壹、廉政法令與訊息

一、法務部廉政署與行政院人事行政總處（下稱人事總處）地方行政研習中心合作製作「聯合國反貪腐公約簡介」等4門數位課程

      為建構公務人員廉能觀念，法務部廉政署104年結合人事總處地方行政研習中心製作「聯合國反貪腐公約簡介」、「圖利與便民」、「公務員申領小額款項案例宣導」及「公務員廉政基本認知」等4門數位課程教材，已於人事總處地方行政研習中心「e學中心」、人事總處公務人力發展中心「e等公務園」、臺北市政府公務人員訓練處「臺北e大」及高雄市政府公務人力發展中心「港都e學苑」等數位學習平臺上線，請多加運用。

二、「獎勵保護檢舉貪污瀆職辦法」業經修正發布，法務部廉政署製作「獎勵保護檢舉貪污整理包」宣導資料

      為實踐聯合國反貪腐公約第 13 條第1項「社會參與」規定：「均應依其國家法律之基本原則，在其能力所及之範圍內採取適當措施，推動政府部門以外之個人及團體，如公民團體、非政府組織與社區組織等，積極參與預防和打擊貪腐，並提高公眾認識貪腐之存在、根源、嚴重性及其所構成之威脅。」獎勵保護檢舉貪污瀆職辦法(下稱獎保法)業經行政院以105年3月16日院臺法字第1050156012號令修正發布。為提昇民眾對獎保法之認識，並提供相關訊息，法務部廉政署爰製作「獎勵保護檢舉貪污整理包」宣導資料乙份如下：

(一)「檢舉事項動畫」及「精簡版簡報」：以動畫方式，提供檢舉管道、獎勵措施、保護措施、受理檢舉事項、鼓勵自首自白等5項主題之簡要、完整性說明。

(二)「檢舉事項翻牌動畫」：以互動問答式翻牌動畫，介紹檢舉管道、檢舉獎金發放、保護措施、是否構成誣告罪等與民眾權益相關資訊，計16題。

(三)相關宣導資料置於廉政署全球資訊網(http://www.aac.moj.gov.tw)/檢舉和申請專區/宣導資料項下，請逕行下載參考運用。

貳、廉政活動

一、「廉政驛站」週末假日登場，邀您闔家連署反貪腐、拿贈品！

      為倡議全民反貪意識，支持響應政府廉政建設，臺北市政府政風處自105年5月起每週末假日，於圓山花博公園、信義公民會館及剝皮寮歷史街區3處設置「廉政驛站」，由廉政志工提供反貪倡廉宣導服務，期透過固定駐點宣導模式，在地營造反貪腐意識，延伸廣布廉政網絡。

      圓山花博公園、信義公民會館及剝皮寮歷史街區皆為臺北市交通便利，且周圍鄰近百貨或大小商圈之地點，是假日全家大小適合出遊的好去處，民眾走訪這三個地點時，不妨留意駐足當地之「廉政驛站」；驛站現場將有廉政志工提供專業解說讓民眾瞭解政府廉政作為，只要與廉政志工互動，通過廉政遊戲或有獎徵答，並完成反貪連署，就可以獲得精美小禮物1份。今年為配合推廣2017臺北世界大學運動會，臺北市政府政風處與資訊局精心設計「熊讚與『230』之便條紙」，邀請您一起反貪腐及為世大運射箭選手加油!數量有限送完為止；另為使誠信向下扎根、鼓勵親子同遊，民眾可至驛站索取廉政趣味繪圖紙，透過親子著色繪圖，為闔家反貪連署增添色彩。

      105年廉政驛站將自5月起持續辦理至10月底，係由具備足夠經驗之廉政志工獨立執行宣導，因廉政志工同時具廉政倡議人及一般民眾身分，能貼近民眾角色，零距離傳達廉潔新思維，期藉由本專案宣導讓全民齊聚反貪腐，與政府共同打造廉能政府與倫理社會。

