【政策想想】從連續資安問題探討個資法修法

友善列印版本

連續幾週資安事件爆發,從房仲業者開發出「客戶開發搜尋系統V5.0專業版」,任意登入公務機關伺服器,以自動辨識解析驗證碼技術,破解伺服器的圖形驗證碼,提供多達一億七千萬筆個資,接著是想哭勒索病毒席捲全球,包括英國、西班牙、俄羅斯、日本、台灣等超過百個國家遭受攻擊,前幾天則是雄獅旅行社遭駭客入侵竊取客戶個資。究其原因,應該是國人及企業資安防護能力及觀念都過於薄弱。

若要達到有效資安防護,即須建構三層防護:其一,培養民眾資安觀念及敏銳度,提升國人內在心理資安防護之想法;其二,外在環境的改善,增強電腦資安防護設備及軟硬體,減少系統漏洞的存在,讓資安風險因子降到最低,其三,資安防護法制化,讓資安工作變成一套民眾得以依循、重視的法令。

當然,資安防護最好的措施還是提高民眾資安觀念及敏銳度,此外,增強電腦資安防護系統的能力亦能確實防免遭受駭客攻擊。然僅透過內在的資安觀念培養及外在資安防護環境的提升,尚不足以嚇阻駭客的不法行為,應從法制面著手,提高不法行為人的罪責,如此,使行為人害怕犯罪,讓行為人知道違法是不划算的行為,這樣才能達到嚇阻之效果。然目前資安法尚未完成立法,違反資訊安全可能觸犯之法律,就屬刑法妨害電腦使用罪章及個人資料保護法,相關規定對行為人之究責仍屬有限,效果不彰,致使資安問題頻頻發生。以下就個資法責任追究部分,建議盡早修正,以為適足規範行為人。

個資法雖已就個資之蒐集、利用及處理等行為加以規範,然違反個資法之法律責任規定仍有不足:

  • 民事責任部分,僅有規定損害賠償責任,然而民事責任種類甚多,侵害個資之行為態樣一樣也很多,單憑損害賠償是否足以保護個資之所有人,實有待商榷,
  • 行政責任部分,處罰對象僅有非公務機關(含自然人),有關公務機關之行政責任卻付之闕如,然而,侵害個資之行為亦有可能是行政機關作成,若僅依公務員考績法等規定,以內部懲處方式處分承辦人代替規範行政機關行政責任,似乎無法確實達到規範之作用,且以機關之意思表示,違反個資法,卻處罰機關之內部承辦人員,似亦有處罰標的錯誤之嫌,這部分顯然是個資法之立法漏洞。
  • 刑事責任部分,未區分公務機關或非公務機關而分別法律效果,也未因應行為態樣之不同而區別處罰規定,僅規範在個資法第41條及第42條,前者法律效果是處五年以下有期徒刑,得併科新臺幣100萬元以下罰金,後者則是處五年以下有期徒刑、拘役、科或併科新臺幣100萬元以下罰金,兩者法律效果雷同。然而,這樣的究責程度,真的足以規範所有違反資安之案件嗎?試想,洩漏多達一億七千萬筆個資,僅論以上述之刑責,行為人真的可以從中得到教訓嗎?又或者卻讓行為人從中嘗到甜頭,再次犯下更大之違反資安案件,實耐人尋味。

資安問題隨著網際網路普及化,智慧型手機的大眾化,不僅越來越重要,也從國內問題逐漸轉變成國際問題,然臺灣不僅未有資安專法,相關的個資法對相關不法行為人之歸責亦嫌過輕,致使不法案件一再發生,為了減少資安問題,除應從資安系統著手漏洞修補,更應將個資法之規定加以強化及深化,讓犯罪人確實知道犯罪所得和需要付出的代價不成正比,讓犯罪人知道違反個資法是不划算的行為,如此,方能將傷害減到最低,避免資安事件再次發生。

 

關鍵字: 資安電腦個資法個資

作者