周柏雅的「市政質詢」: 柯市長上任後花2億元做資安,還能洩漏好幾萬筆個資! APPs和網站的資安通盤檢討緩步如牛! TPE-Free等公共網路安全問題,市府推說廠商處理就好,怎麼不讓廠商來當局長?

周柏雅議員辦公室2017年11月5日新聞稿

柯市長上任後花2億元做資安,
還能洩漏好幾萬筆個資! 
APPs和網站的資安通盤檢討緩步如牛!
TPE-Free等公共網路安全問題,市府推說廠商處理就好, 
怎麼不讓廠商來當局長?

柯市長上任後編列>2億元的資安預算,第四軍種如卵擊石!

周柏雅議員調閱資料發現,柯市長2015年上任之後共編列2億1千萬元的資安預算,其中由資訊局負責全府共通性資安防護,含骨幹網路防護阻擋、弱點掃描、防毒防護等等,也共花費近7千萬元!花了這些資訊安全防護預算,居然還讓北市資安如雞蛋般不堪一擊!蔡總統都說了:「資安就是國安」,柯市府團隊還能這樣螺絲掉滿地,資安防護力0嗎? (附件1、2)

日前發生TPE-Free、網路資安防護漏洞等公共網路、機器或軟體系統的安全性問題,市府不能說沒涵蓋都就不管了,比如:Windows 安全性也不是每個人都會中標,但是系統或機器的提供商還是會即時更新軟體修補漏洞,所以還是需要處理。

柯市長上任以來已有17案資安事件,許多都是幼稚園級基本款重大疏失

檢視柯市長上任至今,已發生有17案資安事件,平均每年發生5-6案。舉其中3例:(1) 2017年1月爆發薪資發放管理系統,外界免登入就可下載報表內容,洩漏幾萬筆「姓名、身分證、銀行帳號」,還被行政院點名為3級資安事件(最嚴重四級)。(2) 2017年8月志工管理整合平臺,又洩漏1萬8千名志工個資!(3) 2016年6月2日臺北市立聯合醫院的網路掛號系統也有「SQL Injection漏洞」,這個漏洞也有可能造成機敏資料外流的風險。(附件3)

監察院早就在講,過了3年鬆散依舊

2014年監察院決算審核報告就已提醒市府資安鬆散了,結果還是出包!(附件4)這些嚴重的個資洩漏案件,有些都還是資訊局本局自己委外發包的,連資訊局自己都找不到網站漏洞,還要外界幫忙「除蟲(DeBug)」,令人不禁懷疑資訊局的專業性!請問柯市長,市民在使用市府網站的時候還能放心的填寫個資嗎?還能信任自己的個資能被政府堅固的防護牆保護嗎?

免費無線網路是否危險? 北市府:交給廠商! 只做發包中心的資訊局為什麼不裁撤直接倂入工務局發包中心? 

日前媒體揭露「Wi-Fi所使用的WPA2加密機制有漏洞,駭客在存取Wi-Fi網路服務下,可攔載加密資料」,而臺北市目前有臺北捷運、Taipei Free、臺北無線網路聯盟等無線網路服務,其實只要是公共的無線網路都是開放的,確實和 WPA2 的安全性問題較無關,不過畢竟這個是無線網路基地台的基本功能,有安全疑慮當然還是要儘速更新,不過北市府資訊局看來只想要請廠商「密切注意」?這不對吧!資訊局應該要自己「密切注意」,盯住得標廠商把安全性更新做到好才對,怎麼會叫廠商自己去注意,如果什麼事都是叫廠商處理,乾脆讓安源公司接資訊局長算了。

安源通訊雖然表示:「旗下公共無線上網服務因採用Open System,以HTTPS點對點加密予以>保護,並非使用WPA2的加密方式,因此沒有受到KRACKs攻擊的影響」但是其實除了認證時是 HTTPS 外,使用者認證後使用網路時,有沒有加密也不是安源可以控制,講得好像安全防護沒問題似的!

另外廣泛用於 HTTPS 之函式庫及加密方式過去也一直有資安漏洞需要更新,安源公司說這次不受影響,資訊局有沒有驗證過安源使用之加密是否符合目前業界安規要求,還是僅任由廠商「密切注意」?(附件5)

檢測370個網站,就發現277個嚴重風險! 人民財產最大宗個資保管機關之一:地政局最多bugs! 這是故意讓建築/中介業得以全盤掌握的嗎? 