二、新北市政府政風處與警察局跨界合作，首度拍攝「新北市警政倫理指南」案例情境短片　上架囉！

      新北市幅員廣大、人口眾多，服務員警人數高達近8000人，為擴大廉政宣導對象，新北市政府政風處與警察局首度跨界合作，擇定5則該市曾發生之警政相關案例，將案例過程拍攝成情境短片，期能以輕鬆幽默之創新方式，詮釋嚴肅的法律案例內容，強化宣導效果。

      本片由新北市政府政風處及警職同仁共同拍攝，宣導議題包含「違法查詢個資」、「出納詐領公款」、「受託撤銷舉發單」、「侵占非公用財物」及「包庇違法業者」等5案，希望以不同案例類型多方宣導，提醒公務員在執行公務時能依法行事，不僅保障自身權益，亦可以提升為民服務效能，讓民眾安心又放心，打造安居新北市。

影音檔已上傳新北市政府政風處YouTube頻道，撥放網址：

https://www.youtube.com/playlist?list=PLPiH-4oidgxLnnlPrsfzUdfRo_pPJKhEz

參、「公務員申領或侵占小額款項」專案法紀宣導－詐領差旅費

一、行政院農業委員會水土保持局南投分局治理課技工詐領差旅費案（臺灣南投地方法院104年度訴字第41號刑事判決參照）

(一)偵審情形：第一審判決有罪。

(二)弊端類型：利用職務上機會詐取差旅費。

(三)弊端手法：

1.假借出差事由，從事非關公務之活動。

2.填載不實之出差旅費報告單及經費請領核銷清冊，詐領差旅費。

(四)違反法條：貪污治罪條例第5條第1項第2款之罪：「利用職務上之機會，以詐術使人將本人之物或第三人之物交付者，處7年以上有期徒刑，得併科新臺幣6千萬元以下罰金。」

(五)案情概述：

      甲擔任行政院農業委員會水土保持局(下稱水保局)南投分局技工，負責工程督導業務，為依法令服務於國家所屬機關而具有法定權限之公務員。

      甲於102年11月至103年2月間，利用機關指派其辦理工程會勘及內部稽查等職務上機會，預先於電腦差勤系統填載出差事項並將員工差假單送請核准，其後或因實際上並未出差、或雖出差但先行離開，而利用差假等機會逕自處理私務。且詎其意圖為自己不法之所有，竟未據實修改電腦差勤員工差假單之出差申請，反登入電腦出差旅費報支系統，列印原申核之出差假單及與實際出差事實不符之出差旅費報告表，並製作各項經費請領核銷清冊後，逐層報由不知情單位主管、主辦人事人員、主計人員審核，使渠等均陷於錯誤，誤認其有依原核准之出差假單實際至出差地點執行公務，並依報請之數額由主計室人員辦理核銷，致使水保局主計人員不疑有詐，陷於錯誤而如數核發，甲因而詐得出差旅費合計新臺幣（以下同）1萬982元。

      案經臺灣南投地方法院檢察署檢察官簽分及法務部廉政署移送臺灣南投地方法院檢察署檢察官偵查起訴。

      臺灣南投地方法院於104年7月20日判決甲違反貪污治罪條例第5條第1項第2款利用職務上機會詐取財物罪，依犯罪時間各判處有期徒刑1年9月至11月不等，定應執行有期徒刑2年，緩刑4年，並應向公庫支付5萬元，褫奪公權2年，所得財物發還水保局南投分局。

二、行政院衛生署（現為衛生福利部）中醫藥委員會組長詐領差旅費案(臺灣臺北地方法院99年度簡字第3672號刑事簡易判決參照)

