文/個資法專家
國家檔案管理局傳出遭駭客入侵,政府資安人員發現國家檔案局的電子公文交換系統被駭客植入木馬程式,透過網路進攻,包括中央及地方政府機關學校紛紛「中招」。為求徹底防範,行政院緊急通知機關學校重灌電腦,大動作全面更新七千多部電腦系統,但公文資料被外洩多少,尚無法清查。行政院資通安全辦公室主任蕭秀琴指出,已根據入侵駭客植入木馬程式殘留的痕跡溯源,追查駭客是從哪來的,而目前機密公文仍是透過紙本傳送,電子公文交換系統處理的都是一般公文,不致於會有機密公文遭竊取。
政府資安出問題,已經不是第一次聽說了,法務部曾被中國駭客入侵電腦,造成一審辦案系統資料全部外洩;屏東縣政府曾將一百多人的個資未經去識別化就上傳到環保署網站供人查詢瀏覽;今年初勞工局也曾將考績冊亂丟導致個資外洩。種種的事件來看,因資安漏洞導致個資外洩駭客辦得到,政府或企業中的任何一個人都可以辦得到。依新版個資法之「公務機關保有個人資料檔案者,應指定專人辦理安全維護事項,防止個人資料被竊取、竄改、毀損、滅失或洩漏」,這是強制性義務,但許多公務機關,卻還是不了解何謂「指定專人辦理個資安全維護事項」,依舊互相踢皮球,掩蓋個資外洩的事實。
知名資安專家表示:「不只是公務機關必須指定專人辦理安全維護事項,一般企業更應該訂定『個資安全維護計畫』的制度,積極實行『個資教育訓練』、『個資盤點』、『個資保護』、『稽核管理記錄』,才能在發生事情的同時證明自己無過失。
不然依個資法對政府機關及民間組織祭出明確的損害賠償標準,個資外洩的受害者,每人可向法官申請五百到兩萬的範圍內核定賠償額。單一個案,最高還能判賠到兩億。市面上究竟有沒有合適的資安解決方案?從現行科技水準看,由於DLP及DRM這兩種東西都已經是相當成熟的技術,並且在取得成本上也有多種可選擇的方案可以斟酌,不致於讓企業陷入負擔不起的窘境,所以倘若企業連如此基本的防護都怠於採用,在個資被駭的不幸發生時,從客觀上顯然將無法證明已經採取了適當之安全措施,在主觀上更難以用自己對於個資的外洩沒有過失來自辯。依法定標準負賠償責任,恐怕就會成為當然之結果了。」
讀者迴響