Yahoo奇摩財經 
資安漏洞又發生「微風集團也遭駭」!唐鳳:個資法應該要「調高裁罰上限」
針對企業個資外洩頻傳、微風集團也傳出資安漏洞,數位部長唐鳳23日受訪時表示,在數位部及國發會聯防機制啟動下已有行政調查,將儘快公布最新調查報告;另外,對於《個資法》裁罰比《資安法》稍輕,她也認為「裁罰上限」應該要調高,國發會將提出修法方案。
繼和泰汽車旗下共享汽機車平台iRent爆發大量個資外洩,微風集團的百貨內部資料也傳出遭竊,包括公司及供應商資料、業務資料、90萬名用戶個資及訂單付款資訊。微風表示,已立即啟動損害機制,公司內部資安團隊已完成軟體及作業系統安全性更新。
對此,唐鳳出席「金融科技趨勢論壇」受訪時表示,在數位部及國發會聯防機制啟動之下,微風的主管機關、經濟部商業司已和資安院同仁進行行政調查,這新機制並不只是事後調查,當重大資安事件發生時,也會在第一時間同時通報給數位部和國發會,企業的主管機關也會啟動行政調查。
唐鳳強調,聯防機制在事前也必須運用很多新興、零信任、隱私強化的隱碼技術,把本來是攻擊者有利的「易攻難守」戰場,翻轉成對防守者有利的「易守難攻」情形,「所以我想在這過程裡,每一次的事件發生,都更加精進聯防機制。」
行政調查是否造成公司困擾?唐鳳說,就微風個案而言,啟動的「行政調查」、和完全沒有事件發生的「行政檢查」有所差別,在調查時,主管機關將給出期限,並且一定要有水落石出;這就是「檢查」及「調查」、「事前」及「事後」的差別,隨著每一次的個案,大家會愈來愈了解。
對於《個資法》、《資安法》修法應該朝什麼方向調整,唐鳳指出,個資外洩事件屬《個資法》管轄範圍,但個資事件和資安事件「有所重疊」,也就是大量個資洩漏和資安有關,不過《個資法》裁罰比《資安法》稍微輕一些,她也認為「裁罰上限」應該要有所修正、應該要調高,相信國發會很快就會提出修法方案。
唐鳳進一步解釋,《資安法》是稽核範圍的問題,以華航資安事件為例,華航尚未被交通部認定為《資安法》關鍵基礎設施,但應該要有機制讓各個目的事業主管機關有一輪檢視的方式,不一定是全部業務範圍,但特別與有大量國民個資相關部分,是否也應該劃進《資安法》的納管範圍,將和《個資法》修法提出相應的配套。
至於裁罰標準如何提高,唐鳳指出,事實上,裁罰範圍不是只有罰鍰而已,《個資法》最重的懲罰可以在有必要的情況下,讓企業不能夠再收集、處理或利用個資,幾乎等於停業。
「也就是說,從罰20萬元、大家覺得太輕,到懲罰停業、大家覺得很重,這個中間是否有可能多一些級距?這才是大家期望的。」唐鳳表示,政府機關輔導企業導入隱碼、隱私強化技術、加強零信任等投資,當法律裁罰力道不夠,反而會讓企業覺得「投資資安的金額太多太貴,不如罰個20萬元」等情形,因此要審慎調整裁罰的範圍。
對於輔導資安漏洞的具體作為,唐鳳提到,企業很願意在一定程度上加強資安軟硬體相關服務,但投資意見上要如何確保合乎國際標準,就由資安院做驗證工作;公部門今年底將先示範採用,在政府資料傳輸平台T-Road系統、有全國個資的A級機關互相介接裡,全面放入零信任系統等元件,讓民間企業學習並接軌同樣的國際標準。
(審核:呂俊儀)
延伸閱讀
個資外洩頻傳「iRent案開罰20萬元」!陳建仁指示3政委 研議資安獨立監督機制
iRent個資外洩「擴大認定40萬名用戶」!和泰道歉了…賠償方案正式出爐
iRent遭爆用戶個資外洩「百萬筆信用卡全都露」!外媒緊急寫信請唐鳳處理…和泰回應了
Yahoo財經特派記者 楊絡懸:專訪過台積電董娘張淑芬的藝術公益、側寫過英國前首相梅伊的政經脈動。相信不論是企業大老闆、小人物或社會角落,都有值得被記錄的故事,期盼透過深度和廣度的觀察力,帶來最宏觀的專業報導。
