一般人員資通安全宣導 -行動裝置與資訊安全教育訓練 桃園市政府地政局 一般人員資通安全宣導 -行動裝置與資訊安全教育訓練 上課日期/時間:105/09/30、105/10/3、105/10/05、105/10/06 講師:德欣寰宇 顧問部
大綱 何謂資訊安全? 網路安全議題 社交工程 勒索軟體 行動裝置與APP使用安全 個人資料保護 Q&A 謂資訊安全? 網路安全議題 社交工程
何謂資訊安全? 3 3 何謂資訊? 資訊是一種資產,像其他重要的組織資產 一樣對組織有價值,而且需要適當的保護。 需保護的資訊資產類別 6/3/16 何謂資訊安全? 何謂資訊? 資訊是一種資產,像其他重要的組織資產 一樣對組織有價值,而且需要適當的保護。 需保護的資訊資產類別 資訊記錄:資料檔、系統規劃與設計文件、操作手冊、業務流程、合約、教育訓練手冊、制度文件、內控管理辦法等。 電腦系統:電腦作業系統、應用系統、開發工具、套裝軟體、公用程式等。 實體設備:電腦主機、機房設備、通訊設備、儲存設備等。 基礎設施服務:電力服務、空調服務、網路服務、電信服務等。 實體區域:員工辦公室、主機控制室、管制區、門禁管制等。 何謂資訊安全? 保護資訊的機密性、完整性與可用性;另外也涉及如:不可否認性、驗證性、可歸責性、及可靠性等特性。 3 3
資訊安全-機密性(Confidential) 6/3/16 資訊安全-機密性(Confidential) 參考網址:http://www.cna.com.tw/news/firstnews/201605260010-1.aspx 機密性(Confidentiality) 保護資訊,避免未經授權的存取或揭露。 (分類只給可以看的人看,如:按部門、職責) (分級按機密等級分普通、密、機密、極機密,就如同電影一樣普通級、保護級、輔導級、限制級) (檔案傳輸時要透過加密處理) 用私人電郵 國務院批希拉蕊不恰當 中央通訊社 發稿時間:2016/05/26 04:44 最新更新:2016/05/26 07:21 (中央社記者鄭崇生華盛頓25日專電) 國務院今天公布調查報告指出,前國務卿希拉蕊任職期間、使用私人電子郵件信箱處理公務,是「不恰當的方式」,未遵守相關法律及國務院政策。 國務院獨立調查機構督察長辦公室(Office of Inspector General, OIG)已向國會遞交調查報告,「華盛頓郵報」根據取得的報告內容,整理出希拉蕊「電郵門」的6大疏失,而這份報告對希拉蕊的做法有尖銳批評。 包括以私人電郵處理公務並與其他國務院官員的公務電郵溝通聯繫,這對保存相關政府檔案「並非恰當作法」;報告還透露,2011年1月,前總統柯林頓的顧問告訴希拉蕊辦公室的相關人員,私人電郵的伺服器遭駭客兩度入侵;同年3月,國務院的資深官員收到警告,駭客鎖定了使用私人信箱的帳號。 另外,報告還提到希拉蕊的一些助理在調查期間並不合作,而她的一些助理曾頻繁地使用私人電郵處理公務;希拉蕊後來上繳的電郵內容資料不完整;國務院資安人員曾提醒,討論國家安全議題須留存紀錄,但她的團隊說相關法務人員已同意希拉蕊使用私人電郵,但OIG調查期間找不到有法務人員提出這一評估報告的文件。 值得注意的是,除希拉蕊,前任國務卿鮑爾(Colin Powell)也因使用個人電子郵件信箱,遭OIG報告批評「不恰當」。 在83頁的報告中也提到,希拉蕊應在2013年離開國務院時、就該列印並繳交所有私人電子郵件處理公務的往來紀錄,但她直到2014年底、離開國務院近兩年後才交出。 而希拉蕊競選團隊的發言人法隆(Brian Fallon)在電郵回覆中表示,OIG的報告是顯示,國務院的電子記錄保存系統長期存在問題,而希拉蕊在保存檔案與記錄上,遠超過其他人所採取的作法。 希拉蕊目前在黨內初選仍遙遙領先對手、聯邦參議員桑德斯,而電郵門對她的選情是否有影響,是接下來外界的關注焦點。 除這份報告,聯邦調查局(FBI)就希拉蕊私人電郵涉及傳送有關國安的機密資料,也正調查中,FBI局長柯米(James Comey)已指出,相關調查未設定完成期限,但他坦言,要迅速且徹底調查「電郵門」事件有壓力。 原文網址:http://www.cna.com.tw/news/firstnews/201605260010-1.aspx 資料來源:中央通訊社 2016年5月26日 4 4
資訊安全-完整性(Integrity) 真鍋、呈康疑竄改日期 違法販賣未來食品逾2年 5 5 6/3/16 資訊安全-完整性(Integrity) 參考網址:http://udn.com/news/story/7339/1098009- %E8%AA%B2%E7%B6%B1%E7%88%AD%E8%AD%B0%EF%BC%8F%E3%8 0%8C%E5%8C%BF%E5%90%8D%E8%80%85%E3%80%8D%E7%9A%84%E 5%85%B7%E5%90%8D- %E6%98%AF%E7%9C%9F%E5%90%8D%E5%97%8E%EF%BC%9F 完整性(Integrity) 確保資訊在任何階段沒有被不適當的修改或偽造。 真鍋、呈康疑竄改日期 違法販賣未來食品逾2年 資料來源:ET today 2014年11月19日 桃園縣政府衛生局查獲真鍋事業股份公司及呈康食品有限公司疑似涉嫌將法式鮮蔬什錦醬、蛋糕等食品,改換包裝並竄改日期變成了「未來食品」後轉售,違法行為至少長達2年,全案已移送檢調單位追查。 桃園縣政府衛生局表示,稽查人員查獲呈康食品旗下生產的法式鮮蔬什錦醬、冷凍雞腿改換包裝並竄改日期,變成了未來食品;不只如此,連蛋糕也是用過期的原料來製作,甚至故意在出貨後才標上生產日期。 另外,真鍋的咖啡禮盒超過175箱,也都變成了未來食品,明明是2014年製造,有效期限3年的咖啡,卻變成了2018年才到期,這些有問題的食品都被銷往全聯、台糖、大潤發等大賣場、OK便利商店、伯朗咖啡等連鎖簡餐店及其集團旗下的真善美汽車旅館。 衛生局表示,稽查人員在兩家公司查獲101年生產的法式鮮蔬什錦醬,隨即封存法式鮮蔬什錦醬199包、骨腿270箱、阿布蛋糕系列的黑森林蛋糕、香草芋泥349盒和鯖魚2000多箱等。 而且根據調查,這樣的違法行為已經長達兩年,由於呈康食品和真鍋往來的客戶高達4000多家,違規食品多達300多種,全案已經移請檢調單位深入追查。 原文網址: http://www.ettoday.net/news/20141119/427817.htm 資料來源:ET today 2014年11月19日 5 5
