大考中心遭自閉駭客入侵 百萬筆資料外流 法源編輯室 / 2005-04-26 每當考季結束，就有考生收到補習班寄來招生廣告，由於內容明確，屢遭外界質疑考生資 料外流；刑事局偵九隊昨（２５）日偵破大學入學考試中心、國中基測電腦系統遭駭客入 侵案，警方查出，涉嫌侵入系統的十九歲蘇姓主嫌，雖然患有自閉症，但對數理及電腦有 超乎一般人的專才，據蘇姓主嫌表示，他是因遭到不肖補習班負責人利用才犯案。 刑事局偵九隊發現，涉嫌入侵大考中心、基測中心電腦系統竊取學生個人資料的蘇嫌，本 身患有自閉症，受到國內某知名補習班負責人的利用，才侵入電腦系統，將取得的一百多 萬筆全國國、高中生的個人資料交給補習班，做為招攬補教生意之用，後來蘇嫌發現被人 利用，因此向警方自首。 蘇嫌向警方自首表示，他本身對網路安全及入侵極有興趣，時常瀏覽各網站並尋找入侵漏 洞，但他侵入後多半會將各網站的漏洞通知網管人員修補，連國內知名的駭客網站，也曾 經被他找出漏洞入侵，該駭客網站站長事後還對他的技術佩服不已，此外，９２年愚人節 總統府網站遭人入侵，蘇某也坦承是他當時就讀建中時期所為。 教育部則指出，刑事警察局告知駭客可能竊取考生個人資料情事後，教育部隨即要求大考 中心檢視網站保全機制，並進行成績比對。大考中心清查後表示，計算儲存考生原始成績 的電腦並沒有網路連線，沒有外洩的疑慮，同時９２到９４學年度的考生成績，經比對後 沒有異狀，不影響實際分發作業，但對於資料外洩，大考中心會負起責任。 教育部長表示，大考中心目前已是一民間團體，但還是會要求加強防護；據了解，公務機 關保有個人資料檔案者，依電腦處理個人資料保護法第１７條及同法施行細則第３４條規 定，應指定專人辦理安全維護事項，防止個人資料被竊取、竄改、毀損、滅失或洩漏；非 公務機關依同法第２６條準用同法第１７條規定；如有違反前開條文情事，應由主管機關 限期改正，逾期未改正者，依同法第３９條規定，按次處負責人新臺幣１萬元以上５萬元 以下罰鍰。 涉及購買該項資料的補習班表示，因兜售資料者不願透露資料來源，所以並不知道這些資 料是駭客入侵大考中心網站竊取來的。該補習班強調，絕未涉入電腦駭客侵入網站竊取資 料，所有的招生資料，無論是採集自畢業紀念冊或各方蒐集，僅用於服務該補習班學生做 落點分析或招生參考，使用完畢後即全部銷毀，絕不可能轉售同業或他人作為圖利工具， 他們收集到的資料，只是做落點分析或招生的參考。 警方這次破案後，已將洩露資料迅速追回，而蘇某也配合警方，主動提供相關網站漏洞， 通知各單位修補，偵九隊目前已將蘇嫌、涉案補習班的相關人員函送法辦。據了解，無故 破解使用電腦之保護措施或利用電腦系統之漏洞，而入侵他人之電腦或其相關設備者，將 負刑法第３５８條規定之刑責，若是對於公務機關之電腦或其相關設備犯前開條文之罪者 ，依同法第３６１條規定，加重其刑至二分之一。 ‧中華民國刑法第 358-363 條 ‧電腦處理個人資料保護法第 17,26-30,39 條 ‧私立學校及學術研究機構電腦處理個人資料管理辦法第 11-16 條 ‧行政院及所屬各機關資訊安全管理規範第 4,5 條 ‧電腦處理個人資料保護法施行細則第 34 條 ‧法律 字第 0910024855 號 ‧(86) 台央政 字第 1100537 號 ‧非法接近、截取與入侵電腦及相關設備之刑法問題