近在網路商店的購物上也出現了資料外流的問題:
自由時報(記者蔡淑媛):個資外洩!網購書300元 遭詐6萬

我自己也經歷過同樣的事件,在十月底時,曾經在麗登網路藥妝館購物,在十一月底接到一通電話,自稱是麗登網路藥妝館的員工,本來以為是通知實體店面搬遷的事項,但聽到接下來的訊息,表示我雖然採用信用卡購物,但是因為我勾錯了,反而會變成分期付款,每次都會從我的帳戶中扣款,要我確認帳號資料並做一些手續。我十分訝異,大致上我了解整個購物流程,也確定我沒有勾錯任何表格,也知道這是詐騙集團的電話,但讓我害怕的是,詐騙集團已經知道我的電話、地址、身分證字號,甚至是購物金額及付款方式。我沒等對方說完就掛掉電話,並向麗登網路藥妝館的主持人求證是否有這樣的情況出現,得到的答覆也確實是詐騙集團,並保證由於刷卡資料是透過網路金流公司連出,所以卡號不會留在購物網站中。同時麗登網路藥妝館即時透過手機及網站訊息提醒會員注意詐騙訊息:

各警察機關新聞發布:假來電真詐財-眼見【來電顯示】不一定是真的
這些詐騙集手法都是偽裝為該電子商務網站的服務人員,並表示因消費者在購物時的操作錯誤,由一次付清的付款方式改為分期付款並且每個月都會向發卡銀行請款,所以要消費者依照其指示到自動提款機前做更正手續,並將金額匯入他人帳戶中。

往昔在台灣,出現網路詐欺新聞多屬於網路拍賣,在賣買雙方透過交易平台達成交易後,會出現所謂的「劫標信」中途攔截交易訊息,使買方匯錯金額至詐騙集團的人頭帳戶中或是使賣方將商品寄到詐騙集團所提供的地址,如今,這些中大型的電子商務購物網站甚至是購物頻道也出現了消費者的個人資料外流的情況,而這些訊息會減低消費者對於電子商務安全性的信心,影響電子商務的發展,即使各電子商務網站都保證網站的安全性以及保護客戶資料上的用心,也做出亡羊補牢的反應,例如更換資料庫、在網頁上提醒網站會員不要聽從詐騙集團的指示操作及撥打165專線檢舉詐騙集團,但消費者的個人資料遭到外流已是事實。有的電子商務網站將這樣的責任歸咎於消費者使用免費信箱,在登入信箱後開啟了詐騙集團所寄發的含有惡意程式的郵件,導致個人帳號資訊外流,然而,責任真的都在消費者的身上嗎?有多少電子商務網站也遇到同樣情形卻因為擔心影響消費者購物信心而選擇不公開這樣的警訊也不做任何提醒動作使該在網站購物的會員處於資料外洩的風險中?而這樣的詐騙手法已精細到客戶的訂單資料及付款方式、金額都能取得,網站資料庫設計者、網站主機商…等相關單位都不需負擔責任嗎?

由於東森購物及其他購物頻道、網站的客戶資料外洩情況嚴重,台灣的法務部目前研擬修法要將客戶資料外洩改為公訴罪,在協商賠償上限金額待立法院三讀通過後,只要民眾能舉證受害就能求償,目前還未有賠償上限的金額,所以在通過個資法之前,一個是消極的減少網路購物的機會,另一個消極的作法是在接到詐騙電話後不要理會詐騙集團,能留下電話錄音並主動打165檢舉是一個好方式,但也記得避免對方的人身羞辱。

隨選歷史閱讀:
Powered by Stuff-a-Blog

留言

這個網誌中的熱門文章

閱讀歐盟區塊鏈技術運用於身份識別的報告與台灣的數位身分識別證

Photo by Adli Wahid on Unsplash 中午時間,我在查詢相關資料,回覆信件後,回頭問自己:「為什麼自己在查詢資料時,總是先從歐盟的資料著手?很多人會反應為什麼要查歐盟或 OECD 的資料而不先使用國內的資料?其他國家的研究資料不能用嗎?」 這幾年的心得是,在歐盟和 OECD 的報告裡會提供研究方法,公開告訴每個人,他們的數據來源、取得方法、怎麼推估、根據什麼政策框架,有什麼研究限制,這些公開的研究條件,都經得起外界審視和質疑,所以在檢查其合理性後,可以使用這些報告。 以區塊鏈技術運用在身分識別用途來說好了,在 GDPR 公布後,裡面的條件都規範了資料使用和流通的限制,對於喜歡不經告知就擅自挪用、交易的企業來說,使用資料的成本與門檻都提高許多,許多科技業者也質疑,在需要資料發展創新科技,如 AI 和區塊鏈,或是自主駕駛車輛,也需要大量的地理交通資訊,在 GDPR 這麼嚴謹的限制條件下,要如何發展新科技?