資訊安全-可用性(Availability) 6/3/16 資訊安全-可用性(Availability) 參考網址:http://www.ithome.com.tw/people/98813 可用性(Availability) 經授權的使用者能適時的存取所需資訊。 YouBike大當機!影響6縣市、14萬使用者,全台17000車柱 1個1個修。 2016-08-31 14:46 聯合晚報 記者郭逸君、陳佩琦/連線報導 YouBike系統今日凌晨發生異常,今天清晨5時起,6縣市場站全面暫停營運,影響許多通勤族,微笑單車立即派人前往各服務據點進行搶修。 記者鄭清元/攝影 肇因更新程式異常 在台灣成功推動的YouBike,今天發生自2009年營運以來最大規模當機事件;營運廠商因更新台中、彰化地區場站程式,導致系統異常,從清晨5時起,包括台北市、新北市、桃園市、新竹市、台中市、彰化縣各場站全面暫停營運,正緊急搶修,預計1至2天才能恢復營運,初估影響6縣市、14萬使用者;但中午新北市新莊、板橋和蘆洲已恢復運作。 「我跑了兩個租借站,滿頭大汗,為何每輛車都不能借?」一名林姓學生說,從沒想到YouBike會大當機,租借站每輛車都試了,以為自己的卡片故障。 另外, 台北市很多上班族,靠YouBike通勤或轉乘捷運、公車;上午YouBike大當機,借不到車,不少人急得欲哭無淚,獲知是當機了,抱怨為何不早點在民眾上班通知,上班要遲到了。 YouBike發言人劉麗珠上午與北市交通局對外說明,她先為造成使用者不便致歉,並表示目前已加緊腳步搶修,目標希望明天上午5時恢復全台YouBike營運。 劉麗珠表示,今天凌晨YouBike系統更新,但更新過程版本發生毀損,造成全台YouBike站點無法執行借還車。 為何要花上一天才可恢復?「希望能更快。」劉麗珠說,因全台有778個場站、共1萬7000個車柱,目前已經派出40組人加緊腳步搶修,工程人員必須要逐一修正車柱,目標希望明天上午5時就能恢復營運。 營運以來 規模最大 劉麗珠表示,這次更新版本毀損,造成全台YouBike場站無法借還車,是營運以來影響規模最大的一次。 原文網址:http://udn.com/news/story/10295/1930765 資料來源:聯合晚報 2016年8月31日 6 6
資訊安全的現況 來自境外組織型駭客,透過複雜度極高的 進階持續性威脅(Advanced Persistent Threat,簡稱APT)手法 利用假冒郵件的社交工程等方法,針對敏 感資訊的組織量身訂製攻擊手法 駭客攻擊目標常鎖定政府施政之重要部門 (如:保防、特勤、外交、兩岸事務)或民間 機構(如:金融機構),並針對特定任務與目 標執行網路攻擊 國檔局遭駭 公文資料恐遭洩密-民視新聞 社交工程 交通部:遭駭客攻擊達「準戰爭程度」 全球證交所皆有被攻擊的狀態 撥放_APT攻擊一場沒有中立國的戰爭(真實案例模擬) 7 7
資訊安全的現況(續) 勒索軟體竄起,且蔓延至行動裝置 鎖定Windows的攻擊迅速發展,Mac用戶 (IOS系統)也不能掉以輕心 惡意連結簡訊與通訊軟體詐騙訊息社交工 程攻擊增加,行動裝置病毒更氾濫,小額 付款詐欺成為新威脅 這個國家好驚人 每天僅花19分鐘上社群軟體 今日新聞 國際中心/綜合報導 2016.08.20 / 16:00 現代人手機不離身,社群軟體更是和他人連繫的重要管道。但英國近日有研究發現,日本人使用社群軟體的時間少的驚人,平均一天僅花上19分鐘,和其他國家的平均使用時間相差甚大。 英國研究機構《GlobalWebIndex》近日公布一項研究,發現日本人使用社群媒體的時間排名最後,平均每天只花上19分鐘。千葉大學的教授指出,造成此現象的最主要原因可能是「日本人只會和親密朋友使用社群軟體」。 倒數第2的國家則是南韓,時間為1小時又3分鐘,和日本相差極大,再次顯現出日本與其他國家的差距。而使用時間最長的國家則為菲律賓,每天得在社群軟體上花費3個小時又56分鐘。另外,在社群軟體滲透率方面,台灣以77%位居第一名,有多達1800萬的民眾使用社群軟體。 路 8 8 8
資訊安全-最弱環節 隨著防護產品的佈建,對惡意攻擊的嚇阻 可達一定的成效,但是”人”的因素,往 往是資安環節最弱的一環 9 9 雄三飛彈誤射事件,由於人為因素導,未依照訓練正常程序來實施,發生了錯誤就後悔莫及,不論是在資訊安全議題組織建議都需要提升人員教育訓練,操作上更加注意流程,反覆的演練與修正,才能讓我們使用資訊可以更加地放心 播放_IBM Security 短片 9 9
網路安全議題 家庭WiFi安全 家庭WiFi安全防範 公共WiFi安全 網路威脅
WiFi安全議題 家庭Wi-Fi沒設密碼 衰被駭客借走盜刷成嫌犯 撥放_[東森新聞]家庭Wi-Fi沒設密碼 無辜成盜刷案嫌犯 Wi-Fi無線上網越來越普遍,但請記得一定要在行動裝置設密碼,新竹警方追查信用卡遭盜刷案,用IP追查位置後後傳訊六人到案,才發現這些人根本也是被害人,原來他們在行動裝置上裝設wifi,但沒有設定密碼,被人盜用,反而成了詐騙案的嫌犯。 不管是用手機還是平板電腦,或是在家中裝設WIFI分享器,隨時可上網很方便,但小心有危機,因為WIFI使用有一定範圍,等於只要在這個範圍內的人都可以連的上,如果你沒有設密碼就有可能被盜用,甚至還因此成了盜刷案嫌犯。 新竹一名林小姐就是沒設密碼,結果遭到隔壁鄰居門姓男子偷連上網路,用她的IP盜刷信用卡購買遊戲點數,結果警方一追IP,查到的是林小姐,害的她被各地地檢署傳喚,甚至還遠到金門、屏東,而且和林小姐一樣,最近在新竹就有六人受害。 其實嫌犯除了抓準家中WIFI分享器,還隨機在路上搜尋可用WIFI,只要誰沒用密碼上鎖就拿來盜用,因此提醒民眾,現在行動裝置方便,但真的要注意,不然被人盜用IP,明明是被害人卻被當成嫌犯得到處出庭,真的是得不償失。(新聞來源:東森新聞) 原文網址: http://www.ettoday.net/news/20131205/304201.htm 資料來源:東森新聞 2013年12月5日
WiFi安全議題 家中無線網路加設密碼 未使用時關閉無線網路分享器 不要下載不明檔案或點選不明網址,以 免被植入木馬程式竊取個資 如果你無法肉眼判斷網址的安全性,請 務必跟信賴的網站購買 用Google查「分享器預設密碼」 查特定網路的設定 https://www.shodan.io 檢查檔案or網址的安全性 https://www.virustotal.com/zh-tw/
WiFi安全議題 防止歹徒窺探您網路流量的方式,就是 連上以“https" 為開頭的網址。這個多出 來的“s" 代表進出該網站的通訊都經過 加密,因此,任何網路罪犯若嘗試攔截 您的流量,看到的也只是一堆亂碼。 PChome線上購物 網站未加密(未加s) http://shopping.pchome.com.tw/ 白天騙老人、小孩,晚上騙上班族 內政部警政署165反詐騙 https://www.165.gov.tw/ 165 網站
