■褚瑞婷
你的個資安全嗎?《個人資料保護法》施行了這麼多年的時間,相信多數民眾對這個問題還是非常存疑。畢竟,常常收到詐騙集團簡訊或者不明電話的打擾,幾乎已經是台灣民眾的日常,更何況政府跟大型企業都無法做到「資安零漏洞」,近期又爆發iRent客戶個資外洩及疑似駭客兜售內政部戶政資料的事件,實在令人憂心。
總統蔡英文說「資安即國安」,數位發展部旗下耗費九億預算的國家資通安全研究院也正式揭牌。數發部長唐鳳兼任資安院董事,行政院副院長鄭文燦身兼資安長,如此再三的強調與宣示,可見國家與全民的資安是何等重要。即便如此,二、三級機關跟各式頭銜都已經就位,可是最重要的個資獨立監督機制及主責機關卻是懸而未決,「人先到位,責任未明」的安排方式,不禁讓人覺得是否位子比責任更重要?
然而,面對這燃眉之急,政府的做法是速修個資法,並由國發會規劃在一年內建置個資專責的獨立機關。但是,這就造成資安議題的多頭馬車。目前處理詐騙與個資等資安防護包括內政部一六五防詐騙專線,以及數發部督導的財團法人台灣網路資訊中心(TWNIC)負責維運的台灣電腦網路危機處理暨協調中心。這兩個單位作為通報協處窗口,但其直屬機關卻不能成為個資專責機構,還需要另闢單位,這樣的制度規劃是不是不夠細緻?
話說回來,台灣的資安危機已經好多年,當年總統府密件外流就已經是嚴重警訊,就算不願意承認文件內容,也該痛定思痛,立即著手進行修法程序及拉高國家資安的防護機制,怎麼會等到現在,當民眾已經深陷詐騙陷阱,企業頻繁出現資安漏洞事件,政府也多次外洩民眾資料,這些無法防患於未然的政府資安危機,現在變成是全民共同承擔,造成多少民間損失,失職怠惰的政府真的責無旁貸,「資安國家隊」的口號喊著只是心酸。
歐盟的GDPR,也就是「一般資料保護規則(General Data Protection Regulation)」在二0一六年四月通過,二0一八年五月二十五日開始強制執行。這幾年來,祭出罰款的判例不少,像是WhatsApp 就因為違反GDPR被愛爾蘭罰款五百五十萬歐元,過去甚至有對Meta罰款三點九億歐元的前例。此外,民眾對於個資保護及資安保護意識也相對較高,層層關卡就是為了避免個資外洩後所帶來不可逆的風險及損害。
台灣的個資法雖然曾經參考歐盟制度跟進修改,但在實質意義方面的成效實在太不顯著,民眾損失可能早就難以估計。如今,政府與民間企業陸續爆出重大資安事件,新成立的數位部無法當責,可能主責的機關還要等一年,政府的資安措施也才準備著手上路,但是各種犯罪行為從未停歇,民間損失仍持續增加。
口號喊了很多,各式機關成立了很多,預算也編了很多,只有成果很少。台灣的資安危機還要上演多久,政府才能拿出壯士斷腕的魄力呢?
(作者為國家政策研究基金會永續組副研究員)