【大纪元2023年02月09日讯】(大纪元记者钟元、袁世钢台湾采访报导)台湾近期发生多起个资外泄事件,专家强调,台湾人应有资安风险意识及观念。政府除了应该成立独立监督机制外,希望数位部也能发挥功能,强化公部门资安及对民间资安提供协助。
2022年10月起至今,台湾爆发骇客兜售逾2,300万笔户政资料、健保档案疑遭外泄至中国、华航个资外泄、和泰汽车旗下iRent个资外泄等资安事件。
江雅绮:提防台湾个资被中共拿去的风险跟危险性
台湾法律科技协会理事长江雅绮对大纪元表示,大家好像没有意识到个人资料外泄危险性,以及如果台湾人个资被中共情报收集单位拿去,这个风险跟危险性有多严重。因为大家似乎觉得资料泄漏出去好像没有什么损失,其实从民众到法院都有这样的现象,所以你去法院诉讼向泄密机关求偿,那个赔偿金额都判得很低。
江雅绮指出资料的意义跟价值的重要性。资料在这种数位时代,个资外泄可能不只是经济损失,还有政治上的风险。“大家都还没有很意识到:一个人资料可能没有什么影响,可是大量资料可能被拿来做很多用途,也就是集结了很多资料外泄的风险和整体的损失是不可计量的。”
台湾政府应成立独立监督机制
中华民国行政院发言人陈宗彦9日主持行政院会后记者会时说,行政院院长陈建仁认为,宪法法庭对个资保护已有所宣判、国家人权行动计划里也有提及,他指示政委罗秉成、吴政忠、龚明鑫研议未来是否要成立独立监督机制。
外国科技媒体TechCrunch日前报导,一名安全研究员在和泰汽车云端服务器上,发现资料库没有密码保护,任何人只要知道IP位址都可以查看iRent的客户个资。交通部公路总局9日指出,稽查后发现,iRent外泄风险的个资笔数达40万笔,罚款20万元(新台币,以下同),并要求业者落实《个人资料保护法》规定,若未改善将可按次处以罚锾。
江雅绮说,她赞成政府成立独立监督机制,并应授权可以去订定查核标准,未来处罚标准也要提高,应该要考虑对整体的损害,建议比照像国外的立法例,按公司的营业额百分之几裁罚,促使民间企业重视个资保护。
民进党立委赖品妤、刘世芳、洪申翰、庄竞程6日举行记者会呼吁,国发会应尽速成立个资独立专责机关,要求数位部肩负更多私部门资安监理角色,重拾民众对政府信任。
台大教授:台企轻忽资安与政府未采取正确态度有关
台湾近期除了iRent公司之外,格上租车也被时代力量立委邱显智踢爆云端储存空间设定不当,导致十万笔客户订单资料可被查询列出,有个资外泄疑虑。华航则收到匿名勒赎信件,用户个资遭骇客公开在网路论坛。
台大电机工程学系教授林宗男对大纪元表示,一般企业提供服务时,对资讯系统的了解其实都只有半套,只提供系统的基本功能性,却忽略特别重要的资安问题;台湾企业会如此轻忽,除了专业认知不足外,也与政府未采取正确态度有关。iRent提供的是云端服务,既然标榜高科技,资讯安全就是最基本的功能,对基本的云端安全管理付之阙如非常不可思议。
林宗男强调,政府罚则过轻,对企业来说不痛不痒,这导致某些企业一再名列刑事警察局165高风险名单,这其实已违反了总统蔡英文上任时宣示的“资安即国安”。他呼吁,政府应以严正心态重新修订法规,加重对企业的罚则;对消费者来说,可以拒绝在资安做得不好、有个资外泄风险的公司消费,或打电话直接要求厂商改善。
江雅绮:政府要把漏洞补起来,多头并进做好数位资料管理
中华民国数位发展部去年8月底成立,数位部长唐凤致词表示,未来将强化公部门资安,导入统一的传输系统,确保跨机关间的资料交换方式安全无虞,会推行到所有资安A级机关都要导入标准。数位部产业署也编列1.35亿元执行“军民通用资安计划”,目的是要培养在地资安业者,满足军方提出的需求,除了让民间了解技术能量,对军方来说也能把技术国产化。
江雅绮表示,资通安全管理在各不同机关就是要分级,像最近的健保局资料疑外泄中国事件,因为健保的病历是很敏感资料,所以健保局的资安程度应该要归类最高级机关,政府要就资安程度分级做管理。对于军情资料外泄、陆军步训部上校向德恩身穿军服向中共签署“投降承诺书”等共谍案层出不穷事件,江雅绮表示,数位部有提到要强化公部门资安,应该去注意防范共谍相关风险。
她说,对于频传个资外泄事件,国外的朋友会问怎么很多资料都流出去,到底是有没有要做好安全防护。她希望政府把漏洞补起来,要多头并进来做好数位资料管理,“资安本来就是数位部一个重要的业务,希望数位部能发挥功能。政府也要成立独立监督机制监督机关,资安问题对于这些单位应该都很重要”。
唐凤:数位部纳入重大个资外泄案件联系机制
数位部长唐凤今天(10日)在国家资通安全研究院(资安院)举行揭牌典礼表示,资安院有2大任务:在公部门方面,只要涉及全国个资相关公务机关,必须加速导入零信任和政府资料传输平台(T-Road)制度,强化端点守门机制,防止有心人在收发两端窃取资料、监守自盗异常行为。
唐凤表示,资安院也会并肩联防私部门,并广征各界专业人才,协同产学研努力。行政院已将数位部纳入国发会的重大个资外泄案件联系机制,台湾电脑网路危机处理暨协调中心(TWCERT/CC)可以更即时介入协助,资安院给予处理建议,或是主管机关后续的行政检查,资安院也会协助检视、改进系统架构。
责任编辑:叶紫微#