公共 Wi-Fi 駭客是這樣用的 參考資料來源 http://technews.tw/2016/01/04/maybe-better-if-you-dont-read-this-story-on-public-wifi/ 在外假如手機訊號不好,通常我們都會使用公用的WIFI,有時會出現免費的WIFI,這時就要注意,千萬不要點選免費的WIFI,因為那些都是想要將你的個人資料拿光光。這邊有篇報導與大家分享一下, 內容講說:現代人離不開手機、離不開網路,隨時都想上網,但公共WiFi其實暗藏資安風險,像是一些不加密碼的公共WiFi,當駭客入侵時,使用者在公共WiFi登入的網站、帳號、密碼,都很容易被駭客拿到手、賣給不法人士。小心免費的最貴! 登公共WiFi 個資恐遭駭 播放_【TVBS】你上網駭客竊密! 公共WiFi藏資安風險(2:30) https://www.youtube.com/watch?v=LC-g00daGRY 14 14
公共WiFi安全議題 如果非要用公共網路,那怎辦? 盡可能不要下載任何檔案 傳送重要資料 洩露個人帳密、金融資訊 限於瀏覽就好
趨勢科技 2016 年資安威脅預測 2016 年將會是網路勒索之年。 網路威脅將更加進化,更側重犯罪手法 背後的心理層面,而非技術層面。駭客 將繼續利用恐懼為主要手段,因為這一 點在過去屢試不爽。 資料參考來源 http://www.trendmicro.tw/tw/security-intelligence/research-and-analysis/predictions/index.html 利用網路的便利性,我們不論是在甚麼地方都一定會利用到網路 ,有心人士就會利用吸引主題使有好奇心之人點選該網址或是圖片 像我們常常到了每個景點都想打卡分享都會透過網路,因此在網路上都須隨時做好防範措施,提高警覺。 16 16
點連結就會造成中毒會被加密? 刑事局也曾多次提醒民眾,勿點擊來路不 明的網站連結,因為這些連結都是駭客團 體精心設計的惡意位置 6/3/16 點連結就會造成中毒會被加密? 刑事局也曾多次提醒民眾,勿點擊來路不 明的網站連結,因為這些連結都是駭客團 體精心設計的惡意位置 又例如:縮短後的網址,因為縮短後的網 址無法辨識真正的來源 Google URL Shortener 查詢短網址 http://goo.gl Demo 查詢短網址 縮短網址:「縮網址」或「短網址」服務最大的優點就是能把冗長的網址縮短,讓原有的網址「改頭換面」。縮網址服務不但能把網址重新改造,更厲害的是有些還內建統計報表功能,能讓你知道有多少人點進去過這個網址, https://zh.wikipedia.org/wiki/%E7%B8%AE%E7%95%A5%E7%B6%B2%E5%9D%80%E6%9C%8D%E5%8B%99 由於縮短網址具有隱匿原始網址的特性,使用者無法透過短網址的「外觀」得知真實網址,因此短網址便成為有心人士利用來散播電腦病毒及有害內容的管道,成為近年來社交工程攻擊的慣用工具之一。 目前已經有部分短網址服務整合資訊安全廠商提供的網址檢查機制,提供使用者在點擊短網址時預覽真實網址以進行及安全性檢查,透過即時的檢查機制降低使用者暴露在資訊安全風險的機會。 17 17
6/3/16 瀏覽新聞就中毒? 瀏覽新聞是沒問題,問題出在駭客透過網 路廣告聯播的手法,將惡意程式碼隱藏在 正常的新聞網站上,所以民眾瀏覽新聞時 就可能會誤點擊廣告,掉入駭客的陷阱中 開啟yahoo的網頁頁面給大家看 說明駭客利用購買廣告方式,使用網路廣告連播,利用各大新聞版面放置廣告,讓使用者誤點擊後,不小心掉入到駭客陷阱。 18 18
網路釣魚 八卦影視 休閒娛樂 保健養生 財經資訊 情色內容 新奇資訊 舉例:6個 八卦影視:王寶強婚變 休閒娛樂:王建銘過了8天後首次登板,失分 保健養生:多喝檸檬水可以減重 財經資訊:任天堂股票上漲,直逼Sony股價 情色內容:秦偉的情色風暴報導 新奇資訊:全台最便宜的三輪車在台上市
英文名為Social Engineering,攻擊者本身 不需要具備頂尖的電腦專業技術,仍是利用人性弱點來進行詐騙,是一種非技術性 社交工程 社交工程案例 社交攻擊模式-Mail 社交攻擊方式-手機 社交工程的定義: 英文名為Social Engineering,攻擊者本身 不需要具備頂尖的電腦專業技術,仍是利用人性弱點來進行詐騙,是一種非技術性 的資訊安全攻擊方式,藉由人際關係的互 動進行犯罪行為,誘使被害人安裝破壞性的惡意程式,造成系統破壞、網路癱瘓, 或利用使用者對於詐騙沒有足夠的認知,騙取各項帳號、密碼、個人資料、財務資料,或組織重要機密等資訊。 撥放_虎三小之童話變奏 社交工程(三)
社交工程案例 案例一:「 我只是偶爾上 FB,看新聞網站, 早上一開機,檔案全被鎖住了」 案例二:「我沒有亂開網頁,印象裡有跳出一 個程式說要更新,我按『確定』,就中招 了」 案例三:「我打開一個看似發票通知的 word 附件,連網路硬碟都被加密了」 案例四:追劇變悲劇「我在網路上看完電影, 電腦裡所有檔案卻都打不開了…. 」 Demo 比特幣幣值換算 https:///www.bitoex.com 案例一:「 我只是偶爾上 FB,看新聞網站,早上一開機,檔案全被鎖住了」 我們一再提醒大家如果電腦有軟體的修補程式沒有更新的話,遇到「Drive by download」路過式下載(隱藏式下載、偷渡式下載、強迫下載,網頁掛馬)攻擊,瀏覽惡意網頁或惡意廣告就會中毒。 案例二:「我沒有亂開網頁,印象裡有跳出一個程式說要更新,我按『確定』, 就中招了」 提醒大家要適時更新作業系統和應用程式,但也得小心勒索病毒也會假冒官方發送假的更新通知。 案例三:「我打開一個看似發票通知的 word 附件,連網路硬碟都被加密了」 你知道很多中了Locky加密勒索病毒的人,是自己親手啟用內嵌在惡意附件文件內的巨集,導致檔案被加密的嗎?這個勒索病毒還曾經 迫使醫院緊急將所有電腦關機,改用紙本作業而聲名大噪, 最近更假冒 Amazon.com散發了 3,000 萬封訂單出貨通知。 案例四:追劇變悲劇「我在網路上看完電影, 電腦裡所有檔案卻都打不開了…. 」 網友在論壇上求助,說想利用假日在網路上看電影,電影看完了,電腦裡所有檔案卻都打不開了,原來是中了Cerber 勒索病毒 Ransomware,並被要求支付約台幣1.7 萬的比特幣(Bitcoin)才可解鎖,更慘的是用公司的電腦 ! 很多網友給的建議跟 FBI 建議的一樣:" 付錢了事 “ 原文網址:http://blog.trendmicro.com.tw/?p=23050
加密勒索病毒最大宗的攻擊方式:網路釣魚信件 好奇心是最大的漏洞 每天有100次掉進駭客陷阱的風險 Demo電子郵件安全設定,可以有效降低感染風險,降低中獎的機率
