保護個資 數位部、國發會踢皮球
台灣個資法雖早已立法,國發會前年也成立「個資聯繫會報」跨部會整合,但對個資外洩防範及裁罰完全「空白」、自動神隱,甚至與數位部互踢皮球,不願承擔個資外洩責任。
相較之下,歐洲GDPR(一般資料保護規範)上路五年,規定企業應具備個資保護之責,否則最高可處兩千萬歐元或總營收百分之四罰鍰。兩相對照,難怪台灣的個資外洩事件層出不窮。
早有「個人資料保護專案辦公室」的國發會推說,專案辦公室是前主委陳美伶為了取得歐盟GDPR適足性認證,研究是否成立保護個資專責單位,並非個資監督單位。
數位部強調自己是「資安」主管單位、不是「個資」主管單位;但對民眾來說,個資外洩就是資安出問題,政府應統一權責。
部會未積極督導資安
個資法早有規定與罰則,為何各部會未見積極手段?
主因之一是各部會缺乏確認個資外洩的技術鑑識力,外洩到底是業者內部人外洩,還是被駭客攻擊?難以究責。其二,各部會大多與管轄行業維持良好關係,以致諸多個資外洩案件輕輕放過,業者忽視資安責任。
行政院長陳建仁日前指示加速研議個資保護獨立監督機制,官員表示,將盡速提出事前防範、事件發生、事後處理強化機制。事前防範部分,將訂定個資系統保護規格標準,未來會公布哪些資訊系統產品較符合安全規格;其後則針對高風險業者發動檢查。
損害賠償金額擬提高
若發生個資外洩事件將由所屬部會會同數位部實地調查決定是否開罰,事後也要業者提出改善計畫。
若外洩案件涉及刑事犯罪,主管機關得洽司法檢察機關,刑事局、調查局等單位介入。刑事局指出,未來也將結合消基會以個資法第卅四條,對於同一原因事實造成多數當事人權利受侵害的事件,或財團法人、公益社團法人經受有損害的當事人廿人以上,或以書面授與訴訟實施權者,可提起損害賠償訴訟,最高裁罰兩億元。
唐鳳坦承有三大挑戰
不過,數位部長唐鳳日前接受本報專訪,坦言台灣尚有三大挑戰,包括:對內,政府各級機關必須兩年內導入政府資料傳輸平台(T-Road)和零信任架構;對外,因人才不足,需與全球各國建立聯防機制;國際間,因台灣外交處境尷尬,若要尋求國際合作,需要更多數位公民參與、建立靈活性。
KPMG執行副總經理林大馗說,企業當務之急是由獨立第三方,針對資安體質與現況進行詳細的健康檢查,盡速辨識並修補漏洞。
▌延伸推薦:資安補破網/台灣企業早被駭客測完一輪 「資安即國安」只剩口號