（中央社記者蘇思云、江明晏台北2023年05月30日
電）數位部產業署今天表示，蝦皮跟誠品生活個資保
護程序沒做好，委外廠商未落實監督管理等，已違反
個資法第27條第1項規定，開罰蝦皮新台幣20萬元、
誠品生活10萬元，這也是數位部成立以來首次針對個
資保護缺失向企業開罰。

數位部產業署今天透過新聞稿指出，針對蝦皮、誠
品生活與旋轉拍賣等業者涉及消費者個資外洩事件，
已辦理行政檢查，要求業者限期改正。

刑事局日前公布第1季高風險賣場名單，蝦皮購物
居冠。在蝦皮涉個資外洩事件，數位部多次要求業者
完善個人資料保護，並提出相關佐證資料，但是蝦皮
在個資盤點上仍只有提供4筆盤點內容，明顯有缺
漏；在風險評估分析上，對風險較高的流程未提供已
採取矯正措施的佐證資料。

產業署指出，蝦皮對委外廠商未落實稽核，無法提
供完整的安全管控執行、稽核紀錄等具體佐證資料，
無法證實蝦皮對保有個資已採取適當的安全措施，依
個資法第48條第4款併第50條規定，開罰業者併同負
責人20萬元。

產業署表示，相關業者已經有多次紀錄，過去也多
次要求改正，因此這次實際開罰。台灣蝦皮有委託新
加坡蝦皮公司進行個資保護稽核部分，但2019年後都
未執行稽核，也沒提供2019年後的稽核紀錄報告。

另外，誠品個資外洩事件，起因於台灣佇遮計畫副
秘書長楊欣慈2月在誠品網購「阿共打來怎麼辦」一
書後，竟接到自稱誠品的回訪市調電話，強調書的內
容不恰當、中國武統是必然等語，遭外界質疑誠品個
資外洩。

產業署指出，先前到誠品生活實地行政檢查，現場
發現在帳號管理上執行未確實，另外要求事後提供的
補充或佐證資料，誠品生活個資盤點資料仍不完整，
加上未落實委外廠商監督管理，依據個資法第48條第
4款併第50條規定處分，開罰業者併同負責人共10萬
元。

誠品表示，充分瞭解資安是企業永續經營的關鍵能
力，「誠品線上」採用NIST網路安全框架並投入大量
資源與努力，2年多來不曾懈怠過，並會持續強化措
施與防護宣導。

至於旋轉拍賣案，產業署說明，業者已依先前警政
署等專家建議，強化網站防詐警示、登入採用雙重驗
證機制，並禁止用戶利用對話功能傳送未經驗證的網
址連結等，不過，業者仍未提供針對委外廠商整體制
度稽核，仍有待改進，要求業者限期改正，如果未能
改善仍將按次處罰。

產業署表示，未來針對電商，個資管理部分也會做
更完整盤點，希望強化業者風險評估控管以及供應商
管理等，希望減少未來相關通報案。

數位部強調，已要求業者落實個資法規定，並限期
要求業者再改正，如果屆期仍未改正，將按次處分。
同時數位部要求各電商業者務必重視個資保護，也會
引入相關解決方案例如隱碼技術，與電商業者合作，
持續強化個資保護措施。

個資法日前已修法三讀，提高裁罰金額上限，但還
沒正式發布，因此目前適用的是現行個資法條文，開
罰金額在2萬元到20萬元間。