利用手機來和電腦做連結,傳送重要資料, 舉例來說利用惡意的APP感染到手機,手機又與電腦充電而感染到電腦,利用手機當成媒介,將重要資料傳到駭客的主機 天下雜誌 2016/7/19 20大銀行app 有 17家不安全 結果發現,除玉山銀、第一銀、元大銀三家app,資安嚴重等級屬「輕微」──也就是四項檢測中僅一項不符,其他十七家都存在較高的資安風險。特別是,高達十四支、七成的app憑證未綁定;這十四支app中,有十一支未對帳號和密碼做加密,駭客可輕鬆取得所有帳號與密碼。(見表) 鏈結_原文網址:http://www.cw.com.tw/article/article.action?id=5077467
新聞剪影 安全出漏洞 蘋果Mac電腦 首遭軟體勒索 參考資料來源 6/3/16 新聞剪影 安全出漏洞 蘋果Mac電腦 首遭軟體勒索 參考資料來源 http://www.chinatimes.com/newspapers/20160308000107-260203 安全出漏洞 蘋果Mac電腦 首遭軟體勒索 以往專挑Windows作業系統下手的勒索軟體,這回首度鎖定蘋果OS X作業系統,導致不少用戶的麥金塔電腦在上周末遭到勒索軟體入侵。 原文網址:http://www.chinatimes.com/newspapers/20160308000107-260203 蘋果用戶小心!程式有漏洞.個資恐被看光 蘋果迷要特別小心了!iPhone居然有資訊安全漏洞!駭客踢爆,而蘋果也承認了,iOS有系統後門,讓蘋果員工可以在用戶不知情的狀況下,獲取訊息與聯絡人資料,消息一出,讓大陸再度槓上蘋果,官方媒體呼籲黨政軍高層,不要用蘋果手機! 我們看過的案例除了Windows系統外,MAC電腦也需要注意,並不是只有Windows才需要做保護而已 25 25
勒索軟體 勒索軟體之途徑 勒索軟體之案例 勒索軟體之防範
勒索病毒入侵 27 27 利用社交工程的偽裝方式,吸引你點選不明的網址,便於方便竊取重要檔案與資料,並以加密方式向單位索取大筆金錢 6/3/16 勒索病毒入侵 利用社交工程的偽裝方式,吸引你點選不明的網址,便於方便竊取重要檔案與資料,並以加密方式向單位索取大筆金錢 27 27
6/3/16 勒索病毒入侵之途徑 28 28
勒索病毒入侵之途徑 社交工程郵件(釣魚郵件中有害的附件或連結): 利用釣魚信郵寄,欺騙使用者開啟附件,或是 點選附件中的有害連結,這種利用人性弱點的 方式,若使用者不夠警覺,就有可能受害,若 結合更多偽裝手法,像是檔名或圖示的偽裝, 甚至偽裝電子郵件與內容,使之看似正常通知 信,更令人難以防範。
勒索病毒入侵之途徑 系統、軟體漏洞造成 利用像是Windows、Java、Flash或瀏覽器的漏 洞,讓使用者在瀏覽網站時受到感染,若是用 戶電腦沒有時常更新這些軟體,或是安裝防毒 軟體,就有很大的機率受到感染。甚至,也有 駭客以廣告主身份,向合法廣告供應商購買流 量,以惡意廣告形式傳播。
勒索病毒入侵之途徑 網路芳鄰: 一台PC主機若遭受加密勒索病毒攻擊,除了該 電腦本身受害,萬一同時還有外接硬碟、USB 隨身碟,或具有網路磁碟機、雲端硬碟、檔案 伺服器的存取權限,這些與受感染電腦相連的 檔案也會遭到惡意加密。另外,有些病毒也能 透過網路芳鄰方式,感染其他連線主機。
勒索病毒入侵之途徑 網站非法軟體: 若使用者從論壇下載非法軟體,其中也有可能 被植入加密勒索攻擊程式,讓用戶因貪小便宜 的心態,主動受感染。
勒索病毒入侵之途徑 USB感染: USB隨身碟也是常見的病毒擴散方式,只要電 腦插上受病毒感染的USB碟, 通常會搭配autorun.inf檔案, 讓電腦主機也會跟著中毒。
勒索病毒入侵之途徑 親朋好友傳來的各式網路連結 免費影片,真的免費嗎? 長輩早安圖,有毒嗎? 各式走光圖,個人資料真的走光了! 34 34 6/3/16 勒索病毒入侵之途徑 親朋好友傳來的各式網路連結 免費影片,真的免費嗎? 長輩早安圖,有毒嗎? 各式走光圖,個人資料真的走光了! 確認是否為真的是好友所傳的網路連結 免費的最貴 圖片理會夾帶一些看不到的惡意程式檔案 吸引標題的圖片 34 34
6/3/16 勒索病毒-案例說明1 http://ascc.sinica.edu.tw/iascc/articals.php?_section=2.3&_op=?articalID:8765 勒索病毒入侵電腦 古坑公所無奈 http://news.ltn.com.tw/news/local/paper/936011 35 35
勒索病毒-案例說明2 http://news.ltn.com.tw/news/local/paper/936011 36 36 6/3/16 勒索病毒-案例說明2 勒索病毒入侵電腦 古坑公所無奈 http://news.ltn.com.tw/news/local/paper/936011 小心別亂點!勒索病毒爆災情 中毒要求付贖金youtube(1:50) https://www.youtube.com/watch?v=dSTqL9KR9kg 最近網路上瘋傳,不少網友疑似中了勒索病毒,電腦內的大量檔案都被加密,桌面也被置換,使用防毒的解密軟體都沒用,由於受害者都有共同使用習慣,像是IE的使用者,或有到中國網站瀏覽的習慣,提醒3C族多加留意! 撥放_小心別亂點!勒索病毒爆災情 中毒要求付贖金 36 36
6/3/16 勒索病毒之危害-如何預防 37 37
勒索病毒預防之方法 控制好自己的手指頭 善用VirusTotal - 免費的線上病毒、惡意 軟體和網址掃瞄器,協助判斷惡意網址、 惡意程式 6/3/16 勒索病毒預防之方法 控制好自己的手指頭 善用VirusTotal - 免費的線上病毒、惡意 軟體和網址掃瞄器,協助判斷惡意網址、 惡意程式 建立良好的網路使用習慣 拔掉網路線? 拔掉電源線? 不要用電腦、智慧型行動裝置? 參考資料 http://ppt.cc/vKkJs VirusTotal - 免費的線上病毒、惡意軟體和網址掃瞄器 https://www.virustotal.com/zh-tw/ 38 38
善用VirusTotal -免費線上病毒、惡意軟體和網址掃瞄器 1 2 3 39 39 6/3/16 善用VirusTotal -免費線上病毒、惡意軟體和網址掃瞄器 1 2 3 VirusTotal - 免費的線上病毒、惡意軟體和網址掃瞄器 https://www.virustotal.com/zh-tw/ 39 39