北市府目前共有480個網站,最近一次網站例行檢測時間為7月,共檢測370個網站,就發現277個嚴重風險。

其中充滿個資的地政局的臺北市不動產數位資料庫系統就有159個風險、市立聯合醫院網路掛號服務有14個風險、研究發展考核委員會臺北市公民參與網也有6個風險! (附件6)

這些風險包括注入攻擊(Injection)、安全組態設定錯誤(Security Misconfiguration)、跨網站腳本攻擊(Cross-Site Scripting)等等。這些風險可以讓駭客將惡意程式碼上傳到網站上,造成民眾只要瀏覽被駭客植入惡意程式的政府網頁,民眾的電腦就會被植入惡意程式,駭客就可以藉此得到民眾電腦的使用者權限,冒用使用者使用網路銀行、郵件、私密網頁內容、對談資訊。民眾常使用的政府網站居然隱含如此之高的漏洞,實在讓人心驚!

只是簡單初步測試就這麼多問題了

這還只是簡易的資安測試,就發現那麼多弱點,資訊局是不是應該儘速將每個網站進行滲透測試,更重要的,也是最基本的是網站、網頁、系統在上線之前就要先進行檢測,更進一步強化資安,請問諸如此類的SOP資訊局都修正好了嗎?

今年1月就發生重大資安事件洩漏萬筆個資,北市府還要緩步到2018年底才能做好24個APP安全檢測? 

世大運官方賽事瀏覽APP「TAIPEI 2017」,資訊局依據經濟部「行動應用APP基本資安檢測基準」進行檢測,檢測結果就發現iOS系統有6項資安弱點、Android有4項弱點,弱點項目高達4到6項,已經屬於潛藏高度資安風險的APP了!其中包含APP沒有避免將敏感性資料儲存於暫存檔或紀錄檔、沒有避免含有惡意程式碼、在儲存敏感性資料前沒有取得使用者同意等等資安弱點。

行政院在今年7月28日修訂「行政院及所屬各機關行動化服務發展作業原則」,規定各機關APP應該通過經濟部工業局訂定行動化應用軟體之檢測項目。上述光是一個簡單的APP就能夠有這麼多漏洞,目前市府還有24個APP,分別由17個機關管理,又要等到何時可以作好資安檢測? (附件7)

反正市民也沒有群體訴訟請求國賠,繼續慣壞資訊局好了?

發生過洩露萬筆個資、有過重大資安漏洞紀錄的資訊局到目前為止還僅回覆「2017年會花費100萬元,預計先行檢測10個APP的漏洞」而已!而剩下的APP究竟要何時才能做通盤檢討呢? 資訊局居然還回覆:「國發會已規劃APP資安檢測服務共同供應契約預計於2018年6月進行辦理,故將依據該會共同供應契約之期程進行採購作業。」難道還要牛步到2018年才會做完所有的安全檢測嗎? 民眾的個資早就被洩漏光光了不是嗎?

此外,北市府自己訂的「臺北市政府行動應用軟體(APP)服務發展作業原則」也沒有跟隨行政院的腳步,規定所有APP都應該定期檢測資安漏洞!(附件8)

一切外包,只編府內3名資安人力,要抵擋18億次惡意攻擊全部靠廠商! 

北市府每月防火牆阻擋連線次數平均約18億次、郵件閘道器每月平均收到4千多封可疑信件。但是資訊局近5年來卻僅有2位專責人力及1名兼辦人力在作這方面的工作,每年編列約342萬元預算(附件9),這些人最大的工作就是負責跟委外大小廠商居中連繫、通知某某資訊服務民眾又反映出了哪些包了。就算多聘,又如何可以證明這些人的專業能力是否足夠呢? 花大錢給廠商作政府該作的專業資安,但資安漏洞頻生,罰廠商的錢又是用手指可算的,資安在市府根本就是奢求! 市民別以為不用市府公共網路、Apps等等就沒事,別忘了一堆戶政、不動產、罰單、稅單牽涉的個資都握在北市府手中,就等著駭客們或一般人無意中就能順便看光光! 柯市長任內的資安門戶大開誰之過? 市民還要繼續慣壞北市府多久? 強烈要求市府資安要訂下每洩漏一筆分級個資,就要無條件賠償1定金額! 至於罰金廠商與市府分擔比例也是要訂清楚,不是一出事就拼命拿稅金再做測試/掃毒/去蟲! 市民受到損害,求償無門還要再加倍掏出自己腰包來處理後續資安補強,這不是市民永遠為刀殂肉嗎?

