在評估捐款系統時,多數 NPO 管理者的注意力集中在金流手續費、CRM 整合和操作介面。但在 2021 年超過 200 間公益團體的捐款人資料遭駭客入侵的事件後,「資安」已不再是 IT 部門的事——它直接關係到捐款人的信任、組織的聲譽,甚至法律責任。關於捐款系統的完整評估框架,請參閱我們的捐款系統 10 大挑選指標。
本文專門針對「資安與個資合規」這個面向,從法規義務、資料管理到事件應變,為社福機構管理者提供一份可立即行動的指南。
為什麼「捐款資料」比一般會員資料更敏感?
提到個資保護,許多組織第一反應是「我們又不是銀行,資料沒那麼敏感」。但事實上,捐款資料的敏感程度往往被嚴重低估。
捐款資料意指非營利組織在募款過程中蒐集的所有與捐款人相關的個人資訊,包括但不限於姓名、身分證字號、聯絡方式、信用卡資訊、捐款金額、捐款頻率,以及捐款人指定的服務對象或專案偏好。這些資料之所以比一般電商會員資料更敏感,原因在於它同時涵蓋三個隱私維度:金融行為(支付資訊與交易紀錄)、價值觀表達(捐款對象反映個人的宗教信仰、政治立場或社會關懷)、以及弱勢關聯(部分捐款指定用於特定服務對象,間接揭露弱勢族群資訊)。
2021 年的大規模駭客事件正說明了這種敏感性的代價:詐騙集團取得捐款人名單後,冒充公益機構謊稱「捐款設定有誤」或「誤設為定期定額」,誘導捐款人前往 ATM 操作。調查顯示約 7.1% 的捐款人曾遭遇此類詐騙,近 3 成受影響者選擇停止捐款,對社福機構的營運造成深遠衝擊。
💡 💡 顧問小科普
為什麼詐騙集團特別鎖定公益團體?因為捐款人對公益機構的信任度遠高於一般商業品牌,當詐騙電話自稱來自「某某基金會」時,捐款人的戒心會比接到「某電商客服」時更低。這種「信任紅利」反而成為社交工程攻擊的最佳突破口。
NPO 捐款系統需要遵守哪些資安法規?
社福機構在個資保護方面,並非「自願做好事」,而是有明確的法律義務。以下整理與捐款系統直接相關的法規要點。
個人資料保護法的 5 大義務
根據《個人資料保護法》,非公務機關(包含所有社福機構與基金會)在蒐集、處理與利用個人資料時,至少須履行以下義務:
- 蒐集告知義務(第 8 條):蒐集捐款人個資前,須明確告知蒐集目的、資料類別、利用期間與對象。實務上,捐款頁面須有清楚的「個資蒐集告知聲明」。
- 目的限制原則(第 19、20 條):蒐集的捐款資料僅能用於「募款管理」等特定目的,不得擅自挪作行銷或轉讓第三方。
- 安全維護義務(第 27 條):須採行適當之安全措施,防止個人資料被竊取、竄改、毀損或洩漏。違反者可處新臺幣 2 萬至 200 萬元罰鍰。
- 當事人權利保障(第 3 條):捐款人有權查詢、請求閱覽、更正或刪除其個人資料。捐款系統須能支援這些操作。
- 事故通知義務(第 12 條):發生個資外洩時,須以適當方式通知當事人。依最新修法方向,達一定門檻之事故須於知悉後 72 小時內通報主管機關。
NPO 捐款系統在個資保護方面必須遵守的法規義務,涵蓋蒐集前的告知同意、使用中的目的限制與安全維護、以及事故發生後的通知通報。這套義務框架並非僅適用於大型組織,而是所有保有個人資料檔案的非公務機關均須遵守,違反時除行政罰鍰外,當事人亦得依民事途徑請求損害賠償。
捐款系統的特殊合規要求
除了通用的個資法義務,捐款系統還面臨兩個 NPO 獨有的合規議題:
公開徵信 vs 匿名捐款權利: 依《財團法人法》第 25 條,財團法人應主動公開前一年度的捐贈名單(含姓名與金額)。但若捐贈者「事先以書面表示反對」,則可不公開。這意味著捐款系統必須內建「不同意公開」的勾選機制,並能在產出徵信報表時自動過濾這些捐款人。
國稅局上傳的個資授權: 參與「捐贈扣除額單據電子化作業」的組織,需上傳捐款人的身分證字號與捐款金額至國稅局。系統須確保捐款人已明確授權同意,且資料傳輸全程加密。更多關於電子化作業流程的細節,請參閱捐贈扣除額電子化作業指南。
捐款資料的生命週期管理:從蒐集到銷毀
資安不是一道防火牆就能解決的事。真正有效的個資保護,需要從「資料進入組織的那一刻」到「安全銷毀的那一天」,建立完整的生命週期管理制度。
蒐集階段——捐款表單的告知義務與最小蒐集原則
在捐款表單設計上,應遵循「最小蒐集原則」:只蒐集完成捐款與開立收據所必要的資訊。例如,若捐款人選擇不需要收據,就不應強制要求填寫身分證字號。
實務檢核項目:
- ☐ 捐款頁面是否有「個資蒐集告知聲明」連結?