勒索病毒預防之方法 定期備份重要資料 定期檢查備份檔案 不隨意點選惡意連結 確認電子郵件之來源 開啟“顯示副檔名”選項 定期升級作業系統、防毒軟體 發現異常程式,立即斷開網路 定期備份重要資料 強烈建議你備份兩份以上:一份保存在雲端(如Dropbox和Google Drive等雲端服務),另一份則採用物理方式保存(外接硬碟、備用 筆記型電腦等) 定期檢查備份檔案 有時一次意外故障就可能會導致檔案損壞 不隨意點選惡意連結
行動裝置與APP使用安全 行動裝置-手機歷史發展 行動裝置發展應用 行動裝置安全事件 行動裝置應用程式安全 APP使用安全
行動裝置與APP使用安全 撥放_App不要亂下載_間諜袋著走_揭發智慧型手機間諜軟體,滲透個人和企業的秘辛 42 42
網站辨識真假 43 43 【FB新騙術】釣魚網站假冒 Facebook 官網,盜取帳密資料! 6/3/16 網站辨識真假 【FB新騙術】釣魚網站假冒 Facebook 官網,盜取帳密資料! 假網址、假裝 臉書 官方網站,要你輸入帳號密碼及個人資訊,並威脅恐嚇:如果你不確認,系統將會自動關閉你的Facebook帳戶永久。 原文網址:http://kikinote.net/article/47002.html 提醒大家在輸入帳號、密碼時要小心網址的正確性 43 43
網站辨識真假 44 44 【編輯推薦】明天放颱風假?偽人事行政局網站暗藏玄機! 撰文者:數位時代 發表日期:2009/08/07 6/3/16 網站辨識真假 【編輯推薦】明天放颱風假?偽人事行政局網站暗藏玄機! 撰文者:數位時代 發表日期:2009/08/07 「明天颱風假不用上班!」、「那是假網站拉!」中度颱風莫拉克襲台,六日下午Plurk、Twitter、PTT等網站上流傳「盜版」人事行政局網頁,不僅許多期待放颱風假的網友信以為真,更有網路媒體一度發布錯誤消息。 雖然假網頁完全模擬人事行政局網頁,乍看之下幾可亂真,不過仔細一瞧,就會發覺假網站的網址http://tw886.to/cpa/(請勿開啟此網頁),和真正的人事行政局(www.cpa.gov.tw)差很多。目前人事行政局除了向民眾澄清之外,也已經向警方報案。 原文網址:http://www.bnext.com.tw/article/view/id/2203 44 44
行動裝置發展-手機發展史 撥放_Fueled Presents: 40 Years of Cellphone 40秒了解手機進化史(1:30) 影片來源:https://www.youtube.com/watch?v=9Oh8Co64RKI
行動裝置發展-物聯網 物聯網是網際網路、傳統電信網等資訊 承載體,讓所有能行使獨立功能的普通 物體實作互聯互通的網路。 變更家裡的智慧冰箱或是智慧冷氣 找一個相關網址給大家看 看全台的網路監視器 http://www.insecam.org/
行動裝置發展-穿戴式裝置 1.能穿戴在使用者身上 2.具備一個運算處理核心 3.可以執行各種功能的軟體系統 4.具備有線、無線連接網路或其他裝置的能力 5.具備不同目的的感應器 甚麼是行動裝置 不可能不用行動裝置,手機演進,智慧型裝置發達,因此發展出的安全議題更加的多,也更加的重要,除了平常的使用注意,也需要隨時不離身。 小米手環
行動裝置安全事件 個人資料外洩 因為行動裝置很少裝防毒軟體 利用手機購物的機率越來越大,個人資料外洩機率大 撥放_《中天新聞》手機被駭資料外洩 駭客現場操作實錄 https://www.youtube.com/watch?v=T0BqYgFYnQw(4:26)
行動裝置安全事件 G DATA:26款市售手機韌體被偷放惡意 程式,小米、華為、聯想皆受害 http://www.ithome.com.tw/news/98503
行動裝置安全事件
行動裝置威脅-手機簡訊 詐騙集團手上已經握有一份超過十萬人的名單(包含姓名、手機號碼),透過簡訊發送功能,把你的姓名加上一串隨機問候語,還有一個惡意鏈結,包裝後用簡訊方式寄送給所有名單上的使用者。收到的人不疑有他(上面有你的名字,看起來很像是朋友傳來的簡訊),點擊簡訊裡的惡意鏈結,會自動下載惡意程式 APK 檔,手機就會「中毒」! 165,防詐騙 https://www.165.gov.tw/ 51 51
行動裝置-通訊軟體 (LINE) 關閉「公開ID」功能。 【中視新聞】LINE詐騙暴增 買情人禮遭詐1.7萬 20150302(1:40) https://www.youtube.com/watch?v=8W_WL7TCC9Y
行動裝置-通訊軟體 (LINE) 若無使用電腦版 LINE,應關閉「允許自 其他裝 置登入」
行動裝置-通訊軟體 (LINE) 關閉手機通訊錄「自動加入好友」、關閉 「允許被加入好友」。
行動裝置-通訊軟體 (LINE) 定期更新
行動裝置-通訊軟體 (LINE) 開啟「阻擋訊息」,阻擋非來自好友 之訊息。 社群網站、軟體或免費信箱不使用同 組帳號密碼。 定期更改密碼,設定換機密碼。
行動裝置-社群網站(Facebook) Facebook按讚劫持(Likejacking):利 用有趣的文章(通常跟時事相關)來誘 騙使用者點入惡意網站或釣魚連結。 Facebook聊天攻擊 垃圾推文和惡意Twitter連結 假的貼文 Facebook不明好友加入 不要用公共電腦網咖 http://blog.trendmicro.com.tw/?p=12793
社群網站(Facebook)-防範 Facebook有內建一個 "登入通知“ 的功能 ,在帳號設定帳號保安可以開啟 把盜用你帳號的裝置登出,在帳號設定 帳號保安 "認可的裝置"與"有效的連 網“ 兩個選項裡的東西全部移除和退出 定期清除這兩個地方,在其他電腦忘記 登出時也可以透過這個動作來登出,再 修改密碼 https://free.com.tw/10-tips-for-improving-facebook-security/ 發現問題時立即變更密碼
社群網站(Facebook)-防範 最重要記得登出 不登出會被有心人士惡作劇 https://www.youtube.com/watch?v=1WP4o5tbEs4(2:00)
社群網站(Facebook)-防範 當你的Facebook帳號在新的裝置(電腦、 手機、平板)被登入時,就會寄一通簡訊 通知你
社群網站(Facebook)-防範 隱私設定重要性
社群網站(Facebook)-防範 動態時報和標籤設定
社群網站(Facebook)-防範 使用安全加密連線瀏覽 Facebook
社群網站(Facebook)-防範 檢查帳號有無異常活動情形
社群網站(Facebook)-防範 應用程式檢視 播放_超震撼短片《別讓網絡泄露你的隱私》 發佈日期:2013年10月16日 【超震撼短片《別讓網絡泄露你的隱私》】開始還以為真是神算子,到後來真相揭開的那一幕,太震驚了!網友們千萬要警惕哦,別讓網絡泄露你的隱私,網上有你的整個人生。朋友們,謹記,謹記!