附件1:
2017/10/12 資訊局回文:

附件2:
iThome: 蔡英文:資安就是國安另開新視窗

附件3:

消基會:公務機關洩13萬筆個資 北市資訊局最嚴重 2017-3-30
消基會上午舉行記者會指出,近一年公務機關發生四起重大資安事件,造成民眾個資外洩筆數,達13萬筆。台北市資訊局的薪資發放管理系統出包最嚴重,外洩數量約7萬筆,其次是勞動部,中華郵政,外交部。

附件4:
2014年監察院決算審核報告就已提醒市府資安鬆散了

附件5:
2017-10-17【Wi-Fi加密大崩壞】WPA2漏洞引爆Wi-Fi上網危機,北市:已要求Taipei Free營運商密切注意

附件6:
2017/10/12 資訊局回文:

網站弱點掃描

【資安周報第54期】3成重要政府官網不夠安全,恐因XSS漏洞害民眾 2016-12-21

附件7:
2017/10/12 資訊局回文:

行政院及所屬各機關行動化服務發展作業原則另開新視窗

2017-05-08 官方APP 98個有資安高風險另開新視窗

附件8:
臺北市政府行動應用軟體(App)服務發展作業原則另開新視窗

附件9:
2017/10/5 資訊局回文:

2017-01-17自由時報: 建構國家資安 尚缺千餘人力另開新視窗

 

媒體報導 :

 2017.11.06  新頭殼 : 砸2.1億預算、3年出包17次 柯市府挨批資安不堪一擊

2017年11月6日 臺灣新生報 :  周柏雅批 北市資安不堪一擊!

2017年11月6日 自由時報 : 台北市府花2億元做資安 挨批不堪一擊

2017年11月6日 ETtoday 3年編2.1億強化資安 議員轟柯市府資訊安全不堪一擊

2017/11/06  三立新聞 台鐵訂票也危險?7成政府APP資安不及格 綠委籲快立法

姚文智則指出,地方其實也有資安需求,以台北市議員周柏雅的統計,台北市長柯文哲上任後已經花費二億一千萬在資安上面,但仍發生17件資安事件,其中包括薪資發放系統、2017年世大運志工系統等重大個資外洩事件。由此可見,地方迫切需要資安方面的相關規定,讓資安量能可以從中央下放到地方。

 

周柏雅的「市政質詢」:你以為捐款、參拜、誦經就能成為寺廟登記的「信徒」? 不為人知的寺廟信徒與「利害關係人」的福利有哪些? 政府對教會、寺廟管理標準不一,算什麼宗教平等?

你以為捐款、參拜、誦經就能成為寺廟登記的「信徒」?

不為人知的寺廟信徒與「利害關係人」的福利有哪些?

政府對教會、寺廟管理標準不一算什麼宗教平等?

 

北市民政局成為保護寺廟資訊黑箱的法器?! 信徒才享有的「特權」是哪些?

 最近有民眾想要調閱台北市某些名廟的組織、管理章程與變更情形,發現大多數臺北市的寺廟都沒有像慈濟登記為財團法人、也不是社團法人,連要閱覽跟個資毫無關係的寺廟組織章程與章程變動,都被民政局拿出自己放在抽屜裡的內規: 「受限於『政府資訊公開法』,除法律上的利害關係人或名冊中的信徒,其他人不得申請閱覽之(附1)」不得其門而入。一般民眾不能順利以寺廟捐款人或自認為是信徒的身分閱覽組織章程! 更別說要求民政局把寺廟登記事項如財產、法物數量(附2)等目前社會聚焦的寺廟等宗教團體、公益組織的財務公開上網,供大眾檢驗。周柏雅議員指出資訊管理只要三點不露:電話、地址、身份證字號不公開,團體的資訊本來就該公開,根本無涉個資問題。但民政局竟以組織管理章程是寺廟的經營事業有關之資訊為理由拒絕提供資訊,更是令人覺得不可思議。寺廟不是「公」益組織嗎?怎麼會怕組織的資訊攤在陽光下供大眾檢驗?佛光底下會有什麼不敢公諸於世的資訊?最害怕寺廟公開透明、走向制度化的,難道是喜歡把黑箱當特權的民政局或想要製造黑箱的廟方利害關係人嗎?

