踐行廉政倫理                                                                 推動行政透明
 
政風電子報第一二五期 發行日期：2016-5-20
 
◎政令宣導—『不送禮』、『不收禮』、『不接受招待邀宴』
端午節將屆，為匡正政風，提升機關清廉形象，請同仁切實遵守「公務員廉政倫理規範」規定。若有財物餽贈或受邀飲宴應酬等情事時，視情形應辦理登錄、簽報及知會政風單位。
 
◎廉政警示站
一、法務部廉政署偵辦財政部南區國稅局臺南分局稅務員劉○○涉嫌詐領交通費案，業經臺灣臺南地方法院檢察署檢察官偵查終結為緩起訴處分。
      法務部廉政署南部地區調查組偵辦財政部南區國稅局臺南分局（下稱南區國稅局臺南分局）稅務員劉○○詐領交通費案，本案被告劉○○明知依規定請領交通費係以實際居住地址為準，竟為請領高雄至臺南間之火車交通費用，故意未將實際居住地址變更而持續自94年6月起至99年5月止計向南區國稅局臺南分局詐領新臺幣（下同）99,225元之交通費，全案經廉政署調查後移送臺灣臺南地方法院檢察署（下稱臺南地檢署）偵辦。
      本案被告劉○○，因一時失慮致罹刑責，考量其係自行向廉政署自首坦承犯行，且繳回犯罪所得並深表悔悟，復參酌其行為所生危害非鉅，案經臺南地檢署檢察官偵查終結，認劉○○所犯詐欺罪嫌以緩起訴處分為適當，並向公庫支付6萬元，以勵自新。
 
二、法務部廉政署偵辦「南○企業有限公司負責人黃○○等 3 人涉嫌違反政府採購法案」，業經臺灣高雄地方法院檢察署檢察官為緩起訴處分。
      黃○○係南○企業有限公司（下稱南○公司）之負責人；陳○○為黃○○之配偶，亦為南○公司之職員；何○○為黃○○之友人，係南○企業社之負責人；南○公司、南○企業社等公司行號均為政府採購法所規範之廠商。
      黃○○有意參與台灣中油股份有限公司高雄煉油廠於 103 年 11 月○日公告辦理之「高廠觀音儲運課環境處理等工作」勞務採購標案（下稱系爭採購案），然恐參與投標之廠商未達 3 家而流標，為提高招標機關開標及決標、並使其實際經營之南○公司得以順利承攬系爭採購案之機率，竟與陳○○、何○○共同基於以詐術使開標發生不正確結果之犯意聯絡，於 103年 11 月間，以南○公司及向知情之何○○借得之南○企業社名義，參與系爭採購案，以製造 2 家廠商參標之假象。黃○○於投標前告知知情之陳○○製作南○公司、南○企業社之投標文件投標，並要求南○企業社之投標金額訂定高於南○公司之投標金額，使南○企業社不與南○公司競爭價格。嗣後陳○○於 103 年 11 月 17 日協請其不知情之母親王○○至南投中山街郵局（下稱中山街郵局）購買面額 32 萬元之郵政匯票作為南○企業社參標使用，再由陳○○分別於同日 14 時許、16 時許，至中山街郵局寄送南○公司、南○企業社投標文件，俟於 103 年 11 月 20 日開標時，為開標主持人許○○目視審查發現南○公司、南○企業社資格標封及文件筆跡疑似雷同而廢標，黃○○遂於 104 年 1 月 6 日下午，由政風人員陪同至臺灣高雄地方法院檢察署（下稱高雄地檢署）自首。
      案經廉政署調查後，認事證明確，移送高雄地檢署偵辦，業經檢察官偵查終結為緩起訴處分，緩起訴期間均為 1 年，黃○○應於緩起訴處分確定後 6 個月內，向公庫支付 3 萬元，陳○○及何○○應於緩起訴處分確定後 6個月內，分別向公庫支付 2 萬元，南○公司並應於緩起訴處分確定後 6 個月內，向公庫支付 1 萬元。
---本文轉自法務部廉政署全球資訊網---
 
