歐洲GDPR(一般資料保護規範)上路五年,規定企業應具備個資保護之責,否則最高可處以兩千萬歐元或總營收百分之四罰鍰。
但在台灣,個資法雖早已立法,國發會也於前年成立「個資聯繫會報」進行跨部會整合,但對個資外洩防範及裁罰完全「空白」、自動神隱,甚至與數位部互踢皮球,不願承擔個資外洩責任。
早有「個人資料保護專案辦公室」的國發會推說,專案辦公室是前主委陳美伶為取得歐盟GDPR適足性認證,研究是否成立保護個資專責單位,並非個資監督單位。
數位部強調自己是「資安」主管單位、不是「個資」主管單位,但對民眾來說,個資外洩就是資安出問題,政府應統一權責。
管理事權不統一 官方棄守監督角色
明明個資法早有規定與罰則,為何各部會未見積極手段?
主因之一是各部會缺乏確認個資外洩的技術鑑識力,外洩到底是業者內部人外洩,還是被駭客攻擊?難以咎責。其二,各部會大多與管轄行業維持良好關係,以致諸多個資外洩案件輕輕帶過,業者忽視資安責任。
如今行政院長指示加速研議個資保護獨立監督機制,官員表示,將盡速提出事前防範、事件發生、事後處理強化機制。事前防範部分,將訂定符合包括會訂定個資系統保護規格,未來會公布那些資訊系統產品較安全符合規格;其後則針對高風險業者發動檢查。
若發生個資外洩事件,將由所屬部會會同數位部,實地調查決定是否開罰,事後也要業者提出改善計畫。
若外洩案件涉及刑事犯罪,主管機關得洽司法檢察機關,刑事局、調查局等單位介入。刑事局指出,未來也將結合消基會以個資法第三十四條,即對於同一原因事實造成多數當事人權利受侵害的事件,或財團法人、公益社團法人經受有損害的當事人20人以上,或以書面授與訴訟實施權者,可提起損害賠償訴訟,最高裁罰兩億元。
當台灣已成駭客天堂,加速訂立行政命令指導、管理、責成企業、比照國外建立更嚴格的懲罰機制,是政府的責任。
數位部長唐鳳:台灣有三大挑戰
惡意攻擊無所不在,強化資安能力已成政府首要任務,數位發展部2022年8月成立,首位數位部長唐鳳接受《聯合報》數位版專訪,坦言台灣尚有三大挑戰,包括:對內,政府各級機關必須兩年內導入政府資料傳輸平台(T-Road)和零信任架構;對外,因人才不足,需與全球各國建立聯防機制;國際間,因台灣外交處境尷尬,若要尋求國際合作,需要更多數位公民參與、建立外交靈活性。
不再用隨身碟 政府導入T-Road
唐鳳說,政府有責任完善資安架構、保護民眾個資。數位部正積極加速讓全台47個政府資安A級機關導入T-Road機制,力拚2024年底前完成。
T-Road是在政府原有骨幹網路GSN中建置資料傳輸通道,讓全國各級機關業務在此通道中交換時,有統一標準可遵循。
沒有T-Road機制前,台灣各級機關總有不同資料交換模式,甚至最傳統作法是「我從資料中心下載全部東西,放到我的電腦,我的電腦再燒一個光碟或隨身碟,直接拿給對方。」
唐鳳感嘆,過去的資料傳輸模式,如果突然發生事故或被側錄,因資料未加密,容易外洩也無法追蹤,「但採取T-Road機制,使用機關憑證加密,只有對方機關能解密。」藉以杜絕資料外洩的可能。
最小權限原則 部長也不例外
政府內部也須建立零信任制度、設定「最小權限原則」,非相關業務負責人不需授予權限,即使已經授予權限,也要次次針對設備、身分、行為模式重複檢視、認證。唐鳳就拿親身經歷為例:數位部剛成立時,她擁有門禁打卡系統管理員權限,「大家直覺部長最大,所以也給權限,但這是錯的。」一來她不是資訊處人員,二來她不是系統維護員,給予特殊權限並不合理。
於是她跟同仁們反應,同仁拿掉了她的管理員權限,數位部也嚴格遵守「最小權限原則」。
台灣除本土面臨資安難題,中國大陸網軍和駭客不斷挑釁台灣資安防禦,台灣資安人才卻相對匱乏。唐鳳說,未來會積極與全球60多個夥伴建立資安聯防機制。