「電話被打爆、十年捐款資料全遺失」信任崩壞只要一瞬間，公益界防詐刻不容緩

台灣公益團體自律聯盟 成立 20 周年，於 10 月 22 日舉辦「捐款人生活樣態解析與責信治理研討會」，並發表每 2 年一次的 《共築信任橋樑台灣公益生態發展報告》 捐款人研究。（參考： 公益生態報告：６類捐款人如何捐、逾４成團體用過募資平臺、如何投入資安防護 ）

面對數位浪潮帶來的個資外洩與詐騙頻傳、募款誠信度與平臺合作等挑戰，研討會邀集 NPO、募資平臺、主管機關與數位專家等多方代表，從法規檢視到實務經驗，討論如何強化公益領域的社會信任。

守護信任，讓資安成為 NPO 的必修課

研討會上，金管會資訊服務處處長林裕泰強調，公益組織和金融業一樣都是「信任產業」。一旦因資安疏失導致資料外洩，不僅可能引發詐騙與經濟損失，更會動搖社會對整個公益圈的信任。

他進一步說明，公益金流有其特殊性，許多 NPO 仰賴小額捐款運作，需要處理龐大的個資，同時參與者也極為多元，除了內部員工，還有捐款人、數位與金流平臺等外部夥伴。對人力與資源都有限的中小型組織來說，想全面監管並不容易，且即使花再多心力向捐款人宣導，強調組織不會主動要求變更捐款金額或付款方式，但詐騙集團永遠都有新花招。

林裕泰提出幾項建議。首先，許多民眾捐款前會先上網搜尋組織資料，但許多搜尋結果前面都是廣告，可能要滑到下面才是官網，過程中就有可能被引導到問題網站，因此像是金管會就有「金融白名單」，民眾可查詢經認證的合法金融機構，公益界也可採取類似做法。

此外，因 NPO 有許多捐款管道，需透過官網或社群媒體傳播，也因此應在官網導入 HTTPS 認證，並去申請社群帳號藍勾勾等實名認證，讓捐款人能一眼辨識真偽。同時也可善用金管會日前推動的「 銀行轉帳顯示受款者戶名 」功能，提醒民眾在捐款前再次核對受款對象，以防匯入人頭帳戶。

其次，應重視「 零信任架構 」概念，指的是「信任是從零開始」。任何人、任何設備在每次存取資料前，都必須重新驗證身分與權限，像是採用高強度密碼、雙因子身分驗證（如同時透過帳密和信箱認證碼來登入）、使用的設備是否有安全防護、資料是否有加密儲存等。

對資源有限的 NPO 來說，關鍵是先釐清「最需要保護的核心」是什麼，再把有限的防護資源集中在風險最高的部分。以捐款人個資為例，組織應盤點列出有誰能存取？透過哪些管道？權限開放是否過多？以及資料使用是否受控？他強調：「能做資料分析的人越少越好，且授權必須經過特殊管控。」

且 NPO 常需委外作業，也要落實「責任共治」原則，也就是清楚界定自己與外部廠商的責任邊界，避免因監督不足或規範不明成為漏洞。若不知道該怎麼評估，也可參考是否取得 ISO27001 等國際資安認證，不僅有助於對外溝通，也能提升公信力。

不過，林裕泰也提醒，資安不只是技術議題，更需要所有人都具備共同的意識。曾有民眾就將自然人憑證交給他人代用，但此憑證相當於網路上的萬能鑰匙，結果遭詐騙 2000 萬元，顯示即使防護技術再強，也難敵擋人為疏忽。若這些被濫用的權限進一步被用來竊取組織資料庫中的資訊，後果將不堪設想。

「資安不可能有完成的一天，它需要持續檢視、監控與改善。」林裕泰說，金融業已將資安納入公司治理的核心，要求董事會設置資安長、推動員工教育訓練，讓資安成為組織文化的一部分，建議 NPO 也可從高層決策到日常運作都建立資安責任，才能守護信任、實現永續經營。

詐騙與個資外洩頻傳，從危機中修復信任

數位化對公益募款更便利，也帶來新的風險，如何在有限的資源下守護捐款人個資與信任，或在資安事件發生後即時應對，已成為現代 NPO 不可迴避的課題。

中華安得烈慈善協會 處長蔣慶章分享，協會曾在 2022 年和 2023 年兩度遭遇資安事件，當時電話被打爆、官網與社群灌入大量訊息，甚至成立十多年來的資料全數遺失。為了止損，他們毅然決定停止線上捐款系統長達半年，重新整頓資訊環境，甚至重建了整個網站。

「 建立信任是點滴累積，但破壞只要一瞬間。 」蔣慶章無奈表示，如今在搜尋協會名稱時，後方仍會出現「詐騙」關鍵字，他們只能回到服務品質，讓社會再次看見組織的努力。「到現在，我們仍在修復這段信任。且不是只有等到事發了才傳簡訊告知大家，而是每個進度都要跟關係人說明，包括目前處理的現況、怎麼進行、未來怎麼做，都要公開透明。」

蔣慶章說，他們也會收集各類詐騙案例回到內部討論。例如，有人會假借捐款名義詢問「捐 1000 元是否能拍感謝影片或提供感謝狀」，事實上影片卻被拿去群組詐騙，這些手法都要提高警覺並加以防範。

