111-2 校園資安

2021年晚間7點50分，一位同學在臉書社團NTU台大學生交流版發文，發現在台大師培中心教程報名系統上，只要輸入學號後就可以看到身分證字號、電話與戶籍地址等個人資料，過程中不需經過任何身分驗證程序。儘管經學生通報後已在當天凌晨下架此一系統，但在事件之後，受影響同學無法充分被告知自己的個資是否有被他人查詢或有外洩的紀錄。 資訊安全，乃至於隱私權的重要性，是為了保障我們的個人資訊免受外流或惡意人士的侵擾，它保障的是一種「潛在」的權利，每個人都有不被侵害的自由，儘管現實中某人無意識或者認為個資外洩不會受到太多影響，這個權利仍然被保護。同時在數位化時代，瑣碎的個人資訊仍可以拼湊出一個人的生命背景，而當事人可能無從得知，我們也無法保證是否會有惡意人士利用這些資訊達到不法目的，也使得受影響的當事人可能因此而活在恐懼之中。資訊安全的目的乃是以「機密性」、「完整性」與「可用性」三個角度切入，意在保護社群或組織內的敏感資料不受外流、不受他人惡意地修改與確保資料可不間斷受取用。 本篇報導以近年台大爆發的數起個人資料漏洞事件，搭以對曾經手案件的何雨忻前學生會福利部副部長採訪，試圖勾勒出校方在資安處理上的疏漏與改善之可能。 一、資安事件的爆發與處理 2020年8月21日，109學年第一學期第一階段選課結果公布前，教務處內部提供給職員進行檢核的系統連結外流，並被學生公開轉載，該系統使任何人得以他人學號逕行查詢其選課結果，甚至能進一步查詢到性別、入學身份別（繁星、學測、指考與其他入學管道）、雙轉輔系所、身份證字號等個人私密資訊。 一週後，8月30日，再次發生學分抵免申請系統的個資外洩事件，雖然供各系審核學分抵免申請的系統需以教務處承辦人員的計中帳號認證，但一般學生透過自身計中帳號登入後，即會被當成該生所屬科系的承辦人員。此系統上的漏洞，導致任何學生皆可查閱所屬系所的全部學分抵免申請資料。事件爆發後，教務處並無任何補救措施，僅在官網發佈了一篇公告 ，並沒有對於個人資料可能受到侵害的學生盡到吿知義務。針對教務處回應此事件的態度，學生會福利部（現為學權部）發文質疑校方不採用〈國立臺灣大學個人資料保護作業要點〉中關於個人資料受侵害的規範通知當事人，而以透過發佈公告的形式進行對當事人進行告知，另外只就部分資料遭不當瀏覽進行道歉。 在109學年第二學期，因為疫情而開始的遠距教學期間，台大師資培育中心的教程報名系統出現設計漏洞，在臨時建立、未經嚴格檢驗的系統上，任何人都可輸入他人學號，取得該生之身份證字號、生日、系所、戶籍地址、電話等敏感個資，經同學項資訊組反應後，將該網站緊急下架修正。在進行事件調查期間，發現師培中心系統的資料庫並沒有開啟記錄功能（SQL SELECT query…