說好的「資安即國安」呢?

台灣首見全民戶役政個資外洩,除了身分證字號,戶籍地址、父母、配偶等親屬關係全曝光;一人遭洩、全家起底。天下雜誌提供
台灣首見全民戶役政個資外洩,除了身分證字號,戶籍地址、父母、配偶等親屬關係全曝光;一人遭洩、全家起底。天下雜誌提供
【文/鄭閔聲、史書華;圖片/陳則緯繪製】

2月底,法務部已證實,網上流竄兜售的就是我國2018年4月前的戶役政資料。個資外洩,內政部、數位部誰該負責?台灣資安保護與歐美的距離有多遠?

荒唐3:關起大門噤聲處理

疑為外包機關洩漏,悄悄修法補破洞

事實上,政府可以採「料敵從嚴」態度,過去,就曾這麼做。

2019年6月22日,銓敘部得知國外網路論壇有人公開販售59萬筆公務人員個資,銓敘部雖一時無法確認資料內容,仍在當天依規定通報一級資安事件。

隔天確認資料確實為銓敘部所有後,再一次通報提升資安事件等級。

三天後,銓敘部更以新聞稿公布初步分析比對結果,並配合行政院資安處、調查局、刑事局進行資安檢測及相關調查作業。

但在這一次影響更深遠的資料外洩事件中,內政部選擇不承認、不通報,關起門來處理。

去年12月底,內政部悄悄修正提供戶政資料的行政命令「各機關申請提供戶籍資料及親等關聯資料辦法」,修法重點包括:

1.提供資料不得以光碟或隨身碟等可攜式儲存媒體交換;

2.申請資料機關須附上資通安全等級責任A級(最高級)證明文件;

3.申請表上須寫明資料使用期限及銷毀期限等。

 

一位熟知政府運作的資安人士研判,這顯示內政部察覺戶籍資料交換流程存在漏洞。網上兜售的資料,可能是從外部機關或外包廠商洩漏出去。

據了解,全台約有70餘個單位可以介接戶役政系統,這70多個單位,在資安分級上也大不相同。依照法規,內政部列為A級,但是外包開發或維運的相關業者,資安等級卻只有C級。

內政部次長花敬群1月10日在立法院朝野協商的發言,被認為是承認戶役政資料是間接外流,「流失有很多種可能的情況,並不是戶政司的系統。」

一位政府官員私下為內政部叫屈,「這件事就像內政部把重要的鑰匙借給別人,過程一切合法,對方把鑰匙弄丟了,難道要回頭責怪內政部嗎?」

時代力量立委邱顯智卻不以為然,「流出去的是戶政資料,當然要由保管資料的內政部負責調查。」

 

荒唐4:個資治理與罰則不一

缺乏獨立機關監督,各部會自由心證

事實上,資安是保護機敏資料的手段,檢討戶政個資外洩事件的重點,不能只停留在「釐清資料怎麼掉」的層次。更應該嚴肅面對的是,現行的法規制度,能不能妥善保護民眾個資?

答案顯然是否定的。

「個資法」第18條規定,保有個資的公務機關,應指定專人維護,防止個資遭竊取、竄改、毀損、滅失或洩漏。但違反這條法律的機關,沒有罰則,只需在查明後以「適當方式」通知當事人。

至於私人部門,中央目的事業主管機關可處2萬元以上、20萬元以下罰鍰。

 

「現行個資法不僅官民分治、罰則過輕,就連公部門之間也沒有一致標準,」萬幼筠形容。

之所以出現銓敘部59萬筆個資外流就通報重大資安事件,內政部外洩2300萬筆卻不通報,就是因為沒有獨立的監督機關,讓各單位自行決定處理方式。

相較於歐盟的「一般資料保護法規」(G DPR),成立獨立個資機關,同時監管企業與政府。法律也明文規定,發生個資事件應於72小時內通報,違法最高可處1000萬歐元或年營收2%罰款。

在《天下》遍訪資安界、政府,調查2300萬筆個資外洩事件之際,行政院宣示將研議修法提高「非公務機關」違反個資法的罰則,並設立個資保護獨立監督機關。

但除了更嚴格要求私部門維護個資,政府各級機關更應該帶頭,修正面對資安與個資外洩事件的心態。

 

個資保護與資安防護的最核心精神都是:發生事情,要說出來、要通知當事人,才能有效防堵、損害控管。

一位曾在政府資安體系工作人士也私下評價,台灣資安做得不差,美國和其他國家政府也會掉資料。

但是,「發生資安事件不會沒有面子,而是要想辦法快速解決,」曾任職行政院資通安全會報、現為台灣數位鑑識發展協會理事長林宜隆說。

總統蔡英文曾多次強調「資安即國安」,但這次,政府面對2300萬戶役政資料外洩的國安危機態度,顯然是最壞的示範。

文章來源

You may also like...

發佈留言