- ☐ 是否提供「不同意公開徵信」的勾選選項?
- ☐ 是否僅蒐集必要欄位(避免多餘的地址、生日等)?
- ☐ 國稅局上傳授權是否獨立於捐款同意?
使用與處理——權限分級與軌跡稽核
捐款資料進入系統後,最常見的風險來自「內部」:所有人都能看到所有資料。
一套合規的捐款系統應支援 RBAC(角色型存取控制),依人員職務設定不同的存取權限。例如:財務人員可查看完整的捐款金額與對帳資訊,但無權查看捐款人的身分證字號;行銷人員可匯出捐款人的 Email 清單用於電子報,但無法下載信用卡資訊。
同時,所有資料存取行為都應留存軌跡紀錄(Audit Log),記錄「誰、在何時、對哪筆資料、做了什麼操作」。這不僅是法規要求,更是發生爭議時的自保手段。
💡 💡 顧問小科普
許多 NPO 的資安事件並非來自外部駭客,而是「離職員工帳號未停用」或「共用帳號無法追溯操作者」。定期清查帳號權限(建議至少每季一次),是成本最低但效益最高的資安措施。更多關於帳號安全的實務做法,請參閱密碼管理與 MFA 實戰教學。
保存與銷毀——資料保存期限與安全刪除
個資法要求,當蒐集目的消失或期限屆滿時,應主動刪除或停止處理個人資料。但「捐款收據」依稅法須保存至少 5 年,「公開徵信紀錄」依法須公開於官網——這些不同的保存期限需求,系統應能自動管理。
建議做法:
- 捐款交易紀錄:保存 7 年(配合稅務與審計需求)
- 信用卡完整卡號:不得儲存(應全權交由第三方金流處理)
- 已停止捐款且無稅務需求的捐款人個資:期滿後安全銷毀並留存銷毀紀錄
系統採購的資安檢核清單:評估供應商的 7 個提問
在評估捐款系統供應商時,資安能力的審查往往被「功能展示」和「報價比較」擠到角落。以下 7 個提問,可以幫助你在採購階段就把關資安風險。
NPO 在評估捐款系統供應商時,應針對資安面向提出以下七個關鍵問題:第一,資料儲存在何處、是否具備異地備份;第二,是否具有第三方資安認證(如 ISO 27001)或定期滲透測試報告;第三,系統的權限控管粒度是否支援 RBAC 角色型存取控制;第四,發生資安事件時的 SLA 回應時間與通報流程;第五,合約終止後的資料匯出格式與安全銷毀承諾;第六,金流串接是否由經 PCI-DSS 認證的第三方處理而非系統商自行儲存卡號;第七,員工是否接受資安教育訓練以及頻率。
| # | 提問 | 為什麼重要 |
|---|---|---|
| 1 | 資料儲存在哪裡?有異地備份嗎? | 確認資料中心位於台灣、備份機制完善,避免資料單點失效 |
| 2 | 有第三方資安認證或滲透測試報告嗎? | ISO 27001 或定期滲透測試是驗證供應商資安能力的客觀指標 |
| 3 | 權限控管的粒度到什麼程度? | 確認是否支援 RBAC,能依職務設定欄位層級的存取權限 |
| 4 | 發生資安事件時,你們的 SLA 回應時間是多少? | 確認供應商能在黃金時間內配合你完成 72 小時通報義務 |
| 5 | 合約結束後,資料怎麼處理? | 確認有明確的資料匯出格式與安全銷毀承諾,避免資料被「綁架」 |
| 6 | 信用卡資訊是你們處理,還是第三方金流? | 卡號應由 PCI-DSS 認證的金流商處理,系統商不碰卡號是最安全的做法 |
| 7 | 你們的員工有接受資安訓練嗎?多久一次? | 供應鏈資安同樣重要,廠商員工的資安意識是防禦的第一道防線 |
💡 💡 顧問小科普
如果供應商無法明確回答上述任何一個問題,請把它視為重大風險信號。在合約中明確規範資安責任、資料處理方式及外洩時的通報與賠償條款,是最基本的自保措施。關於金流安全技術標準的進一步說明,可參閱金流防護指引。