行動裝置安全防護 手機設置密碼鍵盤鎖等防護措施。 不點選來路不明連結網頁。 不用相同帳密登入不同網站。 安裝手機防護軟體(如Avast、Dr.Web、 AVG…..等)。 不理會陌生人的訊息(如LINE、 Facebook…等)。 66 66
行動裝置安全防護(續) 手機避免下載或安裝來路不明之安裝程式 (非Google Play或App Store之軟體)。 iPhone及iPad等iOS設備建議不要進行JB、 Root(越獄)操作 儘量避免離開視線或交由陌生人操作 充電儘量使用座充變壓器,避免連接電腦 104年資安動畫金像獎 第一名:資安守則 Love Story https://www.youtube.com/watch?v=QlIid7nh2Uw&index=1&list=PLqYa_8g7zkrc0aa5ZjHKl0QJVNWO2vFjN(2:30) 67 67 67
App使用安全 下載APP應注意: 欲下載APP的評比與權限設定 該APP的星級評價 觀察使用者對該APP之評論 查看該APP的存取權限設定 68 68
APP應用安全-查看權限 102年度資安動畫金像獎 第二名:APP的誘惑-使用者評論、開發者資訊、個資授權要求 https://www.youtube.com/watch?v=ktdYNvcCbH0
APP應用安全-查看全部
APP應用安全-可隨時取消
APP應用安全-更新
App使用安全(續) 您的位置:程式會透過手機GPS或是LBS 基地台的方式來取得你的位置。一般來說, 只有與地圖相關的應用才會用到這個權限。 需要額外費用:這個權限可以讓應用程式 直接用手機撥打電話、簡訊給特定對象。 理論上很少有遊戲會用到這個權限。 您的帳戶:應用程式會存取這台手機上的 Google帳戶、密碼。一般來說,除了 Google本身的App之外,其他程式應該不 會用到。 定位記得關閉 定位部分能不開就不開 出軌倒數270秒_第二話_是他還是他(3:00) https://www.youtube.com/watch?v=SnMYNIlOdII(3:35) 73 73
App使用安全(續) 您的個人資訊:很多應用程式都會要求這 個權限,這個權限的要求可大可小,透過 這個授權可以讀取手機中的聯絡人資料。 系統工具:這個授權可以讓應用程式設定 為在開機的時候,自動將程式載入到背景。 如果是應用程式要求這個授權還算合理, 如果是遊戲的話則很奇怪。 不給多餘的權限,危險不上身 74 74 74
個人資料保護 個人資料保護 修正說明、重點
個人資料保護初探1 犯罪 前科 健康 檢查 性生活 基因 醫療 病歷 個人資料 自然人之 姓名 出生年月日 國民身分證統一編號 護照號碼 特徵 指紋 婚姻 家庭 教育 職業 病歷 醫療 基因 性生活 健康 檢查 犯罪 前科 聯絡方式 財務情況 社會活動 其他得以直接或間接方式識別 第二條 第三條 本法用詞,定義如下: 一、個人資料:指自然人之姓名、出生年月日、國民身分證統一編號、護 照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因 、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及 其他得以直接或間接方式識別該個人之資料。 二、個人資料檔案:指依系統建立而得以自動化機器或其他非自動化方式 檢索、整理之個人資料之集合。 三、蒐集:指以任何方式取得個人資料。 四、處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、 編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。 五、利用:指將蒐集之個人資料為處理以外之使用。 六、國際傳輸:指將個人資料作跨國(境)之處理或利用。 七、公務機關:指依法行使公權力之中央或地方機關或行政法人。 八、非公務機關:指前款以外之自然人、法人或其他團體。 九、當事人:指個人資料之本人。 第 3 條當事人就其個人資料依本法規定行使之下列權利,不得預先拋棄或以特約 限制之: 一、查詢或請求閱覽。 二、請求製給複製本。 三、請求補充或更正。 四、請求停止蒐集、處理或利用。 五、請求刪除。
個人資料保護初探2 個資生命週期 蒐集 處理 利用 國際傳輸 銷毀 蒐集:指以任何方式取得個人資料。 處理:指為建立或利用個人資料檔案所為資料之記錄、輸入、儲存、編輯、更正、複製、檢索、刪除、輸出、連結或內部傳送。 利用:指將蒐集之個人資料為處理以外之使用。 國際傳輸:指將個人資料作跨國(境)之處理或利用。 間接:透過其他方式拿到個人資料 直接:直接面對當事人索取資料 舉例:人事用人的時候 第一關是由人事部直接拿取資料,當任用主管覺得可以聘請,會請人事將資料傳給用人單位(間接) 人員報到了,需要列印名片,須經由內部處理完該有的欄位(處理),請名片廠商列印(利用) 人員報到加勞健保,內部人事將資料處理完畢,交付給勞健保利用
個人資料保護法修正說明 104年12月31日公布修正之第6及54條,同時亦 修正了其他幾個條文 修正第6條至第8條、第11條、第15條、第16條、第 19條、第20條、第41條、第45條、第53條及第54條 條文 法務部於105年3月2日公布修正之個人資料保護 法施行細則 行政院指定於105年3月15日施行 參考網址 http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=&aid=8288&pages=1
