「資安即國安」說說而已?台灣每月發生3千萬次網路攻擊事件,每年因駭客攻擊事件損失高達9千億元,個資外洩案件屢見不鮮,「個資法」無獨立專責機構,資安維護疊床架屋,多頭馬車,責任不清,三個和尚沒水喝,奢談資安。
侵權不必損害賠償?
個資法在民國104年12月30日修訂以來,並不能有效保護人民個資,最近接連發生政府機關個資外洩違法事件,例如,2300萬戶政資料外流,被不法分子放在網路上兜售;健保署官員涉嫌盜賣人民個資到中國大陸;華航個資外洩;iRent個資外洩;格上租車個資外洩,每一件都令人民震驚,「資安即國安」政府是說真的嗎?
最近重大資安事件,竟然是政府機關帶頭違法洩露人民個資,令人不敢想像。而個資法又無法源,裁罰違法失職的公務員或機關,賠償受損害人民的損失,任由少數不法公務員,違法瀆職,侵害人民法益,形成嚴重的立法疏失,這又是什麼「個資法」?洩漏人民個資,是公務員應有的作為嗎?
主管機關是誰?
個資法更大的問題是沒有獨立的專責機關,負責執行人民個資保護,以致數發部、國發會、資策會,互踢皮球,誰也不願承擔個資法的執法責任,新成立的數位發展部,做足了大內宣、大外宣,但是對於人民的個資安全維護,卻不願意,也無力承擔重責大任,連個資安全管理都不願承擔責任,數發部成立價值何在?
政府一再強調「資安即國安」,但是個資法的中央目的事業主管機關究竟是那一個單位負責?卻又說不清楚,數發部現在又成立「國家資通安全硏究院」,行政院還有跨部會資安會報,但是會報只是開會而已,「國家資通安全研究院」顧名思義,又只是研究部門而已,除了疊床架屋之外,對於國家資通安全的維護,毫無意義。
資安維護三個和尚
數發部有資通安全署編制,專責資安維護,但是資安署迄今不見蹤影,未來國家資通安全究竟由誰負責,還是看不出來。數發部次長李懷仁最近表示,民間單位事件由各目的事業主管機關主管,民間業者如果發現有個資外洩或資安事件,可以依據各部會辦法,回報目的事業主管機關。
他說,也可以第一時間通報數位部督導的TWNIC負責維運的TWCERT/CC,該中心負責民間企業資安事件通報及協處,將提供企業資安事件諮詢及協調服務。至於公部門的資安問題,數位部已開始推動零信任架構,以及政府資料傳輸平台統一傳輸標準,讓公部門在資料介接上,不會有個資及資訊安全問題。
果真如李懷仁所言,公部門不會有個資及資訊安全問題嗎?那麼戶政個資以及健保署個資外洩,又是從何而來?三個和尚沒水喝,資安管理果真淪於「沒水喝」的窘境,人民不能安心。
「資安即國安」不應再是口號,趕快確定個資法的中央目的事業主管機關,統一事權,落實執行,保護國家及人民的資訊安全,用不著為資安,疊床架屋,再成立一堆沒有用的機關。