▲綠委洪申翰、劉世芳、賴品妤、莊競程痛批政府內控機制失靈。(圖/記者屠惠剛攝)
記者呂晏慈/台北報導
衛福部健保署爆發官員查民眾個資洩密案,前主秘葉逢明家族成員帳戶被查出擁有新台幣10億元鉅款,引發輿論譁然。多名民進黨立委18日上午舉行記者會,痛批政府內外控機制失靈,資安不堪一擊,相關部會態度曖昧不清、互踢皮球,要求數位發展部不能只是「技術外包單位」,應聯合檢調與國安單位,檢討政府機構的資安體質,提出強化國家資安戰略計畫;數位發展部常務次長葉寧指出兩點改進方向,一是落實系統「最小權限授權」,二是個資查詢機制必須重新檢視。
民進黨立委洪申翰、劉世芳、賴品妤、莊競程上午舉行「資安即國安!重大資安漏洞頻傳沒人管?」記者會。
劉世芳會中細數自2016年以來的8起重大個資外洩事件,包括中華郵政商城、勞動部勞發署、銓敘部、戶政資料、部立桃園醫院、健保署、華航會員資料庫都曾遭外洩個資,「國家的螺絲已經失靈了!」洪申翰亦指,累積這麼多重大案件,真的還能當作個案嗎?到底政府機關資安的弱點在哪裡?不要每次都回應「不是從我這邊直接外洩的」;並批數位發展部長唐鳳事後回應「技術上若有需要會全力協助」,但數位發展部不該只是「技術外包單位」,而是應該連同國安單位,全面診斷政府機構的資安體質,審視資安的破口,並提出強化國安資安的戰略計劃。
▲近年重大資安外洩案件彙整。(圖/劉世芳國會辦公室提供)
賴品妤痛批,實際上,憲法法庭早在去年就判決健保資料庫違憲,指出健保資料庫對個資保障不足,這次有計劃地把全民健保資料偷走、販售到中國的,就是當時稱個資沒有問題的健保署,重大資安事件不斷重演,代表主責機關內控機制失靈,「我真的要強調,資安問題不只是資安問題,資安問題是國安問題」,政府應研擬通知機制讓民眾知道個資已被外洩,才能減少詐騙問題。
莊競程提出兩點呼籲補充,這幾年來公部門爆發系統性個資外洩案件,應建立一致性的標準流程,配合演練稽核,全面提升政府資安防護,此外,針對全國資安專責人才缺口超過900人,數位發展部應該著重人才培育,即便委託外部廠商,也至少要有監督的專業能力。
▲綠委要求徹查嚴辦健保署個資外洩事件。(圖/記者屠惠剛攝)
數發部曝2缺失:落實系統權限管理、檢視個資查詢機制
對於執政黨立委的要求,數位發展部常務次長葉寧會中回應,以健保署個資外洩事件的個案來說,在內控管理有需要加強的地方,經過與健保署調查,有兩點是各機關需要加強審視的:第一是落實系統的權限管理,資安必須「最小權限授權,定期檢視授權合不合理」,只有工作和業務需要才有權限,不是部長就有最大權限,第二是個資查詢機制必須被檢視、強化,特別是在重要的系統中,大量查詢可能要搭配適度遮蔽個資的作法,藉此避免風險再度發生,希望其他機關也能夠注意辦理。
針對立委關切的專責評議機制,國發會副主任委員高仙桂回應,憲法法庭去年要求在3年內建立專責獨立機制,現在已經參考國際立法例進行相關研擬,不過因涉及組改,會報行政院後再來研議;法務部檢察司司長黃謀信說明,將組成跨部會、跨專業單位的團隊來追緝案件,同時加強個別檢察官的專業職能,要求由專組檢察官偵辦案件,最主要還是個案上的累積,要求檢察官要從速、從嚴偵辦,清查背後的資安漏洞到底在哪裡,並將背後共犯的溯源作為未來行政團隊防堵資安漏洞的參考。
不過,對於官員回應內容,劉世芳批評說,「相當失望」,《個人資料保護法》涉及刑事、民事、行政,但過去3年內只有1件單一個案,過去公務機關個資外洩到底有沒有被保護到?用簡單的政風機制查日新月異的個資外洩案是不夠的,例如健保署每年只有1000多萬經費處理資安,戶政系統不超過1億,資源這麼少,如何要求第一線要員處理?沒有辦法。
劉世芳說,請問各部會的資安聯防機制到底出來了沒?各部會回應「都沒問題」這是廢話,小心這樣的野火會燎原,另對司法行政調查的部分,如果這位健保署高官真的涉嫌將情治系統資料外洩,應該用《國家機密保護法》、《國家情報工作法》來偵辦,因為他13年來累積的一定不只吃吃喝喝,還有境外特工、對台灣有犯意的惡勢力侵犯台灣的系統。
讀者迴響