旗下擁有591房屋交易網、8891汽車交易網、518人力銀行等網路交易平台與資訊媒合營運商的數字科技股份有限公司 (5287)，於2026年5月26日18:28在MOPS發佈資安重大訊息，該公司於115年5月25日進行內部活動網頁開發與測試流程時，因程式碼管理作業設定不當，致部分未去識別化之測試原始碼曾短暫推送至外部平台，包含特定專案之會員姓名、身分證字號、電子郵件之個資。

這是台灣應用軟件2025年以來保有紀錄，在MOPS上發佈個資外洩的第三則重大訊息。比對網路上公開或刑事警察局165反詐騙相關資訊，股票公開發行公司的個資外洩事件，應該會比實際發佈重大訊息數量多，業者主動發佈資訊安全重大訊息，值得正面看待。
這起資安事件，是非常典型的「開發測試階段因組態設定錯誤（Misconfiguration）導致個資與原始碼外洩」案例。從 ISO 27001 (資訊安全)、ISO 27701 (隱私資訊) 國際標準，以及台灣 《個人資料保護法》（個資法） 的角度來看，此事件涉及多個關鍵控制措施與法律條文。以下摘要整理相關控制措施及法律要求：

1. ISO 27001:2022 資訊安全管理系統分析

此事件的核心原因在於「開發測試流程中，程式碼管理作業設定不當」。在 ISO 27001:2022 的附錄 A 中，主要涉及以下控制措施：

• A.8.9 組態管理 (Configuration management)

控制項要求：組織應建立、記錄、實作、監控和審查資訊技術（包括軟硬體、網路、版控系統）的安全組態。這包括預設密碼的變更、權限限制、以及防止非預期的公開存取。

本案關聯性：本案的核心病因在於「程式碼管理作業設定不當」（例如：Git 儲存庫權限誤設為 Public、.gitignore 未正確配置導致敏感檔案被追蹤、或 CI/CD 自動化腳本的權限溢位）。這直接反映出組態管理基準（Baseline）未被落實定義、定期審查或自動化稽核。

• A.8.16 監控活動 (Monitoring activities)

控制項要求：應監控系統是否有異常行為，並對資安事件進行及時的回應與分析。

本案關聯性：公告中提到「曾短暫推送」，顯示公司在推送到外部平台後，不論是透過內部監控（如 Secret Scanning 工具告警）或是外部通知，有在短時間內發現並下架。這部分的監控與應變速度，會直接影響到 A.8.16 與事件管理（A.5.24 - A.5.26）的落實評估。

• A.8.20 網路安全性 (Network security) / A.8.21 安全系統架構與工程原則 (Security system architecture and engineering principles)

關聯性：內部活動網頁與測試環境未與外部平台（如公開的 GitHub 儲存庫）進行適當的隔離或權限管制，導致敏感的測試原始碼可被外推至外部。

• A.8.28 安全編碼 (Secure coding)

關聯性：程式碼管理（如 Git 版控設定）屬於安全編碼與開發生命週期的一環。未將敏感設定檔（包含機敏金鑰或存取路徑）排除在公開推播範圍之外，顯示源頭的代碼審查或版控策略（.gitignore 等設定）存在疏漏。

• A.8.33 測試資料的保護 (Protection of test data)

關聯性：這是本案最直接對應的控制項。標準明確要求測試資料的選擇、保護及控制。此案在測試流程中使用了「未去識別化」的真實個資（姓名、身分證、Email），直接違反了測試資料保護原則。

2. ISO 27701:2019 隱私資訊管理系統分析

ISO 27701 作為 ISO 27001 在隱私保護上的延伸（針對 PII 處理者，即 PII Controller），在此事件中凸顯了以下控制點的失效：

• 7.3.5 限制 PII 用於測試 (Limiting PII purposes for testing)

關聯性：標準要求除非有高度必要且經過適當審批，否則不應在測試環境中使用真實的個人隱私資料（PII）。若必須使用，應採取同等的安全控制措施（如加密或遮蔽）。

• 7.3.6 PII 的去識別化與匿名化 (PII de-identification and anonymization)

關聯性：公告中明確提到「致部分未去識別化之測試原始碼曾短暫推送」，直接指明該公司在測試階段未能有效執行去識別化（De-identification）或遮蔽（Masking）技術。

3. 台灣《個人資料保護法》法律責任與要求 (民國 114 年 11 月 11 日修正版)

數字科技作為保有大量會員個資的非公務機關，此事件在《個資法》下面臨以下法律規範：

• 第 20-1條（安全維護措施）

法條要求：非公務機關保有個人資料檔案者，應採行適當之安全措施，防止個人資料被竊取、竄改、毀損、滅失或洩漏。

關聯性：程式碼管理作業設定不當導致個資外洩，即屬於未盡到「適當安全維護措施」之責。主管機關（如數位發展部或金管會）可依此進行行政檢查。

• 第 12 條（個資外洩通知義務）

法條要求：公務機關或非公務機關知悉所保有之個人資料被竊取、竄改、毀損、滅失或洩漏時，應通知當事人。

關聯性：數字科技在 MOPS 發佈重大訊息屬於對大眾與投資人的公開說明，後續仍須依法查明受影響之會員範疇，並主動通知受影響的個體（如發送 Email 或簡訊通知）。

• 第 29 條（損害賠償責任）

法條要求：非公務機關違反本法規定，致個人資料遭不法蒐集、處理、利用或其他侵害當事人權利者，負損害賠償責任。但能證明其無故意或過失者，不在此限。

關聯性：若會員因姓名、身分證字號、Email 外洩而遭受實質損害（如遭遇詐騙），可依法向公司請求損害賠償。若被害人不易證明其實際損害額，法院可依個資法規定，每人每期事件處新臺幣 500 元以上 20,000 元以下之賠償。

4. 總結與建議防護核心

從上述合規與法律標準來看，此事件的改善核心應聚焦於以下三點：

• 資料源頭管制（Data Masking）：嚴格禁止開發測試環境使用「活生生」的生產環境個資。必須全面導入去識別化、去敏感化或生成擬真測試資料（Synthetic Data）。
• 自動化資安檢測（DevSecOps）：在 CI/CD 流程中加入祕密資訊掃描（Secret Scanning）與靜態代碼分析（SAST），在代碼離開內部環境（或推送到 Git 儲存庫）前，自動攔截含有敏感組態、金鑰或個資欄位的代碼。
• 環境與權限隔離：嚴格限制內部測試代碼庫與外部公開平台（如 Public GitHub/GitLab）的連線與推送權限，避免因個人操作疏忽（如 git push 錯遠端分支）導致災情。

原文連結：https://mops.twse.com.tw/mops/#/web/t05st02?year=115&month=5&day=12