立院教文會考察故宮資安防護 蕭宗煌認「圖檔外流」爲同仁疏失

去年故宮發生高階圖檔外流情形，故宮院長蕭宗煌表示，事件確實是同仁一時貪快造成，後續會加強同仁資安觀念，並已強化資訊安全、保護的作業機制。（本報資料照）

去年6月發生故宮高階圖檔外流情形，立法院教育文化委員會召委範雲22日召集赴故宮考察資安防護機制，故宮院長蕭宗煌表示，事件確實是同仁一時貪快造成，雖事後調查不涉及外部入侵或內部外流問題，但疏失造成的損傷有可能比駭客更爲嚴重，後續會加強同仁資安觀念，並已強化資訊安全、保護的作業機制。

蕭宗煌指出，open data是國際趨勢，在全球的智財論戰中一直有聲浪指出，藝術家創作滿50年後基本上應屬公共財，「開放是大潮流」但以故宮而言高階的圖檔仍有管理、專業拍攝等成本，如何兼顧全球博物館的智財開放趨勢，以及保障授權圖檔及延伸商品的利益仍需要更多的討論與思考。對於外界認爲故宮對資安觀念不足，對外溝通腳步過於緩慢等，也會持續檢討加強。

故宮圖檔被外界透過軟體工具拼湊成高階大圖外流。（李怡芸翻攝）

蕭宗煌也指出，此次被觸及而外流的10萬頁圖檔，本在去年開放600萬畫素圖檔的40萬頁中，故宮開放圖檔也是因應國際智財趨勢，目前未開放更高階圖檔，他不諱言是評估多數人使用、瀏覽圖檔的流暢度，「 3年前很多人100萬畫素都打不開，容易卡住或當機，就會來罵。是評量現在電腦線上效能陸續開放，雖也不能說這些圖在幾年後都會開放，但確實是在開放之列。」

召委範雲質疑何以去年6月發生的圖檔外流事件，卻未如數發部要求在事發1小時內通報，而遲至今年3月14日才進行資安通報？蕭宗煌表示經查事件非駭客入侵，而是外界透過免費對外開放的資料庫，利用工具擷取局部瀏覽圖檔後拼湊而成，非典型的被駭事件，同仁因此並未進行通報，今年在新聞爭議後數發部要求進行通報時，也選不到相應的欄位可填，「問了唐鳳部長後，用另外的表格填寫才通報完成」。

故宮數位資訊室科長林育生也示範指出，坊間透過許多免費軟體都能將IIIF圖檔進行拼貼，3000萬畫素的圖檔僅需幾秒就能拼貼完成，本是國際博物館間交流圖檔所用，故也未列爲駭客工具入侵。數位資訊室專委陳中禹報告指出，目前故宮已檢討強化資訊設備使用軌跡紀錄等相關設備與程式運用，內部也已全面 盤查各單位典藏高階數位圖檔存放地點、檔案存取方式、檔案保護機制等，並完善系統自動化調檔作業，以電腦取代人員手動辦理取檔、浮水印及像素降階作業，阻絕人爲疏失與風險。

目前故宮盤點可查知外流的高階圖檔，書格網分享約1000餘頁與故宮已開放資料重疊，屬無償公開下載，推測皆爲局部截圖重組而成；淘寶販售圖檔從數千到上萬不等，但每個圖檔僅個位MB容量，推斷大多非外流的高階圖。故宮於3月17日由律師發函書格及淘寶網，要求將相關分享或商品頁面下架以維護相關權益。