【2017.12.08/新聞大聯盟巡迴特派記者劉戡宇報導】「台北市政府於105年斥資不斐自行開發設計『薪資發放管理系統』,未妥善保護個人資料,致部分公務員之姓名、薪資、考績等個人資料外洩,遭監委高鳳仙、江綺雯提案糾正。
台北市政府遭監察院糾正之案由為,「台北市政府於105年斥資不斐自行開發設計『薪資發放管理系統』,處理轄下機關、學校、臺北市議會等人員之薪資發放、考績等業務,詎未妥善保護個人資料,致部分公務員之姓名、薪資、考績等資料曝光於網路」及「臺北市政府『智慧支付平台pay.taipei』及『單一陳情系統Hello Taipei Android 版APP』涉及使用者帳號、密碼等資料外洩,其網站為何未使用加密通訊協定等情事」等案。
提案糾正台北市政府的監委高鳳仙、江綺雯指出,台北市政府於100年間,將薪資系統主機由內網移至DMZ區,卻未完善資安防護之相關配套,於106年1月間爆發員工個資外洩事件,使4萬餘名臺北市政府員工陷於個資外洩風險中,且因190筆薪資報表檔案連結外露,其中18張報表連結疑遭23個外部IP連結或下載,實際受影響之員工數達2313名。直到監察院約詢後,始對疑遭個資外洩員工個別通知其個資疑遭外洩之事實,及已採取的因應措施,有嚴重疏失。
高鳳仙說,台北市政府「智慧支付平台pay.taipei」及「單一陳情系統Hello Taipei」資安事件,係因採用國家發展委員會GCA SSL憑證進行加密,惟該憑證當時與Google Play尚不相容,該府未能及時督促得標廠商改採其他商業電子憑證,以致短期間連續爆發2件因未採用Https加密技術,而致個資外洩爭議。
江綺雯則指出,台北市政府近3年來,共編列約新台幣2億1千餘萬元之資安防護預算,卻發生至少19起資安事件,其中17起有「系統漏洞且有明確事證可證實已發生資料遭洩漏」、「系統或資料遭竄改」或「業務運作遭影響或系統停頓」情事,高達12起係肇因於「應用程式漏洞」或「軟硬體漏洞」,2起個資外洩,6起遭外部有心人士實際入侵。