 

驚! 97%的台北市寺廟團體透明度遠不如慈濟

根據周柏雅辦公室整理民政局提供的資料: 臺北市的寺廟共有2044家,其中
「立案」的寺廟只有215家、未立案的寺廟有1763家,而跟慈濟一樣是財團法人的寺廟只有66家,佔全市寺廟的3%而已! 北市幾大名廟如萬華的天后宮、松山慈惠堂、中山文昌宮、中正區寶藏巖、大同區霞海城隍廟、文山指南宮、木柵集應廟、景美集應廟、北投農禪寺等都不是財團法人(附3),南港區、內湖區更沒有任何一家寺廟登記為財團法人!
臺灣地方文化造成小廟眾多,信眾人數或寺廟資產未達一定門檻,主管機關不積極輔導就罷了,但對許多資產甚具規模的名廟,北市府卻長年擺爛,坐視這些寺廟不必轉型為財團法人就可核可認定。甚至連與個資法毫無關係的組織章程(涉及信徒資格條件要求與董監理事等選舉任期事宜)也不敢提供民眾閱覽,真的是太太太奇怪了! 完全與當今民意背道而馳,還能標榜北市府是「開放政府」嗎?看起來,社會局、民政局都不知道什麼是開放政府的精神。

 

為什麼教會、清真寺等「非寺廟」的宗教團體一定要成為財團法人才能被政府核可,而寺廟只須立案即可?

在柯市長強調開放政府的政策下,民政局的思維還是一樣封閉,搬出法律無法強迫非立案寺廟登記為立案寺廟,亦無法強迫立案寺廟一定要成為財團法人的說法,推而論之認為對於即使跟個資無關的資料也不便提供。但是奇怪的是又說基督教、天主教、回教等非寺廟宗教,一定要成立財團法人才是政府核可的宗教團體。同樣是宗教組織,為什麼會有這樣的分別呢? 民政局拿北市寺廟數量遠較其他宗教多,管理不易當藉口,然後弄出特權管理條例,怎麼能叫一定要成立財團法人其他宗教團體服氣呢?

 

首善之都知名廟宇9成都拿不出公開透明的資訊,說的過去嗎?

在臺北市這個寸土寸金的地方,要成為立案寺廟或財團法人的門檻非常高,若要強求所有的寺廟都登記為財團法人並不合理。但事實上已存在有許多資產甚具規模、信徒眾多的寺廟,周柏雅認為,政府應該將寺廟之財務監督作分級管理,對於仍無條件申請立案的寺廟毋需強迫立案,然而對於資產甚具規模的寺廟,在宗教團體法尚未完成立法之前,則應嚴謹要求其組織章程與財務的公開透明,以因應社會對寺廟公益性監督的呼聲。

開放政府就該把寺廟組織、善款收入去向等民眾所關注的資訊,不分信眾或登記在冊的信徒一起享有共同資訊權益

柯市長說,凡事不以個案處理,應作通案討論。柯市長也說,要用比較長遠的態度來看,不以個案、以通案處理。周柏雅議員呼籲柯市長,對於宗教團體的資訊公開,不應個案處理,而應通案處理。柯市長應站在首都市長的高度,與內政部民政司合作,對於宗教團體的資訊公開先作一個通盤檢討,落實寺廟監督,保障與發揚宗教信仰所帶來之公眾利益,讓寺廟接受更嚴格的法令監督。
初期小廟眾多且受制於財力、人力或許無法落實立即成立財團法人,但是對超過一定規模門檻的中大型寺廟就明確時間表短期內就該立即成立財團法人,並早日上網公布當前社會眾所矚目的善款收入與支出等財務與組織章程等基本款資訊等等。
宗教團體法20年來4進4出立法院,皆未能完成立法,社會還要再呆等多少個20年才能滿足大眾的善心捐款是否一一善用的心願? 首善之都的臺北市,在寺廟的監督管理上不能有自己的自治條例或更符合市民期待的管理標準嗎? 臺北市可以參考美國對免稅團體的管理方法(附7),臺北市雖然不需要一下子就訂出如同美國一般的嚴謹規範,但也不能差距太遠。

 

補充資料:

