親愛的老闆,當您一早打開電腦,發現公司網站、ERP系統或會計檔案全部被駭客加密,螢幕上跳出「付款贖回資料」的訊息時,您的第一個念頭可能是恐慌、憤怒,接著是無助。然而,在按下報案電話或決定支付贖金之前,您需要一套冷靜且完整的應對策略。這不僅關乎資料能否復原,更涉及企業的法律責任、營運中斷風險,甚至影響到您年度稅務申報的正確性。本文將從法律備案與營運持續計畫(BCP)兩條軸線切入,並特別提醒您:當災難發生後,如何妥善處理財務損失與稅務申報,同時留意《基本稅額條例》與最低稅負制可能帶來的影響。
一、勒索軟體攻擊的法律備案:從報案到證據保全
許多老闆的第一反應是「那就付贖金吧,省事」。但請注意,支付贖金本身並不違法,卻可能觸犯《洗錢防制法》或《資恐防制法》,因為您無法確認對方是否為恐怖組織或受制裁個人。因此,第一步絕對是:
- 立即報案並保全證據:撥打165反詐騙專線或前往轄區分局報案,同時將勒索訊息、駭客要求、加密檔案樣本等完整留存。切勿自行刪除或格式化,以免破壞數位證據鏈。
- 啟動合規的資料復原程序:若您有定期異地備份(例如雲端備份或離線備份),應由資訊人員在隔離環境下還原測試,確認無後門程式後再上線。若無備份,則需委請數位鑑識公司評估解密可能性,切勿自行嘗試破解。
- 客戶與第三方通知義務:依據《個人資料保護法》第12條,若個資遭竊或洩漏,應在查明後以適當方式通知當事人。您須評估被加密的資料中是否包含客戶姓名、身分證字號、信用卡資訊等敏感性個資。若有,必須向主管機關(國家通訊傳播委員會或個資主管機關)進行通報,否則可能面臨最高新臺幣20萬元罰鍰及民事團體訴訟。
- 民事與刑事追償:向檢警提供完整證據後,可依《刑法》第358條(入侵電腦罪)、第359條(破壞電磁紀錄罪)及第346條(恐嚇取財罪)提出告訴。此外,若因攻擊導致客戶損失,您可能需依《民法》第184條侵權行為負賠償責任,因此投保「資訊安全保險」或「營業中斷保險」至關重要。
二、營運持續計畫(BCP):讓企業在黃金48小時內恢復關鍵功能
法律備案是防護網,但營運持續才是活下去的關鍵。許多中小企業沒有專職資訊長,因此BCP應聚焦於「最低可運作模式」:
- 建立離線備份機制:最好的防禦是「無法被加密的備份」。採用321原則:3份備份、2種不同媒體(如本機NAS+雲端)、1份離線(如外接硬碟平時拔除)。請確認備份排程是否包含會計系統、客戶資料庫、合約檔案等核心資料。
- 啟動異地辦公或紙本作業流程:若網站或ERP無法使用,應預先設計緊急SOP。例如:改以電子郵件或電話接收訂單,手寫出貨單,事後再補登系統。這段期間的營業收入仍須誠實開立發票並按時申報,否則可能涉及《加值型及非加值型營業稅法》之短漏報風險。
- 財務應急措施:檢視現金水位,評估是否需動用銀行備用融資額度。同時,因資料遺失導致的帳務混亂,可能影響您申報當期營業稅或營利事業所得稅的基礎。這時,您需要會計師協助重建憑證。
回到稅務層面,許多老闆忽略了一件事:勒索軟體攻擊造成的損失,在稅法上可以一定方式獲得補償嗎?答案是肯定的,但前提是必須合法合規、誠實申報。
三、勒索攻擊後的稅務處理:損失認列與誠實申報
當您被迫支付贖金,或是因資料損毀而產生額外的修復費用、顧問費、甚至營業中斷損失,這些費用能否在申報營利事業所得稅時列為費用或損失?財政部歷來的解釋函令有幾項關鍵原則:
- 贖金屬「其他費用」但需舉證:依營利事業所得稅查核準則第103條,因業務需要而支付之其他費用,如確屬必要且經取得合法憑證(例如贖金支付證明、報案三聯單、數位鑑識報告),可核實認列。但需注意,國稅局會嚴格審查是否為「業務必要」,以及是否已盡合理備份義務。若您完全無任何備份機制,可能被認定為未盡善良管理人注意義務,而不予認列。
- 資產報廢或減損損失:若被加密的伺服器、硬碟等設備無法修復或需要汰換,依《所得稅法》第57條,可列報固定資產報廢損失。應檢附會計師或專業鑑價報告,證明該資產已無殘值。
- 存貨或應收帳款損失:若因資料遺失導致無法收回應收帳款,或存貨毀損滅失,需依查核準則第94條、第95條規定,取得相關證明(如法院判決、郵局存證信函、災害現場照片等)方可認列。
值得注意的是,上述損失認列後,會減少您當年度課稅所得額。此時,您必須瞭解一個重要的租稅制度——最低稅負制。根據《基本稅額條例》,營利事業即使帳面上因災損而呈現虧損或低利潤,仍可能需繳納最低稅負。簡單來說,最低稅負制是為了避免企業利用大量免稅所得或損失而完全免稅;它設有一個「基本稅額」門檻,計算方式為「課稅所得額加計各項免稅所得後」乘以10%~12%。若您的「一般所得稅額」低於「基本稅額」,則需補繳差額。因此,當您因勒索攻擊而列報鉅額損失時,務必重新試算是否觸及基本稅額條例的最低稅負制,避免申報錯誤導致後續補稅與罰鍰。
例如:某公司當年度一般所得為虧損100萬元,但同時有一筆來自海外投資收益免稅所得200萬元。在最低稅負制下,其「基本所得額」為(-100萬+200萬)=100萬元,乘以10%後基本稅額為10萬元;而其一般稅額為0元,則需補繳10萬元差額。這類情況在遭遇重大損失時並非罕見,建議委託專業會計師進行模擬試算。
四、建構「稅務安全網」:誠實申報、合規備案
回到本文的核心提醒:稅務安全網的建立有賴於誠實申報。許多企業主在遭受勒索後,為了避免麻煩,可能傾向於未申報損失或低報收入,甚至以「不義之財」補貼損失——這些行為不僅無法獲得稅務補償,更可能引發《稅捐稽徵法》第41條的逃漏稅刑事責任,最重可處5年以下有期徒刑。反之,只要能完整留存所有相關單據、備份紀錄、報案證明,並依規定申報,國稅局通常會以「實質課稅原則」予以合理認列。
此外,您的營運持續計畫中,也應納入「稅務中斷應變」。例如:若會計系統損毀,應立即啟動紙本發票開立與傳輸機制,確保營業稅如期申報。若無法於規定期限內提出帳證,可依《稅捐稽徵法》第16條申請延期或分期繳納,但必須主動向稽徵機關說明原因並提供佐證。切勿採用任何「節稅漏洞」或所謂「快速退稅」的偏門手法,那只會讓您陷入更大的法律漩渦。
最後,我們深知創業維艱,遭遇勒索軟體攻擊如同雪上加霜。但請放心,合規的損失認列、完善的法律備案與營運持續計畫,能將傷害降至最低。若您對上述流程感到繁瑣,歡迎參考123創辦網提供的「虛擬辦公室」與「工商代辦」服務,我們能協助您建立合法的公司登記地址與行政後勤支援,讓您專注於核心業務,同時透過專業會計夥伴的稅務法規諮詢,確保每一筆損失都能在合法範圍內獲得應有的稅務處理。
請記住:誠實是稅務安全網的根基。本文提供之觀點僅供經營策略參考,具體之稅務減免、延期條件及申請流程,請以《稅捐稽徵法》及財政部最新解釋函令為準。
產品瑕疵回修: 大規模退貨潮出現時,法律賠償與公關處理的黃金 24 小時。
