行政治理/黃勝雄 防駭大作戰 三點不漏

TWNIC董事長暨執行長黃勝雄。 黃勝雄/提供

駭客攻擊無所不在,近期國內外企業都傳出企業遭駭、保存個資外泄的狀況。參與政府多項網路安全法規制定與資安審查的臺灣網路資訊中心(TWNIC)董事長暨執行長黃勝雄指出,政府雖然可以採用個人資料保護法處罰個資外泄的廠商,但個資法對資安強度標準不明確、一味重罰反起爭議,建議觀察企業是否符合非惡意外泄資料、資安強度達到適足性、盡到告知與補救等義務,更能保障用戶個資安全。

觀察企業是否失職

黃勝雄指出,近期國內發生多起個資外泄或資安事件,數位部目前採用的法規是今年5月剛通過的新版個人資料保護法,以「嚴罰」的態度,罰金從2萬到200萬元不等,但依循的法令是個資法27條,要求「非公務機關保有個人資料檔案者,應採行適當之安全措施」,而所謂的適當安全措施,定義不夠清楚,容易產生爭論。

在國內企業發生重大資安問題或個資外泄時,TWNIC是政府機關經常徵詢的資安專業機構,黃勝雄指出,事件發生時有行政調查,在實務上會關注資料收集過程是否合法合規,是否獲得當事人同意,在技術面上會關注存取加密技術是否夠強。

他指出,現在駭客手法多變,企業防不勝防,以近期LINE母公司LY Corporation被駭客入侵、臺灣有近百筆加密資料外泄的狀況,到底要不要處罰?

他認爲未來企業個資外泄案件勢必還會發生,但可利用三項原則檢視未來通案狀況,首先是企業保存的個資外泄,企業是否惡意爲之甚至從中獲利?這也是個資法的基本精神,就是「保障個資不被惡意利用」。

第二是觀察企業的資安強度是否達到一定的適足性。黃勝雄認爲,資安沒有最好,永遠有改進空間,但不能因爲沒有最好就被處罰,政府可以導入第三方機制觀察,例如是否符合國際標準ISO 27001或ISO 27701,至少證明企業有達到一定的國際水準。

第三是觀察業者當責態度,例如個資法規定發生個資外泄事件時,企業有通報義務,關注企業是否據實通報,以及後續是否立刻修補漏洞與補強。他強調,其實資安強度有一定的檢視標準,做到並不難,個資法關注的是資料處理問題,民衆最在意未來能否真正受到保障,企業應誠實通報,這是政府可關注的重點。

資料外泄應先通報

黃勝雄指出,雖然發生事件時企業有通報義務,但在他的經驗中很少看到主動通報的企業,其實新法剛通過,政府執行與企業遵法上都在調整,例如企業如果盡力去保管資料,發生問題後的義務應該先通報,急着重罰只會讓企業不敢通報相關問題。此外,企業個資外泄後要負責的對象是消費者,如果企業沒有惡意銷售資料圖利,屬於非惡意的資料外泄,政府重罰也可能引發行政訴訟。

黃勝雄說,個資外泄與資安問題其實是兩大領域,政府依個資法管理資安,法規上還有空白授權處,其實國際間如歐盟、新加坡都有相關的個資保護規範,例如歐盟的GDPR就認定企業符合ISO27001的規範,就達到一定的資安適足性,從國際案例來看,今年Facebook母公司META因把歐洲用戶資料傳輸至美國,被歐盟重罰13億美元,亞馬遜2021年被罰7.46億美元,都不是因爲個資外泄,而是不當傳輸與違法收集個人資料,反而與企業資安無關。

延伸閱讀