個資外洩案頻傳修法補漏刻不容緩

內容目錄

近年我國個人資料外洩事件頻傳，從戶政資料到租車平台用戶個資外流等案例層出不窮，個資暴露不僅成為詐騙溫床，更恐致有心人士藉此發動認知戰。然而，我國修法腳步與落實程度，卻遠不及個資外洩的速度與規模，相關法規至今未明定獨立主管機關，罰則也被詬病是不痛不癢，在個資成為核心資產的時代，修補資安漏洞備受矚目。

資安風險攸關國防

隨數位時代來臨，資通安全逐漸成一門顯學，中央政府也在去年成立數位發展部，並設有資通安全署。不過，台北市政府資訊局局長趙式隆指出，個資外洩發生原因，除資安系統防禦能力未跟上攻擊演變速度外，有時更常見的是因人員便宜行事，資安意識未跟上權限，或未恪遵標準作業程序，導致個資保護在執行上出現漏洞。

以近期租車平台使用者個資暴露事件為例，交通部公路總局調查披露，肇因是租車公司暫存資料庫出現防護缺口，運用特定技術與工具，即可查詢用戶異動資料。對此，台灣法律科技協會理事長江雅綺表示，儘管目前已有相關法條規範，但政府卻未具備足夠人力監督與定期檢查，導致時常在出事後才發現問題。

「詐騙集團這麼多，就是因為台灣個資實在都沒有在管。」立委邱顯智提到，當上千萬筆國人個資能透過數位工具快速外流時，行政機關卻仍輕忽個資保護的重要，導致民眾飽受詐騙集團侵擾。江雅綺提醒，若大批國人個資被掌握，有心人士就能藉此進行精準認知作戰，恐對國家安全和民主社會造成傷害。

然而，在個資暴露危害攀升的同時，於2015年修正的《個人資料保護法》至今未明定主管機關，僅在第25條規定若非公務機關違法，則由中央目的事業主管機關或地方政府裁罰。江雅綺強調，當個資成為數位時代的核心資產，政府就不該以「有空才去做」的心態看待，需明文規定個資保護的主責機構。

不僅如此，罰鍰與賠償上限過低也是現行法規的問題。江雅綺指出，此次租車平台洩漏40萬筆個資，公路總局依法祭出20萬元最高罰鍰，但換算後每筆個資只值5角。律師葉慶元直指，若要落實法規，聘請資安長每月就需30萬元，顯見罰鍰亟需提高，「罰20萬都還不夠付30萬的薪水，這不是笑話嗎？」

此外，據《個人資料保護法》第28條規定，被害人若難證明實際損害，法院得依情節裁定賠償500至2萬元，第34條也載明20人以上即能提團體訴訟。但葉慶元說明，雇用較好的律師單一審級就要20萬元，若20人提出團體訴訟，案件到二審時訴訟成本就與賠償金額相等，「沒有人要跟你打沒有錢的官司。」

「現在大家基本上都覺得，個資好像不是什麼很值錢或重要的東西。」江雅綺認為，個資洩漏的賠償應思考更先進的概念，不限於有多少損害需要被填補的框架。葉慶元也說，若不提高罰鍰與賠償金額，對企業就不痛不癢，拉高上限勢必能形成壓力，給消費者較多保障。

為解決非公務機關個資外洩問題，國家發展委員會本月2日發新聞稿提出三大精進策略，包含加強督促各部會落實監督所轄事件個資保護，並參考外國立法提高《個資法》裁罰額度，以及推動設立個資保護獨立專責監督機關，期盼提升企業個資防護能力。

對此，江雅綺解讀，國發會似乎暗示資安署非個資外洩主責機關，但在成立資安署與資通院後，又研議設置獨立機關，恐引發外界質疑現有單位功能。葉慶元直言，台灣現在有「獨立機關肥大症」，但數發部除管理數位產業發展外，也應負責資安，不應再疊床架屋，把資安職權拆分給獨立機關。

邱顯智提到，數發部長唐鳳在組織規劃時，曾說資安應由數發部主責，但部會成立後卻僅側重產業發展，加上部內人員多來自經濟部和工業局，使其與原先期待能完善保護個資與資安有落差，且數發部在每年獲配266億元預算下，卻像把經濟部的部分事務分割獨立，當然非常可惜，也失去部會成立的本意。

但端看地方政府組織架構，同樣具備資訊局並設資安中心的北市府，除資訊局外也設有資安事件通報及應變組織等。趙式隆認為，資通安全跟個資保護是兩件事應分層負責，目前企業在個資保護上已有法規要求，資訊局則類似公部門資安幕僚單位，而隸屬中央的資安署自然應監督各公務機關的資通安全。

不過，葉慶元強調，法令實行需要外界鞭策，未來個資保護專責機關的重點任務，是落實監督各部門的個資保護計畫執行狀況。江雅綺則補充，台灣對資安人才的要求都過於強調技術，但很多資安問題其實是法律認知不足，可見未來招收人文社會科學人才，對專責機關也相當重要。

個資保護在國內長期未受重視，即便個資外洩事件與日常生活息息相關，民眾也時常未意識到其後果影響深遠。邱顯智推測，民眾對個資外洩不在意，與台灣的戒嚴歷史淵源、曾為不重視隱私的國家有關，但當台灣已成民主自由的法治國家時，就應更重視個資保護，因為這跟個人隱私、人性尊嚴密切相關。

無論政府、企業，抑或個人資料外洩，都將衍伸被操控的危機。江雅綺指出，個資外洩是無形且無法量化的損失，一旦資訊洩漏即被掌握情報。葉慶元認同表示，若住址、電話、金融卡號等個資外流，恐被隨意竊取，尤其信用卡3碼安全碼僅有千種排列組合，被盜用的風險不低。

然而，當填寫個資變成日常時，往往會忽略潛藏的危險性。江雅綺解釋，國人個資保護意識普遍不強，但防堵個資外洩要從源頭做起。她提醒，民眾給出個資前應多考慮、填寫時仔細檢查，若資料蒐集超出目的，應詢問對方用途，甚至能主張不提供部分個資。

對於維護企業資安，江雅綺呼籲，當社會漸覺個資保護是重要課題、中央成立主責機關時，企業也應確實遵守法規，不能存有僥倖心態。趙式隆也說，無論公、私部門，每個單位裡都必須有「類資訊局」，因為只要會用到電腦、連上網路的人，其實都跟資安有關，人人都應提升資安意識。

至於公部門，邱顯智強調，政府在資安事件後都得從中汲取教訓，才能繼續前進。他也說，個資外洩其實是傷害人與人間的信賴，民眾將難相信戶政司、租車公司等個資暴露的單位，「現在是你填了（個資）、你借了車之後，就立刻接到貸款電話，你就會對這個社會沒有信任感。」