關於花精的FAQ(4)--使用篇

這部份有十六個Q & A,內容很多,我想應該可以解決在使用花精上最常見的疑問。 花精是芳香療法嗎?是保養品嗎?是藥品嗎? 花精應該算是順勢療法的一種,可以外用也可以食用,不能說是保養品,因為沒有保養品用在皮膚上的直接效果,可以確定的是,花精並不是藥品也不含所謂藥品的效用,但它確實能藉由自花朵萃取出來的能量來平衡人心中的負面情緒。 花精買回家之後要怎麼使用? 通常買回家的花精我們被稱為Stock Bottle,裡面有濃度較高的酒精,所以只要放在陰涼處通常可以放很久,但是如果你的居住地方較悶熱,還是建議放在冰箱裡會比較恰當。平常我們在使用的被稱為Treatment Bottle,調配方式如下: 你要先有一個30ml的玻璃瓶,要有滴管,可以少於30ml,買回家後先用沸水煮5分鐘。注意滴管部位的塑膠不要放到熱水裡。 在已消毒過的30ml玻璃瓶中加入礦泉水或是乾淨的飲用水。 從每個花精的Stock bottle裡各取出兩滴花精加到這30ml的瓶子裡。 每天喝四次,每次取四滴,加入水或是飲料裡,或是直接滴四滴到嘴巴裡。 如果你要搭配急救花精的話,加入Treatment Bottle中的急救花精是四滴,其他的花精還是以每種兩滴為主。 我已經有使用其他的花精了,我可以混用巴哈花精嗎? 原則上是不建議。像是如果你本身已經有澳洲花精的急救花精,就不建議再混合巴哈花精的急救花精。 花精在調配上最多幾種?可不可以三十八種全用? 一般而言一瓶Treatment Bottle裡最多不超過六種花精,因為太多的花精可能會讓你看不清楚自己真正需要的是什麼?也解決不了根本的問題,可能短期內改善了某種情緒但長期而言是沒有改變的,也有可能會互相抑制。但因為每個人的情況不同,有些人可能只需要一種或兩種;有些人可能需要調配到七種或八種,甚至有些人需要三十八種全部,當我們真正的了解自己的情緒問題出在哪裡時,就知道適合的花精到底有哪些,再慢慢的排除掉不需要的花精。 用錯花精會不會有不良的影響? 不會,花精是很溫和的東西,簡單的就成份上而言,它就是水而已,頂多加上了白蘭地防腐,特別一些的說法是,花精多了自然界的能量。花精所改善的是我們的負面情緒或是較黑暗的性格,如果選擇了不適合的花精也不會有什麼不好的影響。 如果我已經有其他品牌的急救花精,而且還有很多,我一定要再重新買巴哈急救花精嗎? 不用,選擇最適合自己

聯合國電子商務週會議中關於資料自決權的討論

這一週是 聯合國電子商務週 的會議,主題是Data and Digitalization for Development。時間是4月25日至29日,這次是混合型會議,實際地點在日內瓦聯合國總部。但就算是線上會議,在亞太地區的時區(台灣是 UTC+8)也是下午四點開始到晚上十二點,要跟會議其實是蠻累的。也不建議再回頭看錄影,因為會浪費更多時間,加上聯合國電子商務週的討論很多都是高度理想化的。 外交基金會(Diplo Foundation)每天會替大家整理相關的重點,可以參考他們的 頁面 ,也提醒大家可以參考: Promotion of trustworthy data spaces and digital self-determination 。就不需要那麼累去跟會議。不過昨天有一場討論是關於「資料自決權」(Data self-determination),這在台灣比較少被討論,多數的討論會停留在「資料主權」(Data Sovereignty)和「資料在地化」(Data Localization)。 不討論「資料自決權」的原因很多,企業不會希望政府做出規定,政府可能也擔心如果人民討論起資料自決權,在法治教育不是那麼足夠的社會,會在行政上出現很多麻煩。歐盟的資料保護法GDPR,大多數人會想到GDPR第17條的被遺忘權,但其實很少人再進一步想關於資料自決權。 國際網路競爭網絡(International Competition Network ,ICN)和英國競爭和市場管理局(CMA)都有發現這點,網路企業會因為網路效應、規模經濟,用一些手段提高消費者的轉換成本、學習成本,讓消費者必須被綁在自己的服務平台上,例如,穿戴式裝置,各位手上的智慧手錶。Fitbit 的使用者如果想要更換其他品牌的智慧手錶,可否把資料從 Fitbit攜出,和 Garmin 或是 Huawei、Samsung、Apple watch 上使用?很難,非常難用。這樣的議題大家可能會想到歐盟最近通過的數位市場法(Digital Market Act,簡稱 DMA)、數位服務法(Digital Service Act,簡稱 DSA)主要還是限制平台的行為、資料的使用,若是關於資料的治理政策還要自歐盟要達成的目標、還有其資料治理相關的法規,如歐洲議會在今年4月所通過的 Data Governance Act