2012年-電子商務基礎環境－資安與信賴環境

（一）新版個資法擴增規範對象與影響程度，提升消費者權益

隨著《個人資料保護法（以下簡稱新版個資法）》的推出，其規範範圍較《電腦處理個人資料保護法（以下簡稱舊版個資法）》更為擴大，且規範程度較高。

以變動範圍而言，新版個資法的適用主體對象，從舊版個資法的公務機關及八大重點行業（包含徵信業、電信業、醫院、學校、金融業、證券業、保險業及大眾傳播業），擴大到自然人、法人、公務與非公務機關等全行業別皆適用，故原本在舊版個資法未屬於規範內的電子商務業，也在新版個資法後成為受規範對象。而適用的保護項目，亦從僅限於電腦處理的個資，擴大至紙本和非紙本的個資，另亦增加特種個資（醫療、基因、性生活、健康檢查與犯罪前科五種個資）。

新版個資法其影響的面向，涵蓋如強化行政責任、新增民間參與、主動告知義務、舉證責任轉置與加重賠償刑罰責任等，也因此促使所有行業別更重視資安防護。其中電子商務業因業務關係而擁有大量消費者的個資，為避免當資安事件發生時，業者須面臨到賠償或刑罰責任，故進一步投入資源於資安防護。除了因為上述改變而提升消費者權益外，消費者對於選擇電子商務業者進行消費時，亦將資安納入考量。

（二）除價格等因素，消費者亦在意網店建立與提供之資安防護措施

根據2011年的調查研究顯示，在選擇網路商店（涵蓋拍賣平台、開店平台及購物網站三種類型）消費時，雖然有78.8%消費者較會考量商品價格高低、53.0%考量取貨地點方便性及48.7%考量店家信用高低，但也有23.8%考量店家資安防護程度，以及9.9%考量店家發生資安事件的次數。此外若單純針對資安是否會被納入選擇網路商店之考量而言，有近九成五的消費者會持同意態度。由此可知，消費者選擇網路商店消費，除了普遍考量價格或便利性外，也會將資訊安全納入考量。

關於消費者較普遍考量的資安防護措施，認為平台業者（包含開店平台與拍賣平台）較應具備的個資保護措施，有68.5%消費者認為應限制賣家必須通過身分驗證，另有66.2%認為應取得資訊安全驗證標章，以及59.4%認為應和警方合作提供網站安全防護機制。其他則有55.3%認為應建立隱私權防護政策（如資料蒐集、儲存與使用等政策）、47.7%認為應提供詐騙電話等警訊通知、36.7%認為應依新版個資法建立會員機制，以及22.8%認為店家應採用SSL加密機制等。

除了由業者端負責建置的資安防護外，有74.1%消費者認為平台業者應提供電腦安全的設定教學，以及52.5%認為應提供帳號密碼的安全設定教學，顯示消費者也重視用戶端的防護措施。其他消費者認為平台業者應提供的防護措施，包含50.2%認為應提供帳號異地登入警訊通知、39.3%提供用戶帳號代碼於交易時使用，以及27.9%認為應即時提出最新資安事件與詐騙手法通知。

進一步分析消費者在使用網路商店時曾遭遇的資安事件，除了有47.9%未曾遭遇過資安事件外，30.5%曾遇過個資惡意遭竊、21.2%曾遇過個資遭店家因疏失外洩個資、15.6%曾遭遇釣魚網站、11.3%曾遭遇詐騙信件，與10.3%遭遇詐騙電話。亦即有五成以上的消費者曾因為使用網路商店而遭遇過資安事件，並且以個資遭網路商店惡意或疏失引起的資安事件較為普遍。綜上所述，基於消費者雖然普遍在意網路商店提供的價格或便利性，但消費者亦同時重視網路商店所建立或提供之資安防護措施。

（三）消費者傾向賣家驗證、資安驗證標章與加密機制判斷防護程度

圖1  消費者對網路商店能有效避免遭遇資安事件之主要判斷方法

備註：有效樣本數509家大型企業，因四捨五入故總和未必為100%
資料來源：MIC；2012年6月

對於網路商店能有效讓消費者免於資安事件的判斷方法，相對於一成消費者由用戶端進行密碼安全設定與電腦安全設定判斷的比例，有55.5%消費者是依照網路商店有限制賣家必須通過身分驗證、53.4%依照資訊安全標章的取得，以及有53.1%依照擁有SSL加密機制作為判斷方法。顯示消費者雖然認為網路商店應提供用戶端相關資安設定教學，但更普遍傾向由網路商店建置並控管資安防護。此外也有47.5%消費者會以自身在該商店遭遇的資安事件經驗，做為判斷依據。

（四）消費者選擇網店考量資安，業者宜強化防護確保客源

資訊安全不只是消費者選擇網路商店時的考量，亦是影響消費者是否會持續前往網路商店消費的影響因素。例如當使用的開店或拍賣平台發生資安事件，但消費者未直接遭遇資安事件時，有34.8%消費者不會繼續與該平台交易；但是當消費者直接遭遇資安事件時，則有73.7%消費者會因而轉換到其他網路商店消費，僅2.6%不會轉換至其他網路商店。另外也有65.8%消費者會選擇轉換到實體店家消費。

除了遭遇資安事件後，消費者可能會轉換移至其他網路商店或實體商店消費外，有77.2%消費者會與網路商店聯繫，另有88.8%消費者會與親朋好友分享自身遭遇過的資安事件經驗，且會透過社群網站、網路商店討論區和電子佈告欄（如PTT）等管道傳遞。

進一步分析其影響，消費者與網路商店聯繫會要求賠償等；而與親朋好友分享經驗，則會影響網路商店的既有消費者甚至潛在消費者未來的購物意願；至於透過社群網站等管道，則會快速將資安事件此類訊息擴散。因此建議網路商店應重視與強化資安防護，以提升消費者對於網路商店的資安防護信心，進而達到確保客源的效果。

（五）消費者建議網路商店取得資安驗證，以判斷資安防護能力

最後，關於消費者針對資訊安全給網路商店的建議，主要包含五種：有68.8%建議取得政府提供的資安驗證標章、64.0%建議強化消費者帳號密碼的安全防護措施、49.3%建議可以增加資安軟硬體設備，以及43.2%建議應建立可疑網路商店舉發機制。若對照前述消費者對於網路商店判斷防護程度時，亦較普遍考量限制賣家必須通過身分驗證和取得資訊安全標章等，顯示消費者對於網路商店之普遍判斷方法，以驗證標章為多。主要原因在於，消費者較偏向由網路商店建置資安防護，並以較簡易且直接的方法，判斷網路商店是否具有能避免讓消費者遭遇資安的防護能力。