◎法治視窗—判決書可以不載當事人住所嗎？   文/葉雪鵬（曾任最高法院檢察署主任檢察官）
      日前有報紙報導一則罕見的新聞，用的標題竟是「判決書淪報復工具，該怎麼辦？」奇怪？判決書只是各種不同法院用白紙黑字對外表達「意思表示」的一紙公文而已，怎麼會成為歹徒報復的工具？直至看了新聞內容，才知道是兩年前新北市三重區仁壽街一家名為「小涼哥」的餐廳，因為一位湯姓客人與李姓友人在下雨天將溼答答的雨傘帶進店內。江姓老板不滿出面阻止，因而發生言語紛爭，在場江姓老板的翁姓友人出言為老板撐腰，雙方竟演變成全武行，導致湯男受傷，因而出面控告江姓老板及幫腔的翁姓友人傷害，案件雖被檢察官提起公訴，結果卻因為證據不足，今(105)年一月間為新北地方法院判決無罪確定。
      記恨兩年的湯男在判決確定後，根據法院的判決書記載翁男的住址，便萌生縱火以消積恨的犯意，事前向加油站購買汽油，在今(105)年的三月二十三日凌晨三時許，攜帶汽油前往翁家門前縱火，造成翁男的六名無辜家人命喪火場的悲劇。慘案發生後有人認為判決書記載被告住所是造成這宗凶案的罪魁禍首，沒有判決書詳細記載被告的住處，湯男就無法找到翁男的家，也就不致發生慘案。說歸說，難道有人刻意尋仇，沒有判決書的記載仇家處所，就無法達到報復目的嗎？事實當然不會如此單純。想要查明仇家所在，方法多得不勝枚舉。所以，將慘案發生原因，歸咎法院的判決書記載案件當事人的住所，說法不盡公平！不過，在民粹至上時代，對於當前的判決書記載事項出現不同雜音，就不得不予重視！撰稿的記者先生非常盡責地為判決書該不該記載當事人住所問題，走訪了立法委員、主管訴訟制度的司法官員、執業的律師等法界菁英人士，他們的意見也莫衷一是，得不到一致的具體結論。有的人士認為目前發生的只是個案，用不著為了一些個案出現問題便大動作進行修法。也有人認為應該修法，因為住所並非必要的資訊，用代號將「住所」部分隱藏即可達到目的。甚之有人建議審理案件的法院在審理中要告知當事人，如要隱藏某些資料，可提出聲請，法院再依聲請行事。
      法院是審判民刑事以及行政訴訟的司法機關，審判案件都要依法行事，民事案件的判決，依《民事訴訟法》第二百二十六條第一項第一款的規定：要記載「當事人姓名及住所或居所；當事人為法人、其他團體或機關者，其名稱及公務所、事務所或營業所。」有法定代理人或訴訟代理人者，依第二款規定，更要載明「法定代理人、訴訟代理人者，其姓名、住所或居所。」另行政訴訟法第二百零九條也有類似的規定。
     在刑事訴訟方面：製作的裁判書依《刑事訴訟法》第五十一條第一項的規定：除依特別規定者外，應記載「受裁判人之姓名、性別、年齡、職業、住所或居所」；「如係判決書，並應記載檢察官或自訴人並代理人、辯護人之姓名」。凡此，都是必要的法定記載事項，不可從缺！法律所以作如此規定理由有二：第一是依據受判決人住所的記載，可以確定法院對於受理的這件案件，有沒有土地的管轄權；第二、不問民事訴訟、行政訴訟或者是刑事訴訟，判決書製作完成後都要向受判決人的住所送達判決書的正本，當事人收到判決書正本以後，可以上訴的案件，沒有在法定期間內提起上訴，案件才告確定。所以訴訟當事人的住所或居所，也是法院送達傳票、裁判書類以及其他重要文書的依據。刑事案件向被告住居所傳喚未到案，發拘票拘提也無著落，就可以發布通緝令通緝被告到案。所以有人認為判決書不必揭露當事人的「住居所」，並不是適當的說法。
      判決書應記載當事人的住所或居所以及其他必要的記載，既是民、刑以及行政訴訟法明文規定的事項，除非其他法律有明文規定，法院的判決也不得揭露，像少年事件處理法第八十三條第一項 為了保護涉及少年保護事件以及少年刑事案件的少年，明定：「任何人不得於媒體、資訊或以其他公示方式揭示有關少年保護事件或少年刑事案件之記事或照片，使閱者由該項資料足以知悉其人為該保護事件受調查、審理之少年或該刑事案件之被告。」執法機關的法院當然要嚴守規定。不得將少年相關資料向外洩露，應將受裁判的少年保護事件或少年刑事案件的被告姓名或其他足資識別其身分的資訊隱去；但各級法院製作裁判書，並不受這項規定的限制。最高法院99年度台上字第623號刑事裁判，即持此項見解。未來果真有尊重民意有修法舉動，內容也不宜遠離上述見解。另外，為規範個人資料的蒐集、處理及利用，避免人格權受到侵害，促進個人資料的合理利用，所制定的《個人資料保護法》，其第二條，對於個人資料的立法解釋，指出個人資料的範圍，說明指的是自然人的「姓名、出生年月日、國民身分證統一編號、護照號碼、特徵、指紋、婚姻、家庭、教育、職業、病歷、醫療、基因、性生活、健康檢查、犯罪前科、聯絡方式、財務情況、社會活動及其他得以直接或間接方式識別該個人之資料」。其中的「聯絡方式」，應包括個人的「居住處所」在內，但有關個人資料的蒐集、利用等相關法條，像這法的第六條、第十五條、第十六條等等相關法條，依中華民國一百零四年十二月三十日總統華總一義字第10400152861號令，修正公布第6～8、11、15、16、19、20、41、45、53、54條條文；施行日期，由行政院定之。行政院已指定今(105)年三月十五日施行，個人的居住處所，並非個資法所保護的「特種個資」，未來在司法實務上是否應解釋為司法機關的蒐集個人居住處所，屬於該法第十六條第一款所稱的「法律明文規定」，記載在裁判書，又屬合理的使用，公務機關應可有權蒐集和利用。目前雖未見有人討論及此。不過淺見認為理應作如此解釋，否則公務機關動輒得咎，也不是煩不勝煩的好事！
（本文登載日期為105年5月16日，文中所援引之相關法規如有變動，仍請注意依最新之法規為準。）
---本文轉載自105年5月16日法務部〈葉雪鵬法律時事漫談〉網頁------
 