(一)偵審情形：簡易判決拘役並得易科罰金。

(二)弊端類型：使公務員登載不實藉以詐取差旅費。

(三)弊端手法：出差當天來回，卻填寫不實之住宿費及膳雜費，致詐得差旅費。

(四)違反法條：刑法第214條：「明知為不實之事項，而使公務員登載於職務上所掌之公文書，足以生損害於公眾或他人者，處3年以下有期徒刑、拘役或5百元以下罰金。」

(五)案情概述：

      甲係行政院衛生署（現改制為衛生福利部）中醫藥委員會中醫組組長，為依法令服務於國家所屬機關而具有法定權限之公務員。甲因業務需要於98年6月及9月間，分別前往花蓮及臺南辦理教育及督導活動，並搭乘統聯客運或自強號當天來回，詎甲竟基於使公務員登載不實之犯意，於國內出差旅費報告表、出差請示單上，浮報出差前1日或後1日之住宿費及半天膳雜費，而使不知情之承辦人事管理員、會計人員等人，在該國內出差旅費報告表、出差請示單上蓋章，並將該不實之事項，登載於職務上所掌之帳簿，足生損害於該機關對於出差旅費等報支之正確性。甲共溢領差旅費4,239元。案經甲自首及行政院衛生署政風室（現改制為衛生福利部政風處）函送偵辦，移請臺灣臺北地方法院檢察署檢察官偵查聲請簡易判決。臺灣臺北地方法院於99年10月7日判決甲違反刑法第214條使公務員登載不實罪，惟考量甲於犯罪尚未被發覺前即已自首，且所溢領之數額尚非甚鉅，並已繳回公庫，爰以簡易判決判處甲歷次犯行各處拘役10日，並定應執行刑拘役80日，如易科罰金，以1,000元折算1日。

肆、廉政故事

一、晚節不保的洪承疇

◎摘自網路文章

      明薊遼總督洪承疇，係東北邊防將領，負防衛金人。嗣因金人逐漸壯大，雙方大戰於遼東，洪承疇兵敗被俘。初時金人屢以饋降，惟洪承疇堅不降金，並矯法文天祥之浩然正氣，鎮日閉目盤坐於水牢中，不飲不食亦不言。某日金后於牢外窺之，適發現牢頂耗鼠洩屎於洪承疇髮際，洪某除忙於清理外，並偶爾揮趕週邊蚊蠅，金后於是認定洪承疇絕非一心求死之人，只要假以時日，必可誘降。此後，金后屢至牢中與洪承疇談話，並略施美人計。不多時，洪承疇終竟失節，並恥為樣板，勾引其他明朝諸將臣。除晚節不保外，復枉明思宗曾諡之以「忠臣良將」。

      由前例來看，公務員極易面對外來的誘惑而失節；尤其是「色誘」，稍一不慎，即可能前功盡棄或晚節不保。因此，最好的方法就是要阻絕任何利誘的根源與機會，尤其是要潔身自愛，切勿自曝其短或讓人有乘暇抵隙的機會。

二、收取敵人餽賄以致衰亡的季斯和伯嚭

◎摘自網路文章

      歷代均有大臣因收取敵人餽賄，而幫敵人講話，並直接造成國家衰亡的案例。史載中最早而有名的例子，概屬春秋時魯國大夫季斯，以及吳國太宰伯嚭。

      季斯是魯定公時最有權勢的大夫，而當時魯國以孔子為相，國家大治，鄰國齊景公深以為憂，遂採大臣犁鉏之計，以美女歌伎八十名、駿馬一二０匹等，餽予季斯；季斯爰將美女駿馬上呈魯定公，除引誘魯定公外，並極力幫齊國講好話。最後魯定公竟與其狼狽為奸，逼走了孔子，也把國家帶向衰亡的地步。

