行政治理／黃勝雄 防駭大作戰 三點不漏

TWNIC董事长暨执行长黄胜雄。 黄胜雄／提供

骇客攻击无所不在，近期国内外企业都传出企业遭骇、保存个资外泄的状况。参与政府多项网路安全法规制定与资安审查的台湾网路资讯中心（TWNIC）董事长暨执行长黄胜雄指出，政府虽然可以采用个人资料保护法处罚个资外泄的厂商，但个资法对资安强度标准不明确、一味重罚反起争议，建议观察企业是否符合非恶意外泄资料、资安强度达到适足性、尽到告知与补救等义务，更能保障用户个资安全。

观察企业是否失职

黄胜雄指出，近期国内发生多起个资外泄或资安事件，数位部目前采用的法规是今年5月刚通过的新版个人资料保护法，以「严罚」的态度，罚金从2万到200万元不等，但依循的法令是个资法27条，要求「非公务机关保有个人资料档案者，应采行适当之安全措施」，而所谓的适当安全措施，定义不够清楚，容易产生争论。

在国内企业发生重大资安问题或个资外泄时，TWNIC是政府机关经常征询的资安专业机构，黄胜雄指出，事件发生时有行政调查，在实务上会关注资料收集过程是否合法合规，是否获得当事人同意，在技术面上会关注存取加密技术是否够强。

他指出，现在骇客手法多变，企业防不胜防，以近期LINE母公司LY Corporation被骇客入侵、台湾有近百笔加密资料外泄的状况，到底要不要处罚？

他认为未来企业个资外泄案件势必还会发生，但可利用三项原则检视未来通案状况，首先是企业保存的个资外泄，企业是否恶意为之甚至从中获利？这也是个资法的基本精神，就是「保障个资不被恶意利用」。

第二是观察企业的资安强度是否达到一定的适足性。黄胜雄认为，资安没有最好，永远有改进空间，但不能因为没有最好就被处罚，政府可以导入第三方机制观察，例如是否符合国际标准ISO 27001或ISO 27701，至少证明企业有达到一定的国际水准。

第三是观察业者当责态度，例如个资法规定发生个资外泄事件时，企业有通报义务，关注企业是否据实通报，以及后续是否立刻修补漏洞与补强。他强调，其实资安强度有一定的检视标准，做到并不难，个资法关注的是资料处理问题，民众最在意未来能否真正受到保障，企业应诚实通报，这是政府可关注的重点。

资料外泄应先通报

黄胜雄指出，虽然发生事件时企业有通报义务，但在他的经验中很少看到主动通报的企业，其实新法刚通过，政府执行与企业遵法上都在调整，例如企业如果尽力去保管资料，发生问题后的义务应该先通报，急着重罚只会让企业不敢通报相关问题。此外，企业个资外泄后要负责的对象是消费者，如果企业没有恶意销售资料图利，属于非恶意的资料外泄，政府重罚也可能引发行政诉讼。

黄胜雄说，个资外泄与资安问题其实是两大领域，政府依个资法管理资安，法规上还有空白授权处，其实国际间如欧盟、新加坡都有相关的个资保护规范，例如欧盟的GDPR就认定企业符合ISO27001的规范，就达到一定的资安适足性，从国际案例来看，今年Facebook母公司META因把欧洲用户资料传输至美国，被欧盟重罚13亿美元，亚马逊2021年被罚7.46亿美元，都不是因为个资外泄，而是不当传输与违法收集个人资料，反而与企业资安无关。

延伸阅读