你不知道的个资风暴来袭专题2（中央社记者吴柏纬台北13日电）“小姐，你刚到XX平台使用XX银行的信用卡刷2500元买了一组化妆品，卡号是XXXXX，但你设定按错了喔，变成分期付款，你已经被锁卡了，你快到家里附近的ATM处理，不然账户内的钱会被扣光。”

从假冒财经部会、银行官方电话，或是自称网购平台，向消费者谎称工作人员作业疏失，只能到ATM处理解除分期付款，或要求汇款到指定账户、诱骗到超商买点数等等，电话诈骗手法何其多，台湾民众已经司空见惯。很多人都想问，“为什么诈骗集团这么厉害，对身份证字号、银行账号、信用卡号码、住址，甚至连买了什么东西，都一清二楚？”

资安公司赛门铁克曾在2017年指出，台湾个资外泄全球是第五，亚洲第一。个资外泄的后果，包括被骇客盯上、账号密码被盗、变成诈骗的口袋名单成为肥羊外，更可能被转卖给有心人士、成为诈骗集团帮凶等，但民众可能不知道，光是在社群网站上跟风玩“变脸”，就等于主动双手奉上自己的照片图库。APP的个资外泄战，在使用者按下“允许”时就开始。

变脸APP暗藏霸王条款 用户主动奉上个资

“FaceApp”是其中一款在网络上十分盛行的手机应用程序，用户只要上传照片，就能透过“老化特效”看到老年的自己长什么样子，但很多使用者不知道，“FaceApp”内藏霸王条款，条款中明定FaceApp有权保存、修改、散播使用者的所有照片，还可能被拿来作商业用途，未来想删也删不掉。

资安专家、台湾赛门铁克首席技术顾问张士龙对中央社记者表示，在现今的时代，使用者输入了个人资讯后，确实无法掌握这些资料会流向何处，因此暴露在资讯外流的风险中。但是比起因为系统被攻击而造成个资外泄，现在不少资料外泄的情况，其实发生在下载APP并授权使用的阶段。

不过，以-现行人力及执行单位的专业领域，难以检核业者的个资保管方式及严谨度，甚至公司倒闭后，也无从追寻“流浪个资”的去处，现阶段个资保护不仅只是-努力方向，消费者的安全意识也得抬头。

张士龙观察，现在有许多APP的要求授权内容并不合理，例如手电筒的程式却要求提供手机通讯录，或是记账程式要求取得使用者的所在位置。这些超出合理授权范围的要求，都会让使用者的资料暴露于风险之中，根本不需要等到系统被攻击，资料就在使用者主动按下“下一步”的过程中流了出去。

开发登山纪录APP“Hikingbook”的新创公司登山书创办人柯政祥，现在手握1万5000名山友的资料，他也有类似的看法。他强调，要求合理授权、资料加密与使用优良的云端服务供应商，都是确保资料不会外泄的方式。

柯政祥以自己开发的Hikingbook为例，由于需要纪录山友的登山路线、环境与身体状况，在使用时会要求取得“定位”、“相机”与“健康”功能的权限，但除此之外，跟APP无关的权限就不会要求。“不合理的授权要求，一定有问题。”

资安防护不可能滴水不漏 下载APP先看授权

曾多次协助私人企业进行网络系统安全检测、修补漏洞的白帽骇客吉米（化名）也说，虽然现在社会大众已经慢慢提升资安意识，在提供个人资料的时候，多少会谨慎一点，然而在使用APP的观念上，不管是消费者或开发者，资安意识仍然不足。