本篇的奇韋科技並非公開發行公司，而是一家資本額僅100萬元的一般中小企業。然而，在2025年6月遭遇重大資安事件後，卻引發社會高度關注。事件凸顯其在個資保護、通報制度與資訊韌性上的多重挑戰，也促使金管會保險局、數位發展部等主管機關介入調查與裁罰。

由於中小企業並不適用公開資訊揭露規範，亦無股東會年報等制度性文件可供查閱，因此外界對事件的理解，僅能依賴媒體報導與政府機關公告。這也反映出台灣中小企業在資安治理上的制度透明度不足，難以形成有效的社會監督與風險預警機制。

根據經濟部《2024年中小企業白皮書》指出，2023年台灣中小企業家數已達167.4萬家，占全體企業的98%以上，創下歷史新高。這些企業不僅是就業市場的主力，更是我國經濟韌性的基礎結構。然而，絕大多數中小企業在資安投入、制度建構與通報文化上仍屬初階，面對日益複雜的網路攻擊與個資風險，往往缺乏足夠的防禦與應變能力。
因此，資訊韌性不應只限於大型企業或金融機構，更應納入中小企業政策架構之中。

一、事件概述與攻擊手法

2025年6月，奇韋科技遭駭客入侵，駭客自稱DireWolf並宣稱竊取逾20GB資料，要求限期支付贖金，否則將分階段公開所有保單與個資檔案。奇韋為保險業系統服務商，並不直接販售保險商品，但其平台儲存超過618萬筆保單與152萬筆客戶資料，涵蓋多家保險公司與高資產保戶。

奇韋科技的營業項目涵蓋多元資訊與電子相關領域，包括：
• 電子資訊供應服務業
• 資訊軟體服務業與設計業
• 電腦及事務性機器設備批發與零售
• 電信器材與電池批發零售業
• 智慧財產權業與管理顧問業
• 國際貿易業與電子零組件製造業

這些業務構成奇韋在保險科技、雲端平台與系統整合上的基礎能力，並支撐其旗下平台如「insure80」(原kiwi86)的營運。

二、資訊韌性切入角度

(1) 數發部2025/09/30電子公布欄之罰緩公告：(相關連結：https://moda.gov.tw/ADI/news/bulletin-board/17564 )

(2) 經濟日報2025/06/04之報導：https://money.udn.com/money/story/5613/8785456
聯合新聞網2025/06/04之報導：https://udn.com/news/story/7239/8785456
永達保經2025/06/05 之說明連結：https://www.everprobks.com/ec99/rwd1019/product.asp?prodid=news2025085

三、韌性策略與實際狀況

根據數位產業署公告，奇韋違反違反個人資料保護法第27條第1項、個人資料保護法施行細則第12條第2項及數位經濟相關產業個人資料檔案安全維護管理辦法規定,，遭處新台幣26萬元罰鍰，並限期改正。這顯示：

•	個資保護制度不完備：未建立分級保護、異常偵測與加密機制；
•	通報流程未制度化：事件揭露仰賴媒體與合作夥伴，缺乏主動通報

奇韋雖非公發公司，然公司屬於數位經濟相關產業，應遵守法律規定，主動通報。

四、筆者看法及觀點

由數發部所公告的裁罰事由，筆者也是第一次了解有所謂的「數位經濟相關產業」的規定，相關法令連結：https://law.moda.gov.tw/LawContent.aspx?id=GL000090 ，主管機關為數位發展部，因此根據此法，裁罰單位並非金管會，而是由數發部來進行裁處。

筆者同時也注意到該法第八條規定，我們可以比較規定與奇韋的作為是否有符合法令規定：

法規第8條要求：

1. 應變措施：事故發生後應有降低損害、通知當事人等機制。
2. 通報方式：應以電子郵件、簡訊、電話等方式通知當事人事故情形與查詢管道。
3. 矯正預防機制：事故後應研議預防措施。
4. 72小時內通報主管機關：若事故影響正常營運或大量當事人權益，應依格式通報數發部或地方政府。

奇韋科技實際狀況（根據媒體與政府公告）：

•	❌ 未見奇韋主動通知受影響當事人（如保戶、業務員），通報方式不明；
•	❌ 未見奇韋於72小時內通報主管機關，反由數發部主動調查並裁罰；
•	❌ 未揭露事故後的矯正預防機制，亦未訂定資安應變辦法；
•	✅ 合作夥伴永達保經有對外發布聲明，但奇韋本身未建立制度性通報流程。

這起事件不僅是個案，更反映出中小企業在個資治理與資訊韌性上的制度斷層。尤其在平台型企業掌握大量跨機構資料的情境下，若無法建立事件導向的通報與應變機制，將難以維持社會信任與法遵穩定。

因為這起事件，所以大致了解一下《數位經濟相關產業個人資料檔案安全維護管理辦法》，產業分類如該法的附件一所示，大致有以下分類：

依據附表一所列的行業分類，凡屬電子商務、軟體出版、客製化軟體設計、資料處理與資訊供應服務、第三方支付等相關產業，皆納入《數位經濟相關產業個人資料檔案安全維護管理辦法》的適用範圍。這些行業多由中小企業主導，涵蓋範圍廣泛，從雲端平台、保險科技、電商系統到資訊整合服務，皆屬高風險個資處理環境。

根據該辦法第8條規定，業者若發生個人資料遭竊、洩漏或毀損等資安事故，應在72小時內通報主管機關，並建立應變、通知與預防機制。違反者將面臨行政裁罰，並可能影響企業信譽與合作關係。

然而，多數中小企業對此法規認知不足，或誤以為僅適用於大型企業或金融機構，導致通報延遲、應變機制缺失，進一步擴大風險。尤其在平台型企業或資料處理業者中，若未落實制度設計與風險分級，將難以應對日益複雜的資安威脅。

因此，凡屬上述行業分類的中小企業，應主動檢視自身是否納入適用範圍，並建立以下制度性防線：

•	訂定資安事件通報SOP，明確責任人與通報流程；
•	建立個資風險分級與應變機制，涵蓋技術、制度與文化層面；
•	定期進行資安演練與教育訓練，提升員工風險意識；
•	主動與主管機關建立聯繫管道，確保通報時效與完整性。

此外，也要注意該法第11條有關資料安全管理措施、第13條定期認知宣導及教育訓練、第15條的稽核機制等等，這些都是該法規當中重要的規定。

綜上，唯有讓資安治理成為中小企業的基本能力，台灣才能在數位經濟架構下，真正建構全民資安韌性與信任防線。

以上給大家做參考!