【事實釐清】網傳「我大姊是中央銀行退休，她說，普發6000登記要一次完整的登入雙證件的號碼有點讓人擔憂，連同銀行帳號一併洩漏後果可怕！最重要是這次領款的系統是一次性的，用完沒人維護，資料肯定被賣」？

事實查核報告#2267 網傳「我大姊是中央銀行退休，她說，普發6000登記要一次完整的登入雙證件的號碼有點讓人擔憂，連同銀行帳號一併洩漏後果可怕！最重要是這次領款的系統是一次性的，用完沒人維護，資料肯定被賣」？ 發布日期／2023年3月25日

經查：

【報告將隨時更新 2023/3/25版】

針對普發6000線上登記要填入三項個資，有資安外洩的風險，傳言引發轉傳，顯示民眾關切此議題，查核中心採訪主管機構數位部，並採訪相關專家，整理如下：
一、數位部表示，普發6000官網是委託有中央銀行官股的「財金資訊股份有限公司」建置，經過資安防護測試並使用加密網路傳輸資料，所存放資料會在專案結束後一個月刪除。

資安學者指出，一次性的網站不等於會資料外洩，關鍵在於網站系統承包商是否具備足夠能力，以及網站有無充分時間測試。建議數位部或承辦系統的財金公司可對網站開發時程，以及有哪些資安測試做完整說明，讓外界安心。

二、資安專家指出， 政府原本就擁有民眾身分證、健保卡資料，6000官網要求民眾輸入雙證件字號，是為了跟原資料比對以驗證身分。在安全性與方便性的權衡之下，此種身分驗證設計應可接受，但政府必須要確保資料傳輸與儲存的安全性。

三、專家建議，民眾選擇上網登記，可採取資安防範，包括：檢查網址正確性、不要使用公用電腦申請；若真的擔心個資安全，也可以選擇「郵局領現」等。

【查核聲明】資訊若有更新，本報告亦會同步更新。

【更正聲明 2023/3/27】根據中央銀行官網，「財金資訊股份有限公司」官股原為財政部所有，但於2014年已移轉至中央銀行，因此目前財金公司的官股代表為中央銀行而非財政部，特此更正。

背景

政府推動全民共享普發6000現金政策，提供包含登記入帳、ATM領現、郵局領現、自動入帳等多種領取管道，登記入帳已於3月22日開放，但社群平台和通訊軟體旋即出現傳言內容，宣稱一名從央行退休的人發現，普發6000上網登記要提供身份證號碼、健保卡號，一次要輸入雙證件號碼有點讓人擔憂，連同銀行帳號一併洩漏後果可怕。傳言也稱領款系統是一次性，後續資料無人維護，資料肯定被賣。

此傳言從22日下午開始大量流傳，傳言流通時，訊息來源有多次轉變，包含「我大姊是中央銀行退休」、「我高中同學轉來」、「我優秀的斐陶斐大姊是中央銀行退休」、「朋友的大姊是中央銀行退休」、「有一位中央銀行退休人員裴小姐」等流變。

圖1：社群平台流傳訊息擷圖

圖2：社群平台流傳訊息擷圖

圖3：通訊軟體流傳訊息擷圖

查核

爭議點一、關於普發現金6000的官網系統，數位部的作法為何？

（一）數位部向查核中心表示，6000官網會檢核民眾輸入之健保卡號與身分證字號是否一致（如同申辦電信門號時需帶雙證件），若兩個證件號碼並非同一人或不具有代領關係，6000官網會拒絕這次登記。過去疫苗登記、手機申報所得稅，也均使用身分證加上健保卡號碼登記，這次6000官網並非特例。

此外，普發現金只能撥入本人帳戶或代領帳戶，因此會需要提供入帳的金融帳戶。

數位部表示，由民眾自主同意於6000官網登記之個人資料，在普發現金專案執行結束後1個月內（預計2024年2月）就會刪除，不會有資料無人管理的問題。

數位部說，6000官網是委託有中央銀行官股的「財金資訊股份有限公司」建置，約從今年1月開始規劃，並於3月20日上線。財金公司專長是網路金融服務，包含執行統一發票兌獎。該公司在2021年承辦「孩童家庭防疫補貼」，當時領取補助金有網路登記、ATM及郵局領現等三種方式，與這次普發6000的領取方式相近，因此是修改當時系統並增添其他功能，建置為目前使用的6000官網。

