資安危機！北市人臉、指紋打卡鐘遭爆中國製　綠議員：個資恐回傳中國

政治中心／綜合報導

▲民進黨台北市議員林延鳳、顏若芳（圖／顏若芳辦公室提供）

台北市議員林延鳳、顏若芳今（13）揭露，北市府諸多單位運用生物特徵辨識技術作為上下班「打卡」之用，但竟有數個單位運用中國製器材，且外型與中資企業「熵基科技」（下以英文品牌ZKTeco代稱，該公司原名中控智慧）或總部設於中國上海之Granding Technology所開發之器材幾乎一模一樣，而熵基科技早在過去就被揭露是曾與中共軍方合作的廠商，如未有把關，對公部門而言恐有資安疑慮，相關產品更在中國購物平台如「淘寶」、「阿里巴巴」能輕易找到。

林延鳳、顏若芳共同要求北市府應全面清查、並對可疑機台加以汰換，並徹查採購過程違失，也要檢討對職員工的個資保護機制是否不足，並於未來優先運用其他未涉及敏感性個人資料，如由市府自行開發之「TaipeiOn」手機APP等管理差勤，而非再購置、運用有關器材，否則除了浪費公帑，還產生資安疑慮，得不償失。而為因應數位部未來將修法禁用危害國安之資通訊設備，北市府被這些中國貨「攻陷」，無論就法律面或實際面都應超前部署，補好相關資安漏洞。

▲▼北市人臉、指紋打卡鐘遭爆中國製，綠議員：個資恐回傳中國。（圖／顏若芳辦公室提供）

根據林延鳳針對全府各級機關，共123個公務機關或所屬單位之差勤打卡方式之調查，發現其中共有40個部門會運用生物特徵辨識之「打卡」方式紀錄出缺勤，佔32.52%，其中包含指紋、指形、人臉與手掌辨識等，藉此杜絕「代刷卡」情事，但卻有八個單位使用中國製產品，分別是南港區公所、北投區公所、公園處、教育局青發家教中心、北市交響樂團、環保局稽查大隊、勞動局就業服務處以及勞動力重建處等，且從外觀看來皆與ZKTeco產品高度類似，而其他機關則使用新加坡、泰國、美國、日本或台灣製產品，但有11個單位，包含大地處、水利處、多個地政事務所、地政局開發總隊等所使用之泰國製產品，外觀也與前述中製產品相仿，恐怕是同一批產品，甚至其中大地處、水利處使用之「Bio-OF900」聲稱來自泰國，卻在官網和通傳會（NCC）電信設備審驗合格清單中被抓包就是來自ZKTeco，對個資保存與公務網路資安有高度疑慮。

顏若芳指出，過去衛工處在議會就曾被踢爆準備使用ZKTeco臉部辨識相關產品提供職員工「打卡」，被認為此舉有資安疑慮，後經檢討後該處已無類似差勤紀錄方式，但市府未再檢視各單位相關措施，造成有關中國機台仍在市府各單位被使用，而目前市府自行開發之「TaipeiOn」運用手機APP在特定處打卡，已可消除泰半「代刷卡」疑慮，令人不解這些堅持要用臉部辨識或指紋辨識的機關「為何要把員工當賊來防？」。

林延鳳在調閱資料的過程中，公園處原本還準備耗資96萬汰換24台「指紋臉型雙效功能機」，但適逢上會期總質詢期間，該處被她詢問後緊急下架標案，隨後信誓旦旦對她指出，相關中國製機台非屬資通安全署「限制使用危害國家資通安全產品」，她認為這是欺騙社會的說法，因為該規定清單所限制者，是「中國廠牌」而非「中國製」，但存取紀錄北市府職員工的指紋、臉部特徵等，又有對外連網的功能，其實與監視器的功能本質上並無不同，而依據行政院相關指導「具連網能力、資料處理或控制功能者皆屬廣義之資通訊設備」都屬於擴大盤點的範疇，若只是因為屬「非中國廠牌」而不予管制，恐會無以因應「貼牌規避」之情況，產生資安漏洞，這些敏感個資會否在無人知情的情況下被回傳中國，完全未經合理認證或把關。

顏若芳認為，用生物特徵辨識管理出勤，是萬不得已做法，如果沒有提出具備必要性之合理說法，不應任意使用，北市府應立即研議相關標準，訂定嚴謹規範，全面清查這些機台是否具有資安疑慮，一旦可疑就應立即汰換，確保市府職員工個人資料安全，且必須追究當時採購過程是否有人謀不臧之處，此外相關軟硬體建置運用之適當性，乃至於相關敏感性個人資料之保護機制，皆不明確，除應明定杜絕「中國貨」、「貼牌貨」之外，針對其他產地的機台購置也都須經資訊先期計畫審查，並列入後續資安查核重點，相關個資保護過程更要應由資料治理委員會專案檢討，由專家審議相關流程是否能保障資料安全。