◎資訊安全宣導—如何防範資料庫遭隱碼攻擊          文/魯明德(科技大學講師 )
一個美國男子把自己的姓改為 Null，就可以免費租車、免費住旅館，這麼「好」的事情，是電腦誤判，還是人為疏失？
      最近有一則新聞曝光度很高，一直在Facebook 上被人轉貼，話說一位美國男子，把自己的姓改成 Null，不但可以免費租了 2 次車，還免費住了 7 次旅館，甚至於去治療牙齒也不用付錢，因為他的姓會讓電腦誤判，而通過驗證。
      科技新貴小潘也看到了這則新聞，想到自己的公司最近正在投入跨境電商的業務，如果使用者能把自己的名字改成特定字，就可以進入資料庫，對於未來自己的電商系統的資料安全，豈不是一大風險。於是，小潘決定利用清明假期中的師生下午茶約會，把這個問題提出來，看看有沒有什麼方法解決。司馬特老師喝口咖啡，先針對這個事件發生的可能性進行剖析。
      一般的管理資訊系統一定會有資料庫來儲存資料，資料庫都有結構化的查詢語言(Structural Query Language, SQL)，提供程式開發人員運用它的指令做資料查詢之用，當資料庫設計有缺陷時，就可能會有安全漏洞發生在應用程式的資料庫內層，如果漏洞在系統做弱點偵側時沒有被發現，就有可能在未來系統上線後，遭到有心人士的入侵。
      除了國外的這個案例之外，無獨有偶地，國內近期也有相關的報導發生，像 2015年底就有傳出戶政事務所的系統有 4 處 SQLInjection 漏洞，2016 年 4 月日盛證券的網站系統也發現 SQL Injection 漏洞，導致數億筆資料可能洩漏。
      這些事件都是有心人士利用資料庫的安全漏洞，在輸入的字串中夾帶 SQL 指令，當系統的程式疏忽沒有檢查時，這些被夾帶的指令就會被資料庫伺服器誤認為是正常的 SQL指令而被執行，系統就遭到入侵或破壞，也就是大家所習稱的 SQL Injection，中文又稱為隱碼攻擊。
      小潘趁著司馬特老師喝咖啡的空檔，抓到機會趕快問：一旦系統遭到隱碼攻擊，會有什麼後果？司馬特老師接著解釋，系統遭到隱碼攻擊，輕者可能會造成資料表中的資料外洩，像客戶資料、密碼…等。也可能會在攻擊中取得資料庫結構或管理員的帳號，足以日後再對資料庫做下一波的攻擊。嚴重者，駭客在取得較高的系統權限後，可以在網頁中加入惡意連結，也可以修改或控制作業系統，甚至於破壞硬碟、癱瘓整個系統。
      小潘聽到這裏，對隱碼攻擊已經有了個初步的概念，但是應該要怎麼防範呢？司馬特老師說一般人會以為隱碼攻擊只會針對微軟的 SQL Server 做攻擊，其實不然，只要是支援 SQL 指令的資料庫伺服器，都有可能會遭到隱碼攻擊。
      因此，為防範系統遭到隱碼攻擊，首先在應用程式要存取資料庫時，就要設下第一道防線，把系統的使用者與管理者的權限分開，對於應用系統的使用者，不要賦予可以建立、修改、刪除資料庫的權限，以減少隱碼攻擊帶來的損害。
      其次，要加強對使用者輸入資料的內容做檢核、驗證，可以利用現有的內容驗證工具或建立一些驗證規則，針對使用者輸入一些特殊的字元，先行過濾掉，讓那些惡意攻擊的 SQL 語法無法執行。除了對使用者設限外，系統設計時也要配合隱碼攻擊做防護，以往程式設計都習慣使用動態字串結合的方式，來組成查詢語法，無形中提供了駭客一個舞台，如果使用者輸入的查詢變數，不要直接放到 SQL 查詢語法中，而是改成參數來傳遞，或者是使用 SQLServer 內建的安全參數，也可以避免駭客輸入攻擊語法。
      目前很多網站的架設，都是採用 3-tier 或N-tier 的架構，因此，在每一 tier 上的驗證就很重要，系統的設計不能只在最外層驗證成功，就讓使用者可以長驅直入，為了避免隱碼攻擊，每一 tier 都應該要做驗證，驗證不通過就要立刻採取行動，才不會讓駭客輕易的入侵。
      最後，要運用弱點掃描工具來協助系統開發人員，有效的發掘可能造成隱碼攻擊的漏洞，適時的加以修復，如果系統開發人員、資料庫管理人員及資安人員能夠對資安漏洞事前防範，駭客就不易侵入。
      這個月的師生下午茶約會，就在華燈初上伴隨著濃濃的焦糖瑪琪朶香味中，漸漸進入尾聲，小潘聽了司馬特老師的說明，心想著等上班後，一定要對自己的系統先做個弱點掃描，了解那裏有漏洞，趕快來補強，以免日後不知不覺中遭到隱碼攻擊，造成不可彌補的損害。
--（本文轉載法務部調查局清流月刊105年5月號）---
 