數位部說，6000官網有網站安全測試，而且租用專業資安防護服務，相關網路連線均屬加密通道，可避免資料被竊取。

對於建置6000官網的「財金資訊股份有限公司」，查核中心檢視其官網，可知該公司前身為財政部在民國73年編組成立的「金融資訊規劃設計小組」，負責金融機構間跨行網路的規劃、設計及建置重責；在民國87年改制為公司組織，由財政部及公、民營金融機構共同出資籌設「財金資訊股份有限公司」。

根據「財金資訊股份有限公司」官網，其業務範圍包括提供「e-Bill全國繳費網APP」或「臺灣行動支付APP」、ATM跨行提款的跨行金融資訊系統……等服務。

（二）查核中心檢視6000官網「隱私權聲明」，揭露官網是委託「財金資訊股份有限公司」及「關貿網路股份有限公司」製作並維護。
經詢問數位部表示，財金公司是負責6000官網（https://6000.gov.tw/）維護，涉及民眾資料登記與保存；關貿網路公司負責官網的宣導資訊，是另一個網站（https://pro.6000.gov.tw/），與民眾個資無關。

在6000官網「隱私權聲明」中提及，會採取安全措施保護資料，不會任意出售、交換、出租任何個資，但並無說明資料會在專案結束一個月刪除。數位部與財政部是於3月23日，回應網路傳言時，表示普發6000專案結束一個月（預計2024年2月），即會刪除相關資料。

綜合以上，數位部表示，普發6000官網是委託「財金資訊股份有限公司」建置，從今年1月就開始規劃，經過資安防護測試，而且使用加密網路傳輸資料，所存放資料會在專案結束後一個月刪除（預計是2024年2月）。

爭議點二、傳言宣稱「普發現金6000的官網管理系統是一次性系統、資料無人維護、肯定被賣掉」，專家怎麼看普發現金6000的官網？

（一）中研院資訊創新中心主任、特聘研究員黃彥男指出，一次性的網站不等於會資料外洩，而是要看網站的資安防護是否足夠。觀察重點應放在誰負責建置，過去有無相關經驗，以及網站有無充分時間測試。

黃彥男解釋，建置6000官網的是「財金資訊股份有限公司」，該公司較為外界所知的是承辦統一發票兌獎，以及一些金融服務，可算是有相關經驗的公司。

外界較不清楚的是，官網的測試時間夠不夠？能不能應付駭客攻擊？以業界經驗來說，建置此類有資安風險的網站，開發時間約只佔三成，七成時間都在測試。官網前五天是採分流登記，是不是網站還未充分測試，因此對承受人數估計比較保守？

黃彥男建議，數位部或財金公司可對網站開發時程，以及有哪些資安測試做完整說明，讓外界更安心。

（二）台灣法學基金會董事、中央大學資管系兼任助理教授錢世傑說，任何單位都有資料外洩的風險，傳言屬於個人擔憂，是用以提醒民眾資安風險。

錢世傑說，不管是數位部或委外包的財金公司，在執行此專案時應依照金融資訊規範執行，但傳言提到「一次性系統、資料無人維護，就會把資料賣掉」不知道依據在哪。

綜合以上，資安學者指出，一次性的網站不等於會資料外洩，關鍵在於網站系統承包商是否具備足夠能力，以及網站有無充分時間測試。建議數位部或財金公司可對網站開發時程，以及有哪些資安測試做完整說明，讓外界安心。

爭議點三、普發6000現金採登記入帳、ATM領現，需提供身份證字號、健保卡號、金融帳戶，這三個資料一併提交，專家如何評估資安或金融風險？

（一）台大資工系副教授蕭旭君指出，政府本來就有民眾的身份證字號和健保卡卡號，如此才能在6000官網比對、確認提領人的身份，但政府必須確保資料傳輸以及儲存時的安全性，降低個資被洩漏給第三方的風險。

每一種領取方式都需要身份認證以防範盜領，身分證字號可能因為廣泛使用而較易外流，而健保卡卡號是比較少被利用的資料，相對來說比較不會被盜用，因此才需要兩種證件號碼重複確認身分。在實務上沒有任何機制是百分之百安全，在安全性與方便性的權衡之下，這個設計的風險是可以接受的。

