取次花叢懶回顧:政府違規「沒罰則」
首先,對於台灣接連發生駭客兜售戶役政資料、健保署官員涉盜賣2300萬民眾個資至中國、華航個資外洩、iRent個資外洩等重大資安事件,根據《個資法》第18條規定,「保有個資的公務機關,應指定專人維護,防止個資遭竊取、竄改、毀損、滅失或洩漏」。但對違反這條法規的政府機關,並沒有罰則,只需在查明後以「適當方式」通知當事人。
至於私人部門,依據《個資法》規定,中央目的事業主管機關可對其處2萬至20萬罰鍰。比方說,今年農曆春節期間,發生iRent超過40萬筆個資外洩之虞的情事,因為是汽機車出租業,它的主管機關是公路總局,而微風集團是百貨業,主管機關是經濟部。令人不解的是,何以企業外洩要被罰款(如公路總局對iRent開罰20萬元),但擁有最多個資的政府機關,涉及外洩個資卻可以豁免無責?
其次,目前《個資法》還規定必須超過20位當事人授權才能提告,不僅罰則過輕,就連公部門之間也沒有一致標準,政府應當參考韓國、新加坡經驗,又如歐盟有「一般資料保護法規」設立專責保護個案的獨立機關,同時監管企業與政府部門。但我國獨立機關如NCC、促轉會、中選會,在蘇貞昌內閣期間都有黨政不分、行政不中立的惡例在前,乃至於各級檢、警機關常私下洩漏案情給特定媒體,又以「偵查不公開」為免責藉口的「慣例」,這些都還有待人民加強監督。
半緣修道半緣君:國安危機「毋免驚」?
第三,數位發展部對於《資安法》的「資通安全事件」,認定相對嚴苛,比如戶役政資料「個資外洩」不算「資安事件」,也因為不是資安事件,就非數位部可以介入的範疇。數位發展部長唐鳳曾在受訪時指出,現代的資安意識應該跟著轉變為「墊高攻擊成本、降低防禦成本」。但這種說法,只是拿不出具體對策的空話,等於只是要求國人反求諸己,自求多福。
當前美中新冷戰下台海局勢險峻,未來戰爭主打「超限戰」,也就是融合傳統、政治、網路和不對稱作戰,當全球各國都在力拚「資安軍備競賽」,台灣資安居然還有許多破網沒補起來,也搞不清有多少顆未爆彈,恐將引爆國安危機!