      同樣的，當時吳王夫差幾滅了越王勾踐。勾踐為求茍存，爰採用大臣文種之計，攜八名絕色美女和金銀珠寶，餽之於吳國太宰伯嚭，並與妻妾甘為吳王奴用。雖然當時吳國有賢臣伍子胥輔佐，但夫差卻乏憂患意識，並聽從伯嚭緩兵之議，最後遂讓勾踐有東山再起的機會。當勾踐將夫差困於姑蘇山上時，夫差與之謀和遭拒，終竟含恨自殺。而勾踐滅掉吳國後，第一件事就是殺掉貪贓誤國的伯嚭。

      由上述二例可知，餽賄的東西不外乎是美女珠寶，尤其是「色誘」情事，好像都會歷史重演。所謂：以人為鑑，可以明得失。希望能為後世者戒啊！

伍、其他事項

一、如何防範資料庫遭隱碼攻擊

◎魯明德

      最近有一則新聞曝光度很高，一直在Facebook 上被人轉貼，話說一位美國男子，把自己的姓改成 Null，不但可以免費租了 2 次車，還免費住了 7 次旅館，甚至於去治療牙齒也不用付錢，因為他的姓會讓電腦誤判，而通過驗證。

     科技新貴小潘也看到了這則新聞，想到自己的公司最近正在投入跨境電商的業務，如果使用者能把自己的名字改成特定字，就可以進入資料庫，對於未來自己的電商系統的資料安全，豈不是一大風險。於是，小潘決定利用清明假期中的師生下午茶約會，把這資 通安全個問題提出來，看看有沒有什麼方法解決。司馬特老師喝口咖啡，先針對這個事件發生的可能性進行剖析。

      一般的管理資訊系統一定會有資料庫來儲存資料，資料庫都有結構化的查詢語言(Structural Query Language, SQL)，提供程式開發人員運用它的指令做資料查詢之用，當資料庫設計有缺陷時，就可能會有安全漏洞發生在應用程式的資料庫內層，如果漏洞在系統做弱點偵側時沒有被發現，就有可能在未來系統上線後，遭到有心人士的入侵。

      除了國外的這個案例之外，無獨有偶地，國內近期也有相關的報導發生，像 2015年底就有傳出戶政事務所的系統有 4 處 SQL Injection 漏洞，2016 年 4 月日盛證券的網站系統也發現 SQL Injection 漏洞，導致數億筆資料可能洩漏。

      這些事件都是有心人士利用資料庫的安全漏洞，在輸入的字串中夾帶 SQL 指令，當系統的程式疏忽沒有檢查時，這些被夾帶的指令就會被資料庫伺服器誤認為是正常的 SQL指令而被執行，系統就遭到入侵或破壞，也就是大家所習稱的 SQL Injection，中文又稱為隱碼攻擊。

      小潘趁著司馬特老師喝咖啡的空檔，抓到機會趕快問：一旦系統遭到隱碼攻擊，會有什麼後果？司馬特老師接著解釋，系統遭到隱碼攻擊，輕者可能會造成資料表中的資料外洩，像客戶資料、密碼…等。也可能會在攻擊中取得資料庫結構或管理員的帳號，足以日後再對資料庫做下一波的攻擊。嚴重者，駭客在取得較高的系統權限後，可以在網頁中加入惡意連結，也可以修改或控制作業系統，甚至於破壞硬碟、癱瘓整個系統。

      小潘聽到這裏，對隱碼攻擊已經有了個初步的概念，但是應該要怎麼防範呢？司馬特老師說一般人會以為隱碼攻擊只會針對微軟的 SQL Server 做攻擊，其實不然，只要是支援 SQL 指令的資料庫伺服器，都有可能會遭到隱碼攻擊。

      因此，為防範系統遭到隱碼攻擊，首先在應用程式要存取資料庫時，就要設下第一道防線，把系統的使用者與管理者的權限分開，對於應用系統的使用者，不要賦予可以建立、修改、刪除資料庫的權限，以減少隱碼攻擊帶來的損害。

     其次，要加強對使用者輸入資料的內容做檢核、驗證，可以利用現有的內容驗證工具或建立一些驗證規則，針對使用者輸入一些特殊的字元，先行過濾掉，讓那些惡意攻擊的 SQL 語法無法執行。