（二）黃彥男表示，民眾個資原本分散在各部會，如今產生一個副本在6000官網，那當然就會多一層風險，重點還是在於網站的資安防護是否到位。

（三）國立陽明交通大學特聘教授、金融消費評議中心董事長林志潔表示，傳言的說法比較誇張，以她對金融系統的了解，並不會因為政府同時收集身份證字號、健保卡號及銀行帳號，就會發生個資盜賣，或就會比較危險。

林志潔說，過去政府早有相關機制取得民眾的個資，例如確診者通報系統、健康存摺等，都需要民眾填身份證字號和健保卡號；民眾一般在申辦網路銀行時，也都要提供身份證字號和銀行帳號，因此在網路上使用這些個人資訊已經是司空見慣的事情。

林志潔表示，民眾也可設想，平常要辦手機門號就需要雙證件認證，如果設定銀行自動扣繳，也一樣要提供銀行帳戶，這跟政府現在要求的資料相符，意即政府現在推動的政策管道並沒有比辦手機危險，看不出為什麼要特別擔心登記入帳就會個資外洩。

問題的關鍵在於這些個資資料保存和資安系統韌性，但政府在金融安全的資安防護有一定的基礎，傳言所言的擔憂有些誇張，直接將登記入帳連結到被賣個資。

林志潔也說，因登記入帳要給雙證件，可理解傳言的想法是認為，要提供雙證件、又要給銀行帳號，好像應該注意個資保護，或許可把傳言當成一種對資安的提醒。

綜合以上，專家解釋， 政府原本就擁有民眾身分證、健保卡資料，6000官網要求民眾輸入雙證件字號，目的是為了跟原資料比對，驗證身分。專家指出，平常辦手機也需要雙證件認證，與現在政府要求的資料相等，在安全性與方便性的權衡之下，此種身分驗證設計應可接受，但政府必須確保資料傳輸與儲存的安全性。

爭議點四、民眾擔心資安，可以怎麼做？

（一）蕭旭君表示，從民眾的角度，民眾個資保護意識提升是好事，建議能再多加防範詐騙，例如檢查網址的正確性，或者不要使用公用電腦，避免機敏資訊被暫存或側錄。

（二）黃彥男建議，民眾如果擔心個資外流，可以選擇「郵局領現」，此方式郵局只會查驗民眾證件，而不會紀錄個資。

（三）林志潔表示，民眾平常使用網路申辦各項服務已是生活常態，且資安沒有零風險這種事情，所有資料出去都可能被駭，如果資料保存、維護不當或遭有心人士竊取，個資外流當然會有風險。民眾衡量資安風險應有高低風險意識，如果民眾真的擔心個資外洩，也可以選擇面對面的交易或互動。

（四）錢世傑說，民眾應該要有資安風險意識，理解任何單位都可能有資料外洩風險，如果擔憂個資外洩，可以選擇去郵局領現等，另外，更重要的是，民眾應建立的是「防騙意識」，避免自己被騙。

結論

【報告將隨時更新 2023/3/25版】

針對普發6000線上登記要填入三項個資，有資安外洩的風險，傳言引發轉傳，顯示民眾關切此議題，查核中心採訪主管機構數位部，並採訪相關專家，整理如下：
一、數位部表示，普發6000官網是委託有中央銀行官股的「財金資訊股份有限公司」建置，經過資安防護測試並使用加密網路傳輸資料，所存放資料會在專案結束後一個月刪除。

資安學者指出，一次性的網站不等於會資料外洩，關鍵在於網站系統承包商是否具備足夠能力，以及網站有無充分時間測試。建議數位部或承辦系統的財金公司可對網站開發時程，以及有哪些資安測試做完整說明，讓外界安心。

二、資安專家指出， 政府原本就擁有民眾身分證、健保卡資料，6000官網要求民眾輸入雙證件字號，是為了跟原資料比對以驗證身分。在安全性與方便性的權衡之下，此種身分驗證設計應可接受，但政府必須要確保資料傳輸與儲存的安全性。

三、專家建議，民眾選擇上網登記，可採取資安防範，包括：檢查網址正確性、不要使用公用電腦申請；若真的擔心個資安全，也可以選擇「郵局領現」等。

【查核聲明】資訊若有更新，本報告亦會同步更新。