資料外洩了怎麼辦?NPO 的應變 SOP
沒有任何系統能保證 100% 不被攻破。真正區分一個組織成熟度的,不是「有沒有被攻擊」,而是「被攻擊後能多快、多透明地應對」。
NPO 在發生捐款資料外洩事件時,應依循三階段應變流程:第一階段「止血」(0 至 24 小時內),立即隔離受影響系統、變更所有管理員密碼、通知系統供應商啟動事故調查並保全日誌證據;第二階段「通報」(24 至 72 小時內),清點受影響的捐款人名單與資料範圍、依個資法第 12 條以適當方式通知當事人、向主管機關通報並同步向刑事警察局報案;第三階段「修復與信任重建」(72 小時後至持續進行),對外發布透明聲明說明事件經過與補救措施、提供捐款人防詐騙指引(提醒撥打 165 反詐騙專線)、檢討資安漏洞並落實改善。
三階段應變流程
第一階段:止血(0–24 小時)
- 立即隔離受影響的系統,阻斷持續入侵
- 變更所有管理員帳號密碼
- 通知系統供應商啟動事故調查
- 保全所有日誌紀錄(切勿清除)
第二階段:通報(24–72 小時)
- 清點受影響的捐款人名單與資料範圍
- 依個資法第 12 條以適當方式通知當事人
- 向主管機關通報(依最新子法草案,達門檻者須於 72 小時內完成)
- 同步向刑事警察局報案
第三階段:修復與信任重建(72 小時後,持續進行)
- 對外發布透明的聲明,說明事件經過與已採取的補救措施
- 提供捐款人防詐騙指引,提醒若接到可疑電話可撥打 165 反詐騙專線
- 完成內部資安漏洞檢討,落實改善並留存紀錄
我們在協助機構導入時學到的一課
在實際協助社福機構建置捐款系統的過程中,我們觀察到一個反覆出現的模式:管理者往往在系統上線後的第一年非常重視資安設定,但隨著人員異動和日常業務的壓力,資安維護逐漸「鬆懈」。
最常見的情況是:離職的同仁帳號沒有停用、新進人員直接沿用前任的帳號密碼、原本設定好的權限分級因為「方便」而被放寬。這些看似微小的疏忽,日積月累後就形成了巨大的資安破口。
我們從中得到的教訓是:資安不是一次性的系統設定,而是持續的管理習慣。 比起購買昂貴的資安軟體,每季花 30 分鐘清查一次帳號權限、每年進行一次全員資安意識培訓,往往是投資報酬率最高的防護措施。這也是我們現在在系統導入時會特別強調的:技術只能解決一半的問題,另一半靠的是組織文化。
常見問題 (FAQ)
我們是小型社福機構,只有幾百筆捐款資料,也需要這麼嚴謹的資安措施嗎?
個資法的適用對象是「所有保有個人資料檔案的非公務機關」,不分組織大小。即使只有 100 筆捐款人資料,一旦外洩被用於詐騙,組織同樣面臨法律責任與信譽損失。建議小型組織至少做到三件事:啟用 MFA 雙重認證、確認金流由第三方處理(不碰卡號)、以及每季清查一次帳號權限。更完整的官網資安防護清單(含 HTTPS 設定與被駭急救 SOP),請參考我們的網站資安與 HTTPS 防護指南。
我們目前使用的捐款系統是委外廠商管理的,資安責任算誰的?
委外不等於免責。依個資法第 27 條,即使委外處理,組織本身仍是個資的「蒐集者」,負有最終的安全維護義務。建議在委外合約中明確規範廠商的資安責任、事故通報時限(建議要求 24 小時內通知你)、以及合約終止後的資料處理方式。
捐款人要求刪除他的所有資料,我們可以全部刪掉嗎?
不一定。捐款人依個資法第 3 條有權請求刪除個資,但若該筆捐款涉及收據開立(依稅法須保存 5 年)或公開徵信義務,組織可依法保留必要的最小範圍資料。建議的做法是:刪除非必要的聯絡資訊,保留法定必須留存的交易紀錄,並書面通知捐款人處理結果。