為什麼寺廟不願意立案也不願意更改組織成為財團法人?捐款或常去參拜的人不是登記簿上信徒的秘辛。

民政局宗教輔導科的管理對象分為非立案寺廟與立案寺廟,立案寺廟可享有賦稅減免並可以寺廟名義開收據給捐款人
立案寺廟要是成為財團法人,就會受到民法對財團法人的種種規範(附5)。比如每年一月底前,將年度業務計畫書及經費預算書,報內政部備查、財團法人僅得動支捐助財產孳息,不得動支本金。財團法人要上網公布收入、資產,而且董事長有任期限制等,財團法人受到「公開透明」的監控。而未轉型為財團法人的寺廟只開信徒大會,一般信徒會員還要經過廟方審核,有心想要監督廟方的個人或團體要想登記為信徒應該就很難了吧!

附1:

圖片1 圖片2 圖片3

附2:

「辦理寺廟登記須知」

寺廟登記事項如下:

(一)名稱。

(二)所在地。

(三)主祀神佛。

(四)宗教別。

(五)負責人姓名。

(六)負責人產生方式。

(七)寺廟圖記及負責人印鑑式。

(八)財產。

(九)法物。

(十)組織成員。

(十一)組織或管理章程。

資料來源:內政部民政司

附3:

臺北市寺廟種類與數目

種類 數目
未立案寺廟 1763
立案寺廟 215
財團法人寺廟 66
臺北市寺廟總數:2044家

圖片4

臺北市各行政區寺廟

行政區 立案寺廟 財團法人寺廟
松山區 11 3
信義區 18 3
大安區 10 5
中山區 20 11
中正區 6 7
大同區 16 13
萬華區 19 8
文山區 16 2
南港區 15 0
內湖區 15 1
士林區 31 4
北投區 38 9
總計 215 66

勘誤:民政局臺北市宗教查詢網站上的資料,「立案寺廟」有216筆,其中1筆宮廟在已申請通過,只待向民政局及法院登記為為財團法人,應歸入財團法人,因此減1筆為215筆資料。財團法人寺廟為67間,但其中1筆團體,民政局不將其定義為寺廟,卻將該筆資料列入財團法人寺廟,因此應減1筆,為66筆資料。

萬華區天后宮

圖片5

信義區松山慈惠堂

圖片6

中山文昌宮

圖片7

中正區寶藏巖

圖片8

大同區霞海城隍廟

圖片9

北投農禪寺

圖片10

臺北市立案寺廟 圖片11

臺北市財團法人寺廟(只要是財團法人寺廟,名稱上就會有財團法人四個字)

圖片12

資料來源:民政局臺北市宗教查詢網站

附4:

「內政部審查內政業務財團法人設立許可及監督要點」

本部應審查捐助章程記載事項如下:

(ㄧ)目的、名稱、主事務所及分事務所。

(二)捐助財產之種類、總額及保管運用方法。

(三)業務項目及其管理方法。

(四)董事及置有董事長、監察人者,其名額、資格、產生方式、任期與選(解)聘事項及任期屆滿董事長不辦理改選(聘)之處理方式。

(五)董事會之組織、職權及決議方法。

(六)定有存立時期者,其時期。

(七)訂定捐助章程之年、月、日。

以遺囑捐助設立者,其遺囑未載明前項規定者,由遺囑執行人訂定捐助章程。

十一、申請設立財團法人,有下列情形之一者,依民法第五十九條規定不予許可,已許可者,依民法第三十四條規定撤銷或廢止之:

(一)設立目的非關內政業務或不合公益。

(二)設立目的或業務項目違反法令、公共秩序或善良風俗。

(三)捐助財產未承諾或未依承諾移轉為財團法人所有。

(四)業務項目與設立目的不符合。

(五)經辦之業務以營利為目的。

(六)捐助財產總額不足以達成設立目的及業務宗旨。

十四、財團法人經許可設立後,本部應依民法第三十二條等規定監督下列事項:

(一)財團法人應於每年一月底前,將年度業務計畫書及經費預算書,報本部備查;並於年度結束五個月內,將前一年度之執行業務報告書、經費決算書、財產清冊及基金存款證明文件,報本部備查。但政府捐助之財團法人,應依預算法第四十一條第四項、決算法第二十二條第二項及相關法令規定,編製年度預算書及決算書,提經董(監)事會通過,並報由本部審核後送立法院審議。