個人資料保護法修正重點 確定特種資料之蒐集、處理、利用的原則與例外 當事人同意的方式除了特種資料之外,不再侷限於書面 形式 將一般個資之病歷納入第六條中,並新增經當事人書面同意可取得 當事人同意的方式除了特種資料之外,不再侷限於書面 形式 配合書面同意形式的放寬,修法也增訂了蒐集者就經當事人同意之事實, 應負舉證責任之規定,以平衡當事人間之權益 非不法意圖違法使用個資之除罪化 無不法意圖者違反個資法者,應以民事損害賠償與行政罰等救濟,不必 課以刑事責任 放寬對新法施行前間接蒐集個資之告知期間 第54條之補行告知得於本法中華民國一百零四年十二月十五日修正之條 文施行後首次利用時併同為之 參考網址 http://www.informationsecurity.com.tw/article/article_detail.aspx?tv=&aid=8288&pages=1 http://www.winklerpartners.com/?p=7136&lang=zh-hant 三月 14日, 2016 2016年個資法全面完整修正施行 作者: 陳慧玲 個資法修正沿革 台灣自1995年8月1日初次公布之電腦處理個人資料保護法後,在2010年5月26日第一次公 布重大的修正,並更名為個人資料保護法(以下稱 ”個資法” )。惟,2010年公布之個 資法,卻遲至2012年10月1日才正式施行,而其中爭議甚大的兩個條款,即第6及54條規定 ,因行政院考慮社會各方認為該二條規定太嚴格,爭議很大,若貿然施行對民眾及社會衝 擊太大,所以決定暫緩施行。其中第6條規範特種資料之收集、處理、利用,而第54條原 規定修法前非由第三人提供之個人資料,應於新法施行後一年內完成告知。 2012年個資法施行之後,行政院及數位立法委員均提出包括第6及54條之個資法新修正草 案,經過兩年立法程序,終於在2015年12月31日公布再修正之第6及54條,同時亦修正了 其他幾個條文。此次2015年之修正重點包括:確定特種資料之蒐集、處理、利用的原則與 例外,當事人同意的方式除了特種資料之外,不再侷限於書面形式,非不法意圖違法使用 個資之除罪化,及放寬對新法施行前間接蒐集個資之告知期間。 2015修正的個資法,及法務部於2016年3月2日公布修正之個人資料保護法施行細則,均經 行政院指定於2016年3月15日施行。 特種資料正式施行 一、追加病歷為特種資料 在2010年修正之個資法中已經有關於特種資料之規範。當時規定之特種資料內容包括:醫 療、基因、性生活、健康檢查及犯罪前科五類個人資料。此次2015年之新修正,除了保留 原來規範的五類內容之外,又追加了”病歷”為一種特種資料。其實在2010通過的個資法 中,本來就已經有將”醫療”的個人資料列為特種資料之一,但2015年修正之立法理由說 明:為了避免對於病歷是否屬於醫療的特種個人資料有所爭執,決定將之明文列入第6條 關於特種資料的規定之中,名列為特種資料的一種。 台灣在2015 年修正個資法之立法理由中,說明此其修正係參考歐盟2012年”一般資料保護 規則”草案第9條規定(the 2012 EU Proposal for General Data Protection Regulation)、德 國聯邦個人資料保護法 ((the German Federal Data Protection Act) 第13條,及奧地利聯邦個 人資料保護法 (the Austrian Federal Act concerning the Protection of Personal Data (DSG 2000) 第9條等外國立法例,肯認特種資料之蒐集、處理或利用,應較一般個人資料更為嚴格, 須符合特定之要件,始得為之,以加強保護個人之隱私權益,因而特別參照該外國立法例 ,規範特種資料之蒐集、處理或利用。 然而,與其稱所參考之歐盟等外國立法例相較,台灣的個資法並沒有將在該外國立法例中 ,規範為特種資料的種族 (racial or ethnic origin)、政治 (political opinions)、宗教思想信仰 (religious or philosophical beliefs)、工會會員資格 (trade-union membership) 等個人資料類別 ,列為特種資料。個資法的立法理由中說明,目前規定的特種資料的類型,係在經審酌我 國國情與民眾之認知後決定,因此個資法顯然明確有意不將在歐盟等立法例中的其他類型 特種資料納入,而僅認列此有關醫療、基因、性生活、健康檢查及犯罪前科五類個人資料 為特種資料。因此,該些外國立法例中關於種族、政治、宗教思想信仰、工會會員資格等 個人資料,在我國個資法中,僅屬於一般的個人資料而已。 二、原則與例外 2015年新修正之個資法第6條規定,有關病歷、醫療、基因、性生活、健康檢查及犯罪前 科之個人資料,原則上不得蒐集、處理或利用,僅在例外情形下得以為之。 2010年修正時規定個資法規定得以收集、處理、利用特種個資的例外情形,包括以下: 一、法律明文規定; 二、公務機關執行法定職務或非公務機關履行法定義務所必要; 三、當事人自行公開或其他已合法公開之個人資料; 四、公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計或學術研究而有 必要,且經一定程序所為蒐集、處理或利用之個人資料。 但在此次2015年12月31日修正時,追加了兩項例外情形: 五、為協助公務機關執行法定職務或非公務機關履行法定義務必要範圍內; 六、經當事人書面同意。 針對第四款公務機關或學術研究機構基於醫療、衛生或犯罪預防之目的,為統計 或學術研 究而有必要之情形,則增加必須資料經過提供者處理後或經蒐集者依其揭露方式無從識別 特定之當事人為限。 觀察個資法規定之此些例外情形,可謂大約係在歐盟2012年一般資料保護規則草案、德國 聯邦個人資料保護法,及奧地利聯邦個人資料保護法等立法例的規定範疇之內,但仍有一 些不同。以下簡要說明較重要之幾點觀察。 1. 當事人同意 不論係在歐盟1995年資料保護指令 (95/46/EC),或2012年一般資料保護規則規範中,當事 人的同意均是例外得使用特種資料的情形之一,雖其亦規定各會員國可以自行規範是否要 禁止當事人同意作為例外的情形,但德國聯邦個人資料保護法,及奧地利聯邦個人資料保 護法,亦均將當事人同意列為例外情形之一,因此台灣個資法針對特種資料立法之初,即 將當事人同意排除在例外得使用特種資料的情形之一,亦即縱使在取得當事人同意的情形 下,只要不符合其他的例外規定,仍不能使用特種資料,因此曾被喻為”全世界最嚴格的 個資法”(天下第514期)。如此的規定果然引來許多爭議,多數認為過於嚴苛,不切實 際,行政院因此決定暫停實施該條文。 此次2015年修正時,終於將當事人同意列入成為可以蒐集、處理、利用特種資料的例外情 形之一,而與歐盟等外國立法例趨於一致。立法院之審查理由說明,司法院釋字六○三號 解釋揭示憲法保障「個人自主控制個人資料之資訊隱私權」,無論一般或特種個人資料, 個人資料當事人同意權本屬憲法所保障之基本權。若完全摒除經當事人書面同意之情形, 將造成嚴重限制憲法所保障之基本權。因此增列為例外事由之一。 