個資外洩案頻傳 修法補漏刻不容緩

記者 鍾秉哲、粘菀瑄、鍾知諭/採訪報導 

近年我國外洩事件頻傳,從戶政資料到租車平台用戶個資案例層出不窮個資暴露不僅詐騙溫床,更恐致有心人士藉此發動認知戰。然而,我國修法腳步與落實程度,卻遠不及個資外洩的速度與規模,相關法規至今未明定獨立主管機關,罰則也被詬病痛不癢在個資成核心資產的時代,修補資安漏洞備受矚目

民眾電腦遭駭客入侵,導致個人資料遭外洩(示意圖)。攝影/粘菀瑄

資安風險 攸關國防

隨數位時代來臨,通安全漸成門顯學,中央政府也在去年成立數位發展部,並設有資通安全署。不過,台北市政府資訊局局長趙式隆指出,個資外洩發生原因,除資安系統防禦能力未跟上攻擊演變速度有時更常見的是因人員便宜行事,資安意識未跟上權限,或未恪遵標準作業程序,導致個資保護在執行上出現漏洞。

近期租車平使用者個資暴露事件為例,交通部公路總局調查披露,肇因是租車公司暫存資料庫出現防護缺口,用特定技術與工具,即可查詢用戶異動資料。對此,台灣法律科技協會理事長江雅綺表示儘管目前已有相關法條規範政府卻未具備足夠人力監督與定期檢查,導致時常才發現問題 

有心人士若掌握大批國人個資,即可藉此進行認知作戰,示意圖。攝影/粘菀瑄

「詐騙集團這麼多,就是因為台灣個資實在都沒有在管。」立委邱顯智提到,上千萬筆國人個資能透過數位工具快速外流時,行政機關輕忽個資保護的重要,導致民眾飽受詐騙集團侵擾江雅綺提醒,國人個資被掌握,有心人士就能藉此進行精準認知作戰,恐對國家安全和民主社會造成害。

罰款過低 約束不力

然而,個資暴露危害攀升的同時,於2015年修正的個人資料保護法至今未明定主管機關,僅在25條規定若非公務機關違法,則由中央目的事業主管機關或地方政府裁罰。江雅綺強調,當個資成為數位時代的核心資產,政府就不該以「有空才去做」的心態看待明文規定個資保護的主責機構。

不僅如此,罰鍰與賠償上限過低也是現行法規問題江雅綺指出,此次租車平台洩漏40萬筆個資,公路總局祭出20萬元最高罰鍰但換算筆個資只值5角。律師葉慶元直指落實法規聘請資安長每月30顯見罰鍰亟需提高,「罰20萬都還不夠30萬的薪水,這不是笑話嗎?」 

資通安全攸關國家安全。圖為台北市資通安全中心。攝影/鍾秉哲

此外,個人資料保護法》第28規定,被害人若證明實際損害,法院得依情節裁定賠償5002萬元,第34載明20人以上即提團體訴葉慶元說明,雇用較好的律師單一審級就要20萬元,若20人提出團體訴訟,案件到二審時訴訟成本就與賠償金相等,「沒有人要跟你打沒有錢的官司。」 

「現在大家基本上都覺得,個資好像不是什麼很值錢或重要的東西。」江雅綺認為個資洩漏的賠償應思考更先進念,於有多少損害需要被填補的框架。葉慶元也說,若不提高罰鍰與賠償金額,對企業就不痛不癢,拉高上限勢必能形成壓力,給消費者較多保障。 

專責監管機關 遭疑疊床架屋

為解決非公務機關個資外洩問題,國家發展委員會本月2日發新聞稿提出三大精進策略,包含加強督促各部會落實監督所轄事件個資保護,並參考外國立法提高《個資法裁罰額度,以及推動設立個資保護獨立專責監督機關,期盼提升企業個資防護能力。

政府在2022年成立數位發展部,並設有資通安全署、資通安全研究院。攝影/鍾秉哲

對此,江雅綺解讀,國發會似乎暗示資安署非個資外洩主責機關,但在成立資安署與資通院後,又研議設置獨立機關,恐引發外界質疑現有單位功能。葉慶元直言,台灣現在有「獨立機關肥大症」,但數發部除管理數位產業發展外,也應負責資安,不應再疊床架屋,把資安職權拆分給獨立機關。

邱顯智提到,數發部長唐鳳在組織規劃時,曾說資安應由數發部主責,但部會成立後卻僅側重產業發展加上部人員多來自經濟部和工業局,使其與原先期待完善保護個資與資安有落差,數發在每年獲配266億元預算下,卻像把經濟部的部分事務分割獨立,當然非常可惜,也失去部會成立的本意。

但端看地方政府組織架構,同樣具備資訊局並設資安中心的北市府,除資訊局外也設有資安事件通報及應變組織等。趙式隆認為,資通安全跟個資保護是兩件事應分層負責,目前企業在個資保護上已有法規要求,資訊局則類似公部門資安幕僚單位,而隸屬中央的資安署自然應監督各公務機關的資通安全

趙式隆說明,資訊局類似資安幕僚單位,資安署隸屬中央,理應監督各公務機關資通安全。攝影/鍾秉哲

不過,葉慶元強調,法令實行需要外界鞭策,未來個資保護專責機關的重點任務,是落實監督各部門的個資保護計畫執行狀況。江雅綺補充,台灣對資安人才的要求都過於強調技術,但很多資安問題其實法律認知不足,可見未來招收人文社會科學人才,對專責機關也相當重要 

填個資成日常 應審慎考量

個資保護在國內長期未受重視,即便個資外洩事件與日常生活息息相關,民眾也時常未意識到其後果影響深遠。邱顯智推測,民眾對個資外洩不在意,與台灣的戒嚴歷史淵源、曾為不重視隱私的國家有關,但當台灣已成民主自由的法治國家時,就應更重視個資保護,因為這個人隱私人性尊嚴密切相關。 

無論政府、企業抑或個人資外洩,都將衍伸被操控的危機。江雅綺指出,個資外洩是無形且無法量化的損失,資訊洩漏即被掌握情報葉慶元認同表示,若住址、電話、金融卡號等個資外流恐被隨意竊取,尤其信用卡3碼安全碼僅有千種排列組合,被盜用的風險不低 

民眾提供個資應審慎考慮,避免外洩。攝影/粘菀瑄

然而,當填寫個資變成日常時,往往會忽略潛藏的危險性。江雅綺解釋,人個資保護意識普遍不強,防堵個資外洩要從源頭做起。她提醒,民眾給出個資前應多考慮寫時仔細檢查,若資料蒐集超出目的,詢問對方用途,甚至能主張不提供部分個資。

對於維護企業資安,江雅綺呼籲,當社會漸覺個資保護是重要課題、中央成立主責機關時,企業應確實遵法規,不能存有僥倖心態。趙式隆也說,無論公、私部門,每個單位裡都必須有類資訊局」,因為只要會用到電腦、連上網路的人,其實都跟資安有關,人人都應提升資安意識。

至於公部門,邱顯智強調,政府在資安事件後都從中汲取教訓,才能繼續前進。他也說,個資外洩其實是傷害人與人間的信賴,民眾將難相信戶政司、租車公司等個資暴露的單位,「現在是你填了(個資)、你借了車之後,就立刻接到貸款電話,你就會對這個社會沒有信任感。」

趙式隆說,無論公、私部門,每個單位裡都必須有「類資訊局」。攝影/鍾秉哲

延伸閱讀:

創設數位發展部會 成政府資訊化關鍵

Posts created 3

Related Posts

Begin typing your search term above and press enter to search. Press ESC to cancel.

Back To Top