◎常見詐騙案例犯罪手法及預防方式—寶貝屋詐騙奶粉錢 騙及全臺
      近來網路購物十分盛行，詐騙集團也利用網路購物的特性來詐取民眾錢財，民眾看到網購價格遠低於實體賣家便立即匯款購買，但常常都是匯錢後收不到物品，金錢石沉大海，賠了金錢也拿不到商品。1名葉姓太太透過露天拍賣「小羽寶貝屋」購買比起市價更便宜的嬰兒奶粉，葉太太為了快點取貨，便透過LINE與賣家連繫，確認價格後就匯款新臺幣10,920元至對方帳戶，匯款後賣家卻以各種理由遲遲未出貨，最後甚至無法連絡上賣家，葉太太才決定向警方報案。
      葉姓被害人(68年次，家管)在露天拍賣「小羽寶貝屋」購買24罐嬰兒奶粉，由於該賣家販售之奶粉比起市面販售價格相對便宜，葉太太先在留言板與賣家確認價格，賣家要求葉太太加入賣家LINE ID(小羽寶貝屋)與他聯絡交易事宜，並透過LINE傳了帳戶資訊，請葉太太匯款至此帳戶，該賣家收到錢後卻遲遲未出貨，以各種理由拖了幾日後，葉太太卻再也無法連絡上賣家，她瀏覽「小羽寶貝屋」網頁時才發現賣家已遭露天停權，留言板上紛紛是受騙者要求賣家退款的留言，驚覺自己遭到詐騙了，才趕緊至派出所報案。
      165反詐騙諮詢專線統計105年3月至4月民眾網購遭到詐騙件數達761件，而民眾在露天拍賣「小羽寶貝屋」購買奶粉遭詐騙件數達46件，且此案受害者遍及全臺各地，「小羽寶貝屋」日前也已遭到露天拍賣停權。刑事警察局呼籲，網路購物雖然具有方便、省時等優點，但也具有相當風險，建議民眾在網路購物最好選擇信用良好的購物平台及賣家，在下標購買前應多注意賣家評價，也提醒民眾勿和賣家透過LINE、WHAT’S APP等通訊軟體私下交易，付款方式也要選擇貨到付款或面交等較具保障性的方式，避免遭到詐騙。如有任何疑問歡迎撥打反詐騙諮詢專線165查詢。
----摘取自內政部警政署165反詐騙網站----