伊甸基金會 處長黃子倢也分享，2022 年伊甸曾因資安問題接獲上千通民眾抗議電話，面臨嚴重的信任危機。事後，內部立刻建立危機應變機制與教育訓練，透過定期資安演練，模擬釣魚信件測試員工反應等，並取得 ISO27001 國際認證。她強調：「必須展現出組織願意正視、積極強化資安管理的態度。」

同時， 識實數據 （MyGoPen）專案經理李信誠則提醒，如今詐騙已是「產業化」運作，從人員分工到技術都高度專業，而臺灣更是新型詐騙的測試場。他指出，許多資安事件不僅是技術問題，更是 帳號管理鬆散 所致，建議 NPO 全面啟用雙重驗證機制，確保所有帳號有安全防護；若網站或粉專遭冒用，也可透過數發部的「 詐騙通報網 」回報，由平臺與主管機關介入處理。

另一方面，除了內部資安治理， 台灣網路資訊中心 執行長余若凡也從外部風險的角度提醒，網站的「域名」就像數位世界的門牌號碼，是 NPO 在網路上的第一道信任防線。但她也觀察到，當域名過長、太複雜時，也容易遭詐騙者利用。

例如，內政部警政署的 打詐網站 以「165dashboard」為域名，但若中間多加上一個橫槓或字母，民眾稍不留意就可能被導向假網站。她建議：「其實現在也能申請中文域名，對臺灣使用者來說辨識度更高，反而較不容易被騙。」

余若凡補充，台灣網路資訊中心作為「.tw」網域名稱的註冊管理機構，近期開始推動「 org.tw 數位信任升級計畫 」，針對目前網域為「org.tw」的 NPO 網站，免費提供「綠色域名認證」與「監控示警服務」，可強化網站身分識別，提升大眾對公益網站的信任度，鼓勵各組織前去申請。

群眾募資使用行為改變，社群行銷與法規挑戰並行

群眾募資已成為許多 NPO 募款的管道之一。研討會上，邀請具有實務經驗的 心路基金會 、 舊鞋救命國際基督關懷協會 ，以及募資平臺 嘖嘖（zeczec） 與 flyingV 平臺共同分享。

心路基金會主任劉又綺指出，心路成立近 40 年，長期以小額捐款維持運作，幾乎沒有企業大筆贊助，因此與募資平臺合作的主要目的，是希望接觸到平時難以觸及的新族群，同時也能從過程中跟募資平臺學習行銷經驗。

不過，劉又綺也提醒，群眾募資不像官網捐款，只要寫好文案就直接上線，而是從企畫發想、頁面設計到回饋品寄送，每一階段都需要規畫與時間投入。且平臺手續費抽成通常高於官網捐款管道，若再加上募資贈品、宣傳成本等，最終能否達到預期效果，組織都應事先充分評估。

舊鞋救命專員陳彤則分享，協會過去以募集舊鞋到非洲為主，近年轉型投入在地社區發展，但也面臨怎麼向支持者說明服務內容的挑戰。去年（2024），他們在友達永續基金會邀請下參與嘖嘖的「 圓夢計畫 」，向平臺學習以視覺化呈現內容、設計回饋品等，「透過平臺的品牌與技術，我們能更清楚的說好故事，也接觸到以往難以接觸的企業方。」

募資平臺方面，flyingV 專案總監陳柏安觀察， 群眾募資的贊助行為似乎逐漸與回饋品脫鉤 ，「故事怎麼說」往往比商品價值更能打動人心。嘖嘖專案經理彭盛韶則提到，許多組織的服務故事雖然動人，但在廣告成效上仍有差異，「平臺會陪伴提案團隊，找到最能觸動人心的敘事方式。」

然而，募資平臺也面臨法規與成本的挑戰。彭盛韶指出，受到演算法限制，要讓專案在社交媒體上被看見，需要投入足夠的廣告費。

比方說，若總募資目標為 100 萬元，可能得預留約 12% 至 18% 作為行銷預算，但再加上平臺抽成、請代操團隊製作素材等費用，整體成本會不斷疊加。同時， 《公益勸募條例》 又對勸募成本設有比例 上限 （千萬元以下為 15%），也使 NPO 在實務操作上更受限。

陳柏安補充，目前多家募資平臺業者皆有與主管機關合作，推動「群眾募資自治條例」與「定型化契契約」，初期會以商品專案為主，未來希望擴及公益專案，建立出更明確的規範與信任機制。

不過，陳柏安也點出，行銷費用對支持者來說相當敏感，就連平臺抽成 8% 都可能引起疑慮，也呈現出背後信任溝通的議題。或許平臺未來也可在系統中增加說明，協助民眾更理解經費分配，讓公益募資更公開可信。

延伸閱讀：
1. 公益生態報告：６類捐款人如何捐、逾４成團體用過募資平臺、如何投入資安防護
2. 上萬公民團體血淚資安事件：NGO 該從哪些小地方著手，維護個案、員工和親友安全？
3. 群眾募資亂象多，「挖貝」推多項把關機制與 NPO 集資回饋、培訓課程
4. 別讓努力的人崩潰、擔心回饋品造成負擔、期待一起看見未來／捐款人真心話

The post 「電話被打爆、十年捐款資料全遺失」信任崩壞只要一瞬間，公益界防詐刻不容緩 first appeared on Right Plus 多多益善 .