      除了對使用者設限外，系統設計時也要配合隱碼攻擊做防護，以往程式設計都習慣使用動態字串結合的方式，來組成查詢語法，無形中提供了駭客一個舞台，如果使用者輸入的查詢變數，不要直接放到 SQL 查詢語法中，而是改成參數來傳遞，或者是使用 SQLServer 內建的安全參數，也可以避免駭客輸入攻擊語法。

      目前很多網站的架設，都是採用 3-tier 或N-tier 的架構，因此，在每一 tier 上的驗證就很重要，系統的設計不能只在最外層驗證成功，就讓使用者可以長驅直入，為了避免隱碼攻擊，每一 tier 都應該要做驗證，驗證不通過就要立刻採取行動，才不會讓駭客輕易的入侵。

      最後，要運用弱點掃描工具來協助系統開發人員，有效的發掘可能造成隱碼攻擊的漏洞，適時的加以修復，如果系統開發人員、資料庫管理人員及資安人員能夠對資安漏洞事前防範，駭客就不易侵入。

      這個月的師生下午茶約會，就在華燈初上伴隨著濃濃的焦糖瑪琪朶香味中，漸漸進入尾聲，小潘聽了司馬特老師的說明，心想著等上班後，一定要對自己的系統先做個弱點掃描，了解那裏有漏洞，趕快來補強，以免日後不知不覺中遭到隱碼攻擊，造成不可彌補的損害。

二、惡房東、惡房客，退散！

      行政院消費者保護處（下稱消保處）為建立健全之租屋市場秩序，解決惡房東以不合理之房屋租賃契約條款坑殺租屋族，或租霸房客惡意破壞房屋所造成之租屋消費糾紛，已審議通過內政部所研擬之「房屋租賃契約書範本暨其定型化契約應記載及不得記載事項」，俟內政部公告施行後，即可上路。本次修正重點，說明如次：

(一)為解決出租人(下稱房東)超收、不當苛扣及拒不返還擔保金(押金)爭議，明定房東所收之擔保金(押金)之數額最高不得超過2個月房屋租金之總額、擔保金(押金)原則上應於租期屆滿或租賃契約終止，承租人(下稱房客)交還房屋時返還。

(二)為防止房東不當超收水、電費，並解決相關費用分擔方式不公爭議，明定房東應載明租賃期間水、電費之單價(例如：每度__元)，並以勾選之方式明定相關費用之負擔方式。

(三)為解決房屋及附屬設備毀損該由何人負責修繕爭議，明定房東負責修繕為原則，但是損壞係因可歸責於房客之事由所造成時，房東即不負修繕義務。

(四)為解決租賃一方無預警提前終止租約，造成他方要臨時搬家或房屋閒置爭議，本案設計有提前終止租約之選項、應提前通知之期間，違約時之最高賠償金額不得超過1個月租金。

(五)為防範房東利用契約條款，逃漏所得稅及其他稅賦，明定定型化契約「不得約定」房客不得申報租賃費用支出、「不得約定」房客不得遷入戶籍、「不得約定」應由房東負擔之稅賦若較出租前增加時，其增加部分由房客負擔之內容或文字。

      消保處再次提醒房客，若租約有兩頁以上，宜蓋上騎縫章，避免被抽換；簽約過程中，可使用拍照、錄音等方式證明交屋現況；並建議可以劃撥、匯款等方式繳交租金，避免發生爭議而涉訟時，舉證困難。若遇有租約內容與「房屋租賃定型化契約應記載及不得記載事項」規定未合部分，可請求房東修改或拒絕簽約，以保障自身權益。倘租約內容與前開規定未合，經令限期改正而屆期不改正者，主管機關將會依消費者保護法第56條之1規定處罰。

三、保防漫畫

◎摘自法務部調查局清流月刊