前一陣子的新聞,這一兩天有更多的細節和後續被不同的媒體所揭露(來源一、來源二、來源三)。這些被公開洩漏而且可供辨識個人的資料,到底值多少錢呢?根據媒體的報導,大約是八到十塊歐元可以取得,這大約是兩杯星巴克咖啡的價格。根據報載,這次還多虧「五眼聯盟」的通報,否則在明年選舉之後才知道,情況會更為嚴峻。五眼聯盟過去本來和台灣政府就互有「合作」的關係,只是這關係比較不那麼密切。(編按:政府官員表示,情報來自其他管道)
資料本身值不值錢,看來單純從資料的供應和需求面來判斷,大概是不怎麼值錢。但台灣公務員24萬人的資料,到底有沒有價值?這就很難說了。對你我而言,幾乎是沒有價值,就算看到了欄位的資料,價值幾乎是零。
- CNO_CODE
- ID_NO 身分證字號
- USER_NAME 姓名
- ORG_CODE 服務機關
- PRE_ORG_CODE 機關代碼
- JOB_NO 職務編號
- JOB_NAME 職務名稱
- CRT_USER
- CRT_DATA
- CRT_TIME
不過有沒有價值要看從什麼觀點來切入。比如說從台灣媒體所強調的「國家安全」視角來看,某些機關人員編制的人事資料,當然非常有價值,但有些機關並沒有這麼高。所以一筆資料的價值,單從資料本身是很難判斷的。比如說,要看資料所能「連結」和「關聯」的人、事、時、地、物是什麼。以國家安全單位而言,根據媒體報導來推論,要從這份資料來判斷人、時、地等,是很簡單的事情。「人」就是姓名,「時」則是在職期間,地則是所屬單位的駐在地。國家安全的人員,當然不是每一個都是神秘高深不能為外界所知,但透過這幾個能夠互相關聯的資料欄位,我們要拼湊起一個人,一個團隊或是一個單位的「動態」,銓敘部所洩漏的這些資料,是非常有「幫助」的。
這些資料的變動程度,和社交媒體上的資料不同。這些人事資料的變動頻率極低,再加上例如身分證號碼這個可以做為一位個人的唯一識別碼。這些資料相當有助於把各種 (a) 網路行為資料 (b) 個人跨境移動資料 (c) 個人金融和簽帳資料,更進一步的「定位」到某個個人,一個具體的自然人,一個很難「隱藏」和「轉換身份」的自然人。這種資料的價值,和單純在社交媒體平台上,使用者願意大量和不知情所貢獻的個人資料,是非常不同的。
這次銓敘部的資料洩漏事件,當然很嚴重,嚴重程度大概可和《美國聯邦人事管理局資料外洩案》作為比較(後簡稱 OPM breach)。OPM breach 後來在美國眾議院監督委員會 (House Oversight Committee) 的調查之下,出了一份兩百多頁檢討報告,目前已經無法在原始網站取得,但在公開網路取得不難。報告內的13點建議:
- Recommendation 1 – Ensure Agency CIOs are Empowered, Accountable, and Competent
- Recommendation 2 – Reprioritize Federal Information Security Efforts Toward a Zero Trust Model
- Recommendation 3 – Reduce of SSNs by Federal Agencies
- Recommendation 4 – Require Timely Justifications for Lapsed Authorities to Operate
- Recommendation 5 – Ensure Accountability and Empower DOD IT Officials Implementing Necessary Security Improvements for NBIB
- Recommendation 6 – Eliminate Information Security Roadblocks Faced by Agencies
- Recommendation 7 – Strengthen Security of Federal Websites and Breach Notifications
- Recommendation 8 – Financial Education and Counseling Services Through Employee Assistance Program
- Recommendation 9 – Establish Government-wide Contracting Vehicle for Cyber Incident Response Services
- Recommendation 10 – Improve and Update Cybersecurity Requirements for Federal Acquisitions
- Recommendation 11 – Modernize Existing Legacy Federal Information Technology Assets
- Recommendation 12 – Agencies Should Consider Using Critical Pay for IT Security Specialists
- Recommendation 13 – Improve Federal Recruitment, Training and Retention of Cyber Security Specialists
簡單來說,這次的人事資料洩漏案,可以具體給台灣政府一個警惕,例如說在推動和資料相關的政策之前,要知道風險是什麼,而不是一昧求產業發展。想想如果你單位手上有的資料被以此種方式公開洩漏之時,單位的緊急應變和風險管理機制是什麼,或是死了人誰要負責等。如果這麼重要的人事資料都可以如此輕忽十數年,那麼這一次剛好暴露出了更多不方便的事實,例如對實務理解的單純,在執行面的輕忽,以及對數位世界認知的落後。相關研究的投資,更屬嚴重不足。
T.H. Schee 