針對近日iRent、格上與華航都爆發個資外洩事件,引起多位立委的關注,行政院也召集政委,提出短中長期改善作為:行政院資通安全會報與個資保護會議2個管道將會維持,但依照國發會新的《個資保護要點》,如果個資外洩涉及刑法,需配合司法警察機關進行行政檢查。
民進黨立委賴品妤、劉世芳等人也呼籲政府成立資安專責機關,但媒體質疑,已經有數位發展部,為何還需要新的機構?數發部、國發會等部會不能管嗎?
涉及資安與隱私
個資外洩事件牽涉到兩個層面,第一個是資訊安全問題,個資會外洩就是網路和資訊系統安全沒有做好,讓駭客有機可乘。第二個是個資的隱私問題,即使沒有駭客竊取資料,個人因為使用網路服務所留在各個服務機構的資料,也有可能被不當的使用。
就資訊安全而言,數發部已經轄有資通安全署,其業務包括資安政策與法規、關鍵基礎設施資安防護、資安事件通報應變、資安演練與稽核和資安教育訓練。所以各個單位的資訊安全,其實資通安全署是可以定期去稽核的,不管是公家機關或私人機構的資通安全,應該都是資通安全署的責任。只要資通安全了,個資就不容易外洩。
但即使個資不外洩,儲存在各個政府機關或商家的個資仍然可能被作不當的使用和利用,這就是個資的隱私保護問題。我們有一個「個人資料保護法」,其主管機關應該是國家發展委員會,但觀看國發會的組織架構,看不出有那個單位是負責個人資料的保護。
數發部保護隱私安全
至於數發部,用「隱私」搜尋其網站,只在路徑「首頁->核心業務->數位政府->具體作為->國家數位發展調查」下發現出現一次,是列在「資訊安全」項下,所以國發會和數發部其實對於隱私保護都不當成一回事,難怪民眾很多隱私被侵犯事件都求助無門,訴諸法律往往緩不濟急。
雖然隱私侵犯的問題不一定是採取數位的方式,但有鑑於資訊網路往往讓隱私被侵犯的問題更加嚴重,所以隱私保護的業務歸入數發部毋寧是比較適當的,可在數發部下成立「個人資料保護署」,以表示國家對於隱私保護的重視。要不然,至少應該在資通安全署底下成立「個人資料保護組」,讓隱私保護有個業務負責單位。
隨著網路使用的普遍和必要性,各個伺服器上都留有個人資料,任何一個伺服器的不安全,都是資料外洩的缺口,所以數發部應該像交通部一樣,訂定各種交通規則以保護馬路的安全,數發部要訂定各種數位使用的規則,以保護資訊和網路的安全。
資訊和網路安全是隱私保護的第一步,資料安全才能專注於避免被濫用和誤用。