(二)得派員檢查財團法人之組織及其管理方法、有無違反許可條件、財產保存、保管運用情形、財務狀況、公益績效。

(三)財團法人辦理各種業務,應依法令運用所捐財產及各項收入,並不得有分配盈餘之行為。

(四)政府捐助之財團法人,應提出年度目標及績效評估報告。

資料來源:內政部主管法規查詢系統

附5:

目前對於寺廟管理的法規雖有三部:1.「辦理寺廟登記需知」2. 「寺廟登記規則」 3.臺北市辦理寺廟登記須知, 但是條文相當不符合21世紀民眾對公開透明度的期待。

附6:

美國國稅局(IRS)990報表

周柏雅的「市政質詢」:周柏雅副議長室2014.02.19新聞稿-戶政塞車大烏龍誰之過?政府軟體資訊採購漏洞 危及人民個資與國安風險!

戶政塞車大烏龍誰之過?

【Cost-down】找中國資訊「人才」寫的軟體本土戶政真的能省錢嗎?

政府軟體資訊採購漏洞 危及人民個資與國安風險

 

台北市議會副議長周柏雅接獲民眾反映,指提供戶政系統不穩定的問題癥結在於,得標廠商為了節省工程師人力成本,部分轉包給中國資訊軟體業者寫程式,可能是國情與實務應用狀況的不同,外包的軟體搬回來臺灣就呈現水土不服狀況。周柏雅也發現目前採購法或北市府軟體採購的SOP根本無法防範得標廠商事後將程式設計等工作轉包給國外,北市府也缺乏一套有效管控的機制,防止外國間接控制臺北市民個資或植入不明「後門軟體」。現在承攬內政部戶政系統的軟體廠商同時也負責北市消防局防災、聯合醫院與捷運公司MOTA互動系統設計整合,甚至延宕多年卡卡的捷運月台門系統,也是使用同樣的軟體廠商,舉凡國防、氣象、民航,包括商業司、工業局、水利、農林、消防、衛福、台銀⋯等無所不包,請看(附件一)的整理表,到底這些採購案有沒有經過公平公開的招標之外, 周柏雅也要質疑: 到底臺北市有多少資訊軟體分包給中國? 有沒有被廠商植入不明「後門軟體」? 北市府不該趁此次機會全面體檢徹查嗎? 若是毫無限制仰賴中國的資訊廠商與人才,不僅會造成與國內既有系統不整合的問題,也將危及國內戶政等系統之資訊安全。中央與地方政府有必要建立軟體採購的SOP,而現行資安立法漏洞也亟需補強!

 

政府只怕家賊不怕外賊?戶政、消防、捷運被敵國掌握?

戶政系統掌握了所有國人的個資資訊,但我們看到內政部與地方政府遲遲仍不全面整合開放「公對公」的資訊在政府機關間內部處理連線,卻出現疑用中資外包廠商或中資軟體程式設計師來延攬這麼重大的國安資訊系統作業,周柏雅說政府這種防家賊不防外賊的心態,實在令一般民眾百思不解! 他提出: 消防局的防災系統如果外洩給有攻打臺灣野心的敵國不是更造成未開打先門戶大開「半投降式」的國防漏洞了嗎? 捷運更是臺北市交通命脈,捷運族的消費型態更是可以給國外網路業者掌握臺灣消費者習性的絕佳情報,北市府如何確保國外網購業者或有特殊目的國家不利用軟體廠商轉包把重要情資輕易洩漏出去呢? 而廠商承攬捷運月台門系統都已經卡卡,但在台北市軟體系統的案標還是屢屢得標的原因何在? 北市府也該給市民一個交代!

 

轉包中資沒有國安問題?

周柏雅提出,目前政府部門在資訊軟體的採購上出了很大漏洞,從這次戶政系統連線已可明顯看出來,許多政府採購契約對國外採購,也沒有明定高額罰金條款,很多廠商為了省成本,把原本可以讓本土資訊軟體人才工作的機會,利用網路就輕易外包出去。但是分包的下包廠商到底是台資還是外資,而國外廠商是不是符合採購法WTO會員國的資格(附件二),政府採購單位根本很多是讓手給主承包商去亂分包根本不監督。這種台商負責拿標案,拿到標案後疑似分包給中資廠商的情形過去也出現在花博展館的一條龍廁所設計(附件三),而當年文化局花博水岸表演與生態劇場本來也是想要用「大陸大朵花」當舞台道具(附件四)。

 

無法可管?無人負責?

