財經中心/李宜樺報導
資安專家透露,一款嵌入金融機構官網的SDK碼,具有能夠蒐集客戶在網站上的所有操作數據的能力,甚至可追蹤用戶的存匯款及股市交易紀錄。這意味著,當客戶在網路或應用程式上進行任何交易行為時,不僅交易內容,甚至連同這名客戶背後的財力資訊、授信能力等等個資,都有可能被遠在北京的相關情治單位掌握。專家指出,「這絕對是國家安全上的重大漏洞!」如此的技術不僅威脅個人隱私,還可能讓外國勢力掌控大量國內金融活動,對國家安全構成嚴重風險。
更多新聞:機敏個資流中國1/資安國安雙崩盤!銀行券商總體檢 驚爆官網竟遭埋SDK
▲資安漏洞讓金融機構客戶資料面臨高風險,嵌入官網的SDK碼恐洩露財力與個資,威脅國安及金融安全。(圖/翻攝自Pexels)
資料保護關鍵 專家法律解析
一名熟悉政府機關處理金融機構及相關法規的法律人士表示,台灣的主管機關對於金融機構系統埋設SDK碼是十分嚴格的,這類技術並非可以隨意植入銀行或券商的系統。該人士指出,「若客戶資料經由這些SDK碼傳送給第三方,這就會構成重大個資外洩問題,對機構形象與信譽的損害是無法估量的。」因此,不僅是小型企業,連在台灣廣受信賴的國際公司如Google,若要與金融機構或券商合作,都必須提出一份詳細的合作計畫書,當中包括嚴密的安全防護機制與內部稽核與內控辦法,且甚至主管機關有權要求進行查核,以確保不會發生任何資料外洩的風險。
法律人士進一步指出,如果這類合作中出現問題,最終負責的是券商本身,無論合作方是否知名或技術多麼先進,券商仍需為任何個資洩露問題承擔責任。這使得金融機構必須對其系統中埋設的SDK及其他外部合作夥伴技術進行嚴格監管,避免自身陷入法律與聲譽風險。
過去專門審理金融案件的前法官,現為律師的紀凱峰也表達了他的憂慮。他指出,過去金管會及券商公會已針對券商委外保存及處理客戶資訊的流程,制定了基於風險管理的注意事項及自律規範,這些規範要求券商在委外處理客戶資訊時,必須對其負起全責,而不能僅依賴第三方處理。在過程中,券商必須進行全面風險評估,並持續監督,確保資料安全不受侵犯。
紀凱峰強調,從法律角度來看,券商如果放任這類問題發生,很可能違反《個人資料保護法》等相關法律,後果相當嚴重。除了要面臨主管機關的巨額罰款和客戶的民事賠償,還有可能被吊銷營業執照,對於券商來說,這將是毀滅性的打擊。此外,商譽上的損失無疑也是巨大的,任何金融機構一旦涉及這類個資外洩事件,其客戶信任度必然大幅下降,未來業務拓展將面臨極大挑戰。
