https://www.informationsecurity.com.tw/seminar/2021twcert/
https://www.informationsecurity.com.tw/seminar/2021twcert/

觀點

水利署外洩個資 跨機關資料調閱問題大

2011 / 01 / 19
張維君
水利署外洩個資 跨機關資料調閱問題大

日前民眾向立委及市議員爆料指出,經濟部水利署網站傳出將民眾個人資料外洩事件。任何人只要下載「台北市99年度水災保全計畫」,就可看到台北市士林、北投、文山區部份易發生水災地區的住戶個人資料,包括姓名、地址、出生年月日、身分證字號、聯絡電話等個資,約400多筆。由於事涉地方(台北市水利處)及中央(經濟部水利署),立委召開記者會要求主管機關徹查失職原因。

 

 


跨機關資料調閱 應明定資料使用目的及保管權責

 

隨後水利署也立即發布聲明,為了協助弱勢族群在水災發生時疏散撤離,要求各縣市政府制定水災保全計畫送交水利署備查。而此份文件就是在994月底被上傳至網站,以便於各鄉鎮市公所、國軍、民間救災團體直接下載利用,以加速防救災時效。但由於相關人員疏失,未能將台北市政府文件當中的敏感民眾個資刪除,才導致上述資料全都露。

 

水利署官員表示,一般資料機密等級列在普通的才會被放在全球資訊網公開。這次事件突顯兩個重要關鍵,第一、資料分級的正確與否。含有個資的文件應該列為機敏,機敏資料應是內部文件,不應公開上網。資料的權責單位主管應要負責。第二、跨政府機關在資料交換時,需求單位需要清楚告知使用目的,不應將原本屬於內部備查的文件卻轉而用作其他公布用途。此外,取得資料後也要善盡保管責任。

 

就算拿掉民眾個資  還有聯絡窗口資料

 

此外,在此份公開的水災保全計畫中,除了含有住戶民眾敏感個資外,也涵蓋所有緊急通報的窗口、機具擁有人、安置地學校老師,甚至地方首長的私人聯絡電話資料。這樣的資料是否適合公開上網讓所有人閱讀,值得商榷。如果為了通報各鄉鎮市公所是否交由各縣市政府窗口即可,又若為了通報國軍、民間救災團體是否交由防災中心即可?

 

資安顧問謝持恆表示,政府單位業務承辦人必須清楚知道這些含有個資文件的使用目的為何、提供給誰使用,應審慎評估是否有必需放上網的必要性,不能一味依照過去的作業模式交辦。政府機關現在一方面講求便民服務,另一方面又需保障民眾個資隱私安全,應重新檢視個資處理、利用的方式,否則個資法後,政府恐怕國賠賠不完,水利署也不會是單一個案。

 

圖片來源:台北市議員徐佳青辦公室提供