針對得標廠商是否有違反採購法第65條: 「得標廠商應自行履行工程、勞務契約,不得轉包。前項所稱轉包,指將原契約中應自行履行之全部或其主要部分,由其他廠商代為履行。廠商履行財物契約,其需經一定履約過程,非以現成財物供應者,準用前二項規定。」或是在契約上有沒有根據工程會的「工程企字第09900101270號文規定:「..機關辦理採購須限制中國地區廠商、產品及勞務參與」之適法性來做規範(附件五)? 內政部都不該只是把責任推給政風單位去查而已!

本辦公室就這些問題詢問市府工務局與資訊局,皆是回答說:資安是廠商那邊要負責維護,而工務局裡業務的採購法規目前沒有關於資安方面的追蹤,如果牽涉到個資法的認定那要去問中央(誰去問?市民嗎?)。資訊局則說資安是廠商那邊要負責,如果發現(有幾件發現的案例呢?)就會要求改正,目前沒有防範和審查的作業。由此看來,目前北市府各個單位不是踢皮球、打太極就是坦白承認資安這塊沒有法律也沒有人管! 北市府這種對資安無戒備心,也不思未來防範,那市民的個資被看光光也是應該的嗎?臺北市民還要等新市長來之後,才能不讓國外有心人士隨時掌握變動個資與消費、安全等情資嗎?

 

參考資料:

 

附件一:資拓宏宇國際股份有限公司承攬政府機關及系統名稱一覽表(表格整理自資拓宏宇官方網站)

附件1

附件二:世界貿易組織(WTO)會員(2013年3月2日起)

 

附件三:

1.花博爭議又多一樁!北市議員探勘花博爭艷館,發現男廁所竟是使用「一條溝式」的便池,這種便池幾乎已經絕跡,郝市府要打造國際級的花博,卻使用老式便池,堅稱省錢又環保,但專家認為一條溝的便池容易滋生病菌,民眾也直呼誇張,大罵這種設計,實在太丟台灣的臉。

2.花博館好落伍 男廁竟是「一條溝」

 

附件四:花博開幕縮水?市府:有大型煙火

李文英另質疑,花博委託乙太設計顧問公司規畫開幕水岸表演及生態劇場,但舞台道具竟用「大陸大朵花」,她批花博聲稱全用台灣本土花卉,如今卻用「大陸花」。文化局解釋,「大陸大朵花」只是討論方案,最後拍板採用台灣百合花,另跨年表演不管音樂、舞蹈花卉、影像也都全來自台灣本土。

 

附件五:機關辦理採購,限制大陸地區廠商、產品及勞務參與之適法性

媒體報導:

1. 戶政不穩 周柏雅︰癥結在轉包中國軟體業 自由時報 2014.02.19
2. 戶役系統不穩 周柏雅疑程式轉包中國撰寫 新頭殼 2014.02.19
3. 戶政系統出包 中國廠商寫程式惹禍? 蘋果日報 2014.02.19

4.北市議員爆料/新戶政程式轉包中國 資安系統門戶大開 自由時報 2014.02.20 
5.
戶政塞車大烏龍 癥結在轉包中國業者寫程式  自立晚報 2014.02.19

6.  內政部:戶役政系統廠商未轉包  中央社 2014.02.20

7. 議員爆:新戶政疑將部分系統轉包給陸業者 中國時報 2014.02.20

8. 轉包大陸才出包?民代憂資安危機  中國時報 2014.02.21
9.
系統爛戶政亂 死亡通報恐要等7天 蘋果日報 2014.02.20 

報導剪輯:

圖片來源:2014年2月20日 自由時報A7版

螢幕快照 2014-02-21 上午10.14.20

圖片來源:2014年2月21日 中國時報A10版

周柏雅的「市政質詢」:臺北郝好「唸」系列 – 有看沒有懂13 Entrance?Intersection?臺北市政府到現在還是 跟市民的認知差很大!

文中所提及之參考網站連結:

  1. 周柏雅的「市政質詢」:台北郝好『唸』系列 – 有看沒有懂8。市府=Taipei City Hall還是City Hall?要不要加台北或Taipei,隨便看心情?