惟特別須注意者為,雖然此次2015年個資法的修正,已經放寬了當事人同意的方式,不再 以書面為限,然而,就特種資料得為例外使用的當事人之同意,則仍然規定必須是以書面 為限,立法院審查會說明:相對於一般個資,特種資料之性質更具敏感性,為求慎重,予 以較嚴格之規定。另外,即使當事人同意的情況下,若有逾越特定目的之必要範圍或其他 法律另有限制不得僅依當事人書面同意蒐集、處理或利用,或其同意違反其意願者,仍不 得收集、處理、利用。 2. 已經公開之特種資料 個資法規定當事人自行公開或其他已合法公開之個人特種資料,例外得為處理、利用;此 一規定與歐盟、德國法,及奧地利法相較,顯為寬鬆。因為歐盟等立法,均僅規定由當事 人自行公開之特種資料,才能處理、利用,但個資法尚包括除了當事人自行公開以外的, 其他已合法公開之個人特種資料,亦可處理、利用。所謂其他已合法公開之情形,指依法 律或法律具體明確授權之法規命令所公示、公告或以其他合法方式公開之個人資料。 3. 公共利益、當事人利益,或第三人之利益 歐盟等立法均有將維護公共利益之必要、維護當事人本身之重大利益,或為防止他人權益 之重大危害,列為得以使用特種資料的例外之一;惟個資法雖在就一般性個人資料之搜、 處理、利用,有此些例外規定,但針對特種資料,則無此例外規定。 其實,在行政院提案的修正草案中,有將”為維護公共利益所必要”,列為蒐集、處理或 利用特種個人資料的例外事由之一,其舉例謂: “依學生健康檢查實施辦法第七條第一項 第三款規定:「學校對罹患特殊疾病學生……應妥適安排其參與之活動。」當舉辦校外活 動,配合學校辦理活動之公務或非公務機關,於擬訂配合處理措施時,須瞭解該生之醫療 或健康檢查資料,以為妥適因應;又為查證公職選舉候選人是否有受消極資格限制,而提 供(利用)犯罪前科資料,或為人事行政管理及相關金融業務要求受僱人員提供犯罪前科 資料,若無維護公益之條款,將無法適時提供上開資料,反使公眾權益受到影響"。惟, 最終之修正條文仍未採納行政院之提案,而改以 “為協助公務機關執行法定職務或非公務 機關履行法定義務必要範圍內”之情形,作為例外事由。可能立法者認為行政院所舉之案 例情形,其實用“為協助公務機關執行法定職務或非公務機關履行法定義務” ,即可達成 目標,而未必需要以追加一個抽象不確定之”公共利益”概念,做為例外事由。可見台灣 個資法相較於歐盟等之立法例,仍屬較為嚴格。 4. 法律訴訟 歐盟等立法有規定為法律訴訟所必要時,得例外使用特種資料;個資法並無此一例外規定 。 5. 犯罪資料 歐盟規定犯罪資料僅能由公務機關,或非公務機關為了符合公共利益而履行法定義務時, 才能使用。而犯罪紀錄嚴格地僅能由公務機關持有。個資法則並未如歐盟的規範,將犯罪 前科特種資料的處理之方式,與其他特種資料加以分別。因此犯罪前科於其他特種資料一 般,適用相同的例外規定。 書面同意的形式 2015年修正前之個資法,對於所有當事人同意之方式,嚴格限制一律必須以書面為之。 2015年修法後除了特種資料外,已經不再侷限以書面為限;而且新法又增加公務機關或非 公務機關明確告知當事人應告知事項時,當事人如未表示拒絕,並已提供其個人資料者, 推定當事人表示同意之規定。過去依據個資法規定,取得當事人的書面同意,一直是很重 要的義務之一,現在這個修正使得當事人的同意不僅不再以書面為限,甚至可以依推定的 方式為之,可謂使當事人同意之方式鬆綁了許多。 但,為配合書面同意形式的放寬,2015年修法也增訂了蒐集者就經當事人同意之事實,應 負舉證責任之規定,以平衡當事人間之權益。 無不法意圖之除罪化 2015年修法前個資法規定不論意圖為何,只要有違法收集、處理、利用個資的行為,均構 成刑事犯罪;2015年修法後僅將意圖為自己或第三人不法之利益,或損害他人之利益者, 列為刑事犯罪。立法理由認為無不法意圖者違反個資法者,應以民事損害賠償與行政罰等 救濟為已足,不必課以刑事責任,以免過苛。因此修法僅對有不法意圖者,處以刑事責任 。 此一修法之緣由,亦有可能是因為自2012年新的個資法施行以來,大部分在法院涉訟的案 件,多以尋常百姓、升斗小民的世俗爭怨為多,例如:大廈管委會不當公布住戶資訊、在 社交媒體上的不當揭露他人資料……等,其違法的惡質性似乎並不那麼重大,若動輒以刑 事罰則處理,並不妥當,故將之調整為現行的規範,以期衡平。 施行前取得之資料告知期間之放寬 2010年公布個資法後,原本不受個資法規範從事個資蒐集、處理、利用者,修法後均將一 律適用個資法,因此對於在個資法施行前已取得非由當事人提供的個資,雖非違法,惟因 當事人均不知資料被蒐集之情形,若未告知而繼續利用,將有害當事人權益。因此,2010 年修正之個資法規定應於該法施行後一年之內,完成告知,否則即為違法。惟,此法公布 後,衝擊許多必須處理大量個資之行業,紛紛主張一年的期限過短,無法完成告知義務, 行政院因而暫緩施行該條規定。 2015年修法將告知義務之完成,修改為蒐集者於本次修法施行後為處理、利用時,在處理 或利用前,再行告知即可。 2015修法之影響 2010年修訂的個資法可謂是在台灣在個人資料保護的歷史上,首次完整地將個資保護的義 務人,推展到各行各業,全面的立法;惟,在2012年施行時,並未能將特種資料的規範付 諸施行。因此,等於台灣的個資法一直並無特種資料之規範可言。直到2015年修法施行後 ,才可說台灣終於開始針對特種資料予以特別保護,全面的立法也才真正全盤的施行了, 這應該是值得肯定的發展。 特種資料得以收集、處理、利用的例外情形與歐盟等立法例相比,細節上雖有寬鬆不一致 之情形,但大體說來,台灣個資法的例外情形規定並不算寬鬆,也許這意味立法者刻意宣 示尊重保護特種資料的立場;然而我們卻未能在立法的修正理由中,看到其具體說明為何 其不採與歐盟、德國、或奧地利法的某些規定,因此無法了解其考慮的緣由。成文法有限 的條文文字,必須仰賴法院在審理實際案件時,加以解釋而適用之,而立法者之立法理由 向來都是解釋法律十分重要的參考之一。我們可以預期未來法院在審理案件時,可能認為 台灣個資法既然係參考歐盟等外國立法例,而立法者又有意使之與該些立法例有所區別, 則應未必能全盤參考歐盟等之法院先例。至於實施新法後,權責機構與執法機關是否能夠 在各項政策配合及執行措施上,戮力實現個資法避免人格權受侵害,並促進個人資料之合 理利用的目標,也是另一項挑戰與期待。 79
